My Profile Photo

Neith Altair

Apasionado por los sistemas, tecnología y la ciberseguridad. Etichal hacking, análisis de vulnerabilidades, OSINT, pentesting entornos web y móvil, desarrollo de scripts en Bash, Python, manejo de Linux, conocimiento en tecnologías de desarrollo web. Implementación de Python para creación de automatizaciones.

on Malware, Analisis, Laboratorio

Malware Analysis2

Esta nueva etapa se llama Malware Analyst2 (?).

Se realiza el despliegue de la maquina virtual de Windows en virtual box, para poder desplegar un ambiente de sandbox en la maquina virtual es necesario:

  • Iso Windows 10.
  • Script para deshabilitar el wwindows Defender.

El despliegue de la maquina se realiza normal, se utiliza la ISO para instalar el sistema operativo, se establecen las configuracions básicas y listo.

Como esto es el proceso de un curso que estoy realizando, en el curso recomiendan realizar el proceso en la máquina virtual de:

=> Dispositivos => Insertar imagen de CD de los complementos del invitado.

image

Esto genera una unidad de CD dentro del sistema operativo, donde se realiza la instalación de la versión acorde al SO, en este caso VBoxWindowsAdditions-amd64.exe.

Se realiza la descarga del script desde github, encargado de desactivar el Windows Defender.

https://github.com/ionuttbara/windows-defender-remover/releases/tag/release_def_12_4

image

Una vez relizados estos procesos se procede a establecer el montaje de dos carpetas compartidas con el host, una será de solo lectura para prevenir posibles infecciones por malware en el host local y la otra será montable y desmontable, solo para los momentos en que sea necesario realizar el paso de información.

image

  • De la primera carpeta, en este caso llamada samples, se marcan las caracteristicas de: Solo lectura, Automontar y Hacer permanente.
  • Para la segunda carpeta no se marca ninguna opción ya que el montaje se realizará a traves de un .bat desde el SO virtual.

Los códigos para establecer el montaje y desmontaje de esta segunda carpeta:

image

Para confirmar la funcionalidad de las dos carpetas se accede a el explorador de archivos:

image

Si el comando funciona de la manera correcta, al ejecutar el unmount.bat debería solo verse una carpeta, en este caso es Samples.

image

@echo off
setlocal enabledelayedexpansion

REM Ruta donde se realizará la búsqueda
set "ruta_busqueda=%APPDATA%\"

REM Lista de nombres de archivos/carpetas a identificar
set "nombres_archivos=test.exe test2.exe oscp tips.pdf"

REM Carpeta de salida para los archivos encontrados
set "carpeta_salida=D:\ejecutables"

REM Crear la carpeta de salida si no existe
if not exist "%carpeta_salida%" (
    mkdir "%carpeta_salida%"
)

REM Recorre la lista de nombres de archivos
for %%f in (%nombres_archivos%) do (
    REM Utiliza el comando dir para buscar el archivo en la ruta de búsqueda
    REM dir /b /s "%ruta_busqueda%\%%f" >> "%carpeta_salida%\%%~nxf.txt"
    dir /b /s "%ruta_busqueda%\%%f" >> "%carpeta_salida%\archivos_encontrados.txt"

)

echo Busqueda de archivos completada.

(1,1)