El malware sigue siendo una puerta de entrada clave para los atacantes en una organización. Puede ser simple y no dirigido, o un ataque complejo y dirigido que abarca múltiples ubicaciones globales.
Comprender el comportamiento del malware, especialmente durante un incidente, permitirá a una organización detectar y determinar la capacidad del malware, así como crear reglas de detección para incorporar a Threat Hunting y otros sistemas.
Esta fase se centra en superar las técnicas que el malware utiliza para detectar y evadir entornos de análisis automatizados (sandboxes). Esto puede implicar la ejecución del malware en entornos más realistas o personalizados, o la manipulación del entorno del sandbox para engañar al malware.
Utilización de herramientas avanzadas para desensamblar el código ejecutable del malware a nivel de ensamblador y, cuando sea posible, decompilarlo a un lenguaje de alto nivel (como C o C++). Esto permite comprender la lógica interna y los algoritmos del malware.
Examen de metadatos incrustados en el malware, nombres de archivos, rutas de compilación, identificadores únicos o patrones de codificación que puedan vincular el malware a un actor de amenazas específico o a campañas anteriores.