Diseño de un laboratorio de análisis de malware

Actualmente, el mundo digital en el que nos encontramos se está rodeado de amenazas y riesgos que afectan directamente a nuestros equipos tecnológicos, activos digitales y a nosotros mismos. Una de las herramientas que los ciberdelincuentes usan para acometer sus actos, son los archivos con código malicioso, conocidos como malware.
Con el fin de investigar los incidentes que afectan a la ciberseguridad, se hace uso del Ciclo de Respuesta ante Incidentes que es llevado a cabo por un conjunto de personas denominado Equipo de Respuesta ante Incidentes. Una de las actividades que se llevan a cabo en este Ciclo, cuando el origen del incidente es un archivo malicioso, es el Proceso de Análisis de Malware.
Este proceso utiliza una metodología muy artesanal, que no permite analizar un gran volumen de muestras en paralelo, es poco escalable y requiere un alto uso de recursos humanos y materiales. Además, es un proceso que depende en gran medida de los analistas, lo que puede dar lugar a falta de homogeneidad entre diferentes analistas dependiendo de las capacidades y conocimientos de cada uno. Por este motivo, al no existir actualmente ninguna solución en el mercado que aborde esta casuística, en este Trabajo Fin de Máster se ha diseñado un laboratorio de Análisis de Malware automático, que permite realizar una trazabilidad de los artefactos analizados y la industrialización del Proceso, consiguiendo un sistema escalable que puede gestionar un gran número de muestras en paralelo.
Para poder llevar a cabo el Proyecto, se ha realizado un estudio de las necesidades y requisitos funcionales del Sistema, así como de las herramientas existentes en el mercado, a partir de los cuales se ha diseñado este. Finalmente, se ha implementado un prototipo funcional operativo de dicho Sistema, demostrando que se han completado con éxito los objetivos marcados.

Currently, the digital world we are in is surrounded by threats and risks that affect our own technological equipment, digital assets and even ourselves. One of the tools used by cyber criminals are archives with malicious code called malware.
In order to investigate the incidents affecting cybersecurity, is used the so-called Incidents Response Cycle, which is carried out by a group of people identified as Incidents Response Team. In case the incident origin is a malicious file, one of the activities performed within the Cycle is the Malware Analysis Process.
Very handmade methodology is used in this process, which does not allow to analyse in parallel a large number of samples, it is not scalable, and it requires the usage of a lot of human resources and materials. In addition, it is a process very much dependant on the analysts’ knowledge and capabilities, leading to a lack of homogeneity between analysts.Due to this, and to the fact that currently there is no solution in the market to address this topic, in this Master’s Degree Project, a laboratory to perform automatic Malware Analysis has been designed, which allows the traceability of the investigated artefacts and the industrialization of the Process, obtaining scalable system to manage in parallel a large number of samples.
To carry out the Project, the System’s needs, and functional requirements have been identified, as well as the available market tools. On this basis, the System has been designed. Finally, an operative prototype has been implemented, demonstrating that the Project objectives have been successfully achieved.