El análisis de programas maliciosos consiste en determinar qué archivos en los terminales y las redes son sospechosos y en analizarlos usando análisis dinámico, análisis estático o ingeniería inversa completa.

Una práctica firme de análisis de programas maliciosos ayuda en el análisis, la detección y la mitigación de posibles amenazas. El análisis de programas maliciosos puede ayudar a las organizaciones a identificar objetos maliciosos que se usan en ataques avanzados, específicos y de día cero.

Es importante porque ayuda a los equipos de operaciones de seguridad a detectar rápidamente los objetos maliciosos y a evitar que se hagan persistentes y causen estragos dentro de la organización.

Estos son los tres tipos principales de análisis de programas maliciosos que existen:

1. Análisis estático: examina los archivos sin ejecutar el programa en busca de indicios de intenciones maliciosas. Este tipo de análisis también puede requerir una revisión manual por parte de un profesional de TI después del reconocimiento inicial para analizar más a fondo cómo interactúa el programa malicioso con el sistema. El análisis estático de documentos busca anomalías en el propio archivo, no en la forma en que se ejecuta.

Su objetivo es responder a preguntas como las siguientes:

• ¿Hay anomalías estructurales, como código shell integrado, macros anómalas u otros programas ejecutables que normalmente no estarían presentes en un documento de este tipo?
• ¿Faltan segmentos en el documento o hay algunos adicionales?
• ¿Hay algún archivo integrado?
• ¿Hay alguna función de cifrado, toma de huellas digitales o de otro tipo que sea sospechosa?
• ¿Algún aspecto del documento parece extraño?

2. Análisis dinámico: se basa en un sistema cerrado (conocido como «entorno de pruebas») para iniciar el programa malicioso en un entorno seguro y limitarse a observar lo que hace. El entorno de inspección simula un host completo (incluida la CPU, la memoria del sistema y todos los dispositivos) para observar de forma continua todas las acciones que pueden realizar los objetos maliciosos. Este sistema automatizado permite a los profesionales examinar el programa malicioso en acción sin que este infecte el sistema. El análisis dinámico interactúa con el programa malicioso para averiguar todos los comportamientos maliciosos. Permite usar la automatización, hacer hallazgos rápidos y precisos, y ayudar a identificar y analizar los aspectos más recónditos de la infraestructura de una organización.

3. Ingeniería inversa: aplicar este tipo de análisis en programas maliciosos implica desensamblar (y, a veces, descompilar) un programa de software. A través de este proceso, las instrucciones binarias se convierten en nemotecnia de código (o estructuras de nivel superior) para que los ingenieros puedan examinar lo que hace el programa y los sistemas a los que afecta. Saber los detalles es la única forma de que los ingenieros creen soluciones que puedan mitigar los efectos maliciosos previstos del programa. Un técnico de ingeniería inversa utiliza una serie de herramientas para averiguar cómo se propaga un programa a través de un sistema y para qué está diseñado. Con esta información, el técnico de ingeniería inversa podrá saber qué vulnerabilidades intentaba aprovechar el programa.

VMware NSX Network Detection and Response (NDR) ofrece funciones avanzadas de análisis de programas maliciosos a través de un entorno de pruebas de emulación de sistemas completos. Este entorno utiliza técnicas avanzadas de inteligencia artificial para mostrar todas las interacciones de los programas maliciosos dentro de un sistema operativo, incluidos los comportamientos evasivos y una visibilidad detallada de todos los elementos que pasan por el centro de datos.

VMware también proporciona una solución local de persecución de amenazas y respuesta a incidentes a través de la continua detección y respuesta en los terminales (EDR). La EDR de VMware también ofrece visibilidad en entornos sin conexión, la cual registra y almacena continuamente los datos de la actividad de los terminales para que los profesionales de TI puedan atacar las amenazas en tiempo real.