Análisis de Malware: Suspicious

Análisis de Malware: Suspicious

En este laboratorio asumirás el rol de un analista de ciberseguridad encargado de examinar un archivo .exe sospechoso. Tu tarea es descompilar el archivo, identificar el comportamiento malicioso, y sanear el binario. Solo si la cura es exitosa, obtendrás la bandera de validación.

En este laboratorio aprenderás:

• Análisis estático de ejecutables .NET
• Identificación de patrones maliciosos simples
• Eliminación de lógica de sabotaje o persistencia
• Restauración de flujos legítimos en binarios modificados

🌱 Cómo comenzar este laboratorio

👉 Este reto se resuelve dentro de una máquina virtual Windows preconfigurada.

1. Descarga la máquina virtual desde este enlace:

1https://storage.googleapis.com/cybersecurity-machines/metadata-investigation-lab.ova

1. Importa la máquina en VirtualBox.

2. Inicia sesión como el usuario student:4geeks-lab. La maquina tiene preinstaladas herramientas como:

   • dnSpyEx (descompilador y editor de binarios)
   • .NET SDK
   • Bloc de notas, PowerShell y explorador de archivos

📄 Instrucciones

El ejecutable parece estar diseñado para realizar una acción maliciosa antes de permitir que se complete su ejecución. Sin embargo, hay una oportunidad si logras identificar y eliminar correctamente esa actividad no autorizada, el programa se comportará de forma legítima y mostrará un resultado técnico que te permitirá validar el reto. Actualmente, el ejecutable se encuentra en el escritorio, con el nombre Suspicious.exe.

Tu tarea consiste en:

1. Abrir el ejecutable en dnSpyEx y analizar el método Main().

2. Identificar la sección de código que realiza una acción maliciosa. Puede ser una escritura no autorizada, una evasión de análisis o una manipulación de entorno.

3. Eliminar esa lógica maliciosa.

4. Pasar las condiciones de ejecución protegidas. El ejecutable contiene una validación de entorno basada en un archivo.

5. Recompilar el ejecutable corregido como Suspicious_FIXED.exe.

6. Ejecutar el binario corregido. Si todo fue corregido con éxito, el programa imprimirá un resultado de diagnóstico que contiene la bandera.

Este laboratorio no se trata de buscar una bandera escondida. Se trata de restaurar un sistema que fue manipulado. Solo si lográs eliminar con precisión la lógica maliciosa, el programa revelará el mensaje de validación.

¿Estás lista o listo para pensar como un analista real de ingeniería inversa?

¡Buena suerte, Analista!