Muy a menudo, durante un análisis forense detectamos puertas traseras (Backdoors), troyanos, rootkits y otros tipos de malware utilizado para robar datos sensibles de las redes corporativas. Es muy importante entender el comportamiento de este tipo de malware (software malicioso), con el fin de localizar a los atacantes, entender cómo se vio comprometido el sistema y para saber qué información se copió, borro o fue modificada.

Por lo general, se aplica las siguientes técnicas para el análisis de malware:

• Creación de una Sandbox segura (absolutamente aislado y ambiente controlado)
• Implementación de red y monitoreo local de la Sandbox
• Ejecución de programas maliciosos dentro de la Sandbox bajo control
• Creación de varias condiciones en la Sandbox para activar funciones ocultas de malware
• El análisis detallado del comportamiento de malware y reacción a ciertos eventos

Es muy importante entender las siguientes propiedades de un malware:

• Activación Malware y los mecanismos de puesta en marcha
• Gestión de Malware y mecanismos de control remoto utilizados por los atacantes
• Los algoritmos de cifrado utilizados para la comunicación del atacante remoto
• Todas las modificaciones locales realizadas por el programa malicioso 
  (por ejemplo, archivos, registro, kernel, sectores de arranque de los discos duros)
• Todas las actividades locales realizadas por el programa malicioso 
  (por ejemplo, la creación de procesos y gestión de desactivación de firewall y antivirus)
• Todas las actividades de la red realizados por el programa malicioso 
  (por ejemplo, la comunicación y el intercambio de datos con el servidor C & C)

Con todos los aspectos antes mencionados, nuestros expertos en seguridad pueden rastrear a los atacantes que controlan el malware y continuar con el proceso de investigación de incidentes.