Búsqueda de cadenas

¿Cómo se pueden buscar las cadenas?

¿Cómo funciona?

Una búsqueda de cadenas analiza los datos binarios en una muestra de malware independiente de su tipo de archivo e identifica secuencias de caracteres ASCII o Unicode seguidos de un carácter nulo.

No todas las secuencias de bytes pueden ser cadenas reales, muchas de ellas pueden cumplir los criterios mencionados anteriormente pero no son cadenas útiles, ya que pueden incluir direcciones de memoria, instrucciones, etc. Esto genera muchos falsos positivos (FP), por lo tanto hay que ignorarlos.

Las siguientes utilidades puede usarse como indicadores de compromiso (IOC):

• Funciones y API de Windows como por ejemplo, SetWindowsHook, CreateProcess, InternetOpen, etc. Esto proporciona información sobre la funcionalidad del malware.

• Las direcciones IP, URL o dominios puede proporcionar información sobre un posible C2 (Command and control).

• Cadenas diversas, como direcciones de Bitcoin, texto, etc.

Búsqueda de cadenas básica

Se pueden utilizar varias herramientas:

• Strings.exe

• CyberChef

• PEstudio

Como se puede apreciar hay una columna para una lista negra que compara las cadenas con algunas firmas.

PEstudio señala como potencialmente utilizadas en procesos maliciosos.