Módulo 2 – Armado de laboratorio

Introducción
Hola, Mi nombre es Gabriela Nicolao. Bienvenidos al módulo 2 del curso Introducción al análisis
de malware en Windows de la Universidad Tecnológica Nacional, Regional Buenos Aires de la
República Argentina.

En este video veremos cómo configurar una máquina virtual de Windows 7.

Configuración de la máquina virtual

En este momento, ya disponemos de una máquina virtual con la capacidad de memoria y disco
elegidos y el sistema operativo Windows 7 instalado, ya sea en VirtualBox o en VMWare,
dependiendo de lo que hayan elegido.

Ahora, debemos configurar las opciones de red y el sistema operativo de la máquina virtual, la
cual también se conoce como “máquina guest”.

Es importante recordar que no se debe usar la red corporativa ni una personal para ejecutar
piezas de malware.

Opciones de red
El sistema de virtualización elegido nos permitirá configurar

 Bridge: Esta opción usa la placa de red o adaptador de red del sistema host para
brindarle internet a la máquina guest. En otras palabras, actúa de la misma forma que
si conectáramos dos dispositivos en la misma red; cada dispositivo tiene su propia
dirección IP, pero comparten la misma dirección física o MAC (Media Access Control).
Eso significa que si un dispositivo se infecta con una pieza de malware y el malware
quiere expandirse dentro de la misma red, podría comprometer a cualquier otro
dispositivo que esté en esa red y es por esto que no se recomienda su uso.
 Host-Only: Se genera un adaptador de red virtual y se crea una red que está
completamente contenida en la máquina host. En otras palabras, se crea una red
privada entre el host y el guest, con lo cual si hay varios dispositivos conectados a la
misma red de la máquina host, el host es el único dispositivo que puede ver a la máquina
guest. En Host-only, las máquinas guest no tienen salida a internet. Sin embargo, es
posible configurar el sistema de virtualización para que las maquinas puedan conectarse
a internet a través de habilitar adaptadores de red. En VirtualBox, el adaptador por
defecto se llama “vboxnet0” y en VMWare, los adaptadores se llaman “vmnet1” y
“vmnet8”. Algunos analistas recomiendan su uso.
 NAT (Network Address Translation o Traducción de Direcciones de Red): Se crea una
red privada en el sistema host y se asigna una IP de esa red privada a la máquina guest
para conectarse con otros dispositivos en la misma red o hacia internet. En otras
palabras, la maquina guest tendrá la misma IP pública que la maquina host. Otros
dispositivos que se encuentren en la misma red, no pueden conectarse directamente a
la máquina guest que está detrás de la red NAT; la máquina guest es la que debe iniciar
la comunicación. Solamente se puede tener una red de este tipo. Esta configuración
también se recomienda.

www.ciie.utn.edu.ar
Programas
A continuación, menciono una lista de programas que recomiendo instalar en la máquina guest.
Los programas son:

 Python (https://www.python.org/downloads/): Existen muchos scripts, los cuales son

programas que permiten automatizar tareas, que nos pueden ayudar durante un
análisis de malware. Por ejemplo oletools
(https://github.com/decalage2/oletools/wiki/Install) el cual es un paquete de
herramientas escritas en python que nos permite analizar objetos OLE (Object Linking
and Embedding) y archivos de Office, lo cual es muy importante para entender cómo
funcionan los droppers.
 Adobe Reader (https://get.adobe.com/reader/): Esta herramienta nos permite abrir
archivos PDF, que son usados de forma maliciosa para infectar víctimas con piezas de
malware.
 Microsoft .NET framework (https://dotnet.microsoft.com/download/dotnet-
framework): Algunas piezas de malware requieren que este software esté instalado
para funcionar correctamente.
 Java (https://www.java.com/download/): Este software nos permite analizar piezas de
malware escritas en lenguaje Java.
 7-Zip (https://www.7-zip.org/): Este software nos permite analizar archivos
comprimidos.
 Office (https://support.office.com/en-us/article/install-office-2010-1b8f3c9b-bdd2-
4a4f-8c88-aa756546529d?ocmsassetID=1b8f3c9b-bdd2-4a4f-8c88-
aa756546529d&ui=en-US&rs=en-US&ad=US): Muchas piezas de malware conocidas
como droppers funcionan a través de documentos de Word, planillas de Excel o archivos
RTF (Rich Text Format). También, un vector de infección muy popular es el envío de
emails. Se recomienda comprar una licencia de Windows 2010 para analizar droppers e
emails.

Una vez instalados los programas mencionados, se recomienda realizar una snapshot. Una
snapshot guarda el estado de un sistema en un momento determinado. Las snapshots permiten
infectar una máquina virtual con una pieza de malware y luego volver a recuperar el estado de
la máquina antes de la infección. De esa manera, podemos usar la misma máquina una y otra
vez para analizar piezas de malware, de lo contrario, cada vez que nos infectamos, tendríamos
que crear una máquina nueva.

Con este video concluimos el módulo 2: Armado de laboratorio. Nos vemos en el siguiente
módulo.

www.ciie.utn.edu.ar