INFORMÁTICA FORENSE III

Miguel Quintero

EJE 3
Pongamos en práctica

Fuente: Freepik/5704213
 Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

Análisis de malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

Formas como se propaga el malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Técnicas usadas para la distribución de malware . . . . . . . . . . . . . . . . . . 9

Estructura de un malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

Introducción al análisis de Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Metodología para analizar malware . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

Cómo identificar y extraer un malware . . . . . . . . . . . . . . . . . . . . . . . . . 15

Reglas Generales para Analizar un Malware . . . . . . . . . . . . . . . . . . . . . . 18

Tipos de análisis de malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Análisis estático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Análisis dinámico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
ÍNDICE
 Introducción

Los ataques utilizando malware son cada día más comunes y aunque las
diferentes empresas de seguridad trabajan día a día para evitar este tipo
de ataques, los desarrolladores de malware, están siempre pasos adelante,
cada vez son códigos más sofisticados, difíciles de detectar y detener. Este
es uno de los grandes retos de los investigadores, fabricantes de software
y la industria de productos de seguridad en general, los cuales deben estar
en la capacidad de evitar la distribución de malware y evitar al mínimo las
consecuencias que tiene este tipo de ataques.

El malware es un tipo de software dañino o

malicioso cuyo objetivo es dañar o en su caso
deshabilitar funciones principales del sistema,
siempre con el firme propósito de poder realizar
el robo de la información u ocasionar un fraude,
INTRODUCCIÓN
los tipos de malware más conocidos son: Root-
kit, Botnet, Downloader spam-sending malware,
gusanos y virus, programas para robar credenciales
y lanzadores.
Este tipo de programas pueden eliminar archi-
vos, hacen que el funcionamiento del equipo o
equipos sea cada vez más lento, los atacantes pue-
den hacer que el malware utilice el equipo infec-
tado para tareas tan simples como la de enviar un
correo electrónico hasta operaciones más comple-
Rootkit
Es un conjunto de herramientas
usadas frecuentemente por los
intrusos informáticos o crackers
que consiguen acceder ilícita-
mente a un sistema informá-
tico. Estas herramientas sirven
para esconder los procesos y ar-
chivos que permiten al intruso
mantener el acceso al sistema,
a menudo con fines maliciosos.
Botnet
Es un término que hace refe-
rencia a un conjunto o red de
robots informáticos o bots, que
se ejecutan de manera autóno-
ma y automática. El artífice de
la botnet puede controlar todos
los ordenadores /servidores in-
fectados de forma remota.

jas como el robo de identidad

Los atacantes usan los diferentes tipos de malware para:

• Lanzar ataques dirigidos a los navegadores y hacer búsquedas de si-

tios web vulnerables.
• Degradar el funcionamiento de un sistema o sistemas logrando ra-
lentizar.
• Pueden dañar los controladores del hardware para dejar los equipos
sin funcionar.
• Robar información personal o empresarial.
• Borrado de información.
• Utilizar los equipos que se encuentran comprometidos para lanzar
otros tipos de ataques a objetivos específicos.

En general este tipo de programas maliciosos están siendo usados por

los delincuentes para romper cualquier tipo de seguridad, por eso como
investigadores forenses debe tener los conocimientos y bases técnicas muy
sólidas para poder entender el funcionamiento, la propagación, calcular el
impacto y poder detenerlo y analizarlo.
Análisis de malware
 Formas como se propaga el malware

Los delincuentes informáticos cada vez buscan nuevas maneras de romper la seguridad
que puede tener el objetivo a atacar, y han visto que el uso de malware es una manera
muy eficiente para poder llegar a sus objetivos, por la sencilla razón que pueden usar la
inocencia de muchos usuarios cuando están navegando en internet o hacen mal uso de
un equipo en el desarrollo de sus actividades diarias.

En la siguiente imagen podemos ver las diferentes formas de envío de malware.

Aplicaciones
de mensajería Descargas de
instantánea archivos

Chat de
Correos
internet (IRC)
electrónicos y
archivos adjuntos

Errores de
Dispositivos navegador y
extraíbles aplicaciones

Uso
Redes compartido
inalámbricas de archivos de
y Bluetooth red mediante
NetBIOS

Figura 1. Formas de propagación de malware

Fuente: propia

Aplicaciones de Mensajería Instantánea: esta forma de propa-

gación de malware hace uso de los sistemas de mensajería instan- IM
tánea, lo que comúnmente se conoce como chat, como por ejemplo Mensajeria Instantanea.
ICQ o Yahoo! Messenger servicios con los cuales se pueden hacer
transferencia de mensajes de texto y archivos. Los atacantes utilizan estas opciones para
cargar archivos durante la transferencia utilizando IM. Los archivos que recibe la víctima
pueden contener archivos maliciosos, es importante tener en cuenta que las aplicaciones
de IM no cuentan con mecanismos de análisis adecuado a nivel de seguridad cuando
hacen la transferencia. En otras palabras, una persona que esté hablando con otra nunca
va a saber si la información que está compartiendo con la otra persona está infectada
o no, para poder entender mucho mejor vamos a poner un ejemplo:

Informática forense III - eje 3 pongamos en práctica 5

 Un delincuente informático logra robarle la identidad al señor Juan López, y utiliza
la lista de amigos para distribuir un archivo con un troyano dentro de él, enviando un
mensaje a todos sus amigos, como el mensaje llega de alguien conocido las víctimas lo
abrirán sin tener mayor precaución.

Chat de internet (IRC): este servicio se diseñó originalmente para poder tener conver-
saciones grupales y hacer transferencia de archivos a través de internet, muy usado hoy en
día en foros de discusión. Los atacantes buscan ingresar a estos foros, hacerse pasar por
personas de parte del grupo y comienzan el envío de archivos con nombres que tengan
que ver con lo que están hablando en el foro, pero en la mayoría de casos esos archivos
contienen troyanos muy bien camuflados. Cuando el usuario del chat realiza la descarga
y abre el archivo, automáticamente el troyano instala el código malicioso en el sistema.

Dispositivos extraíbles: este es un medio muy utilizado por los delincuentes para
infectar los equipos de las víctimas a las cuales conoce físicamente, los delincuentes
aprovechan las características de auto ejecución (Autorun) que traen estos dispositivos,
lo cual hace que el sistema no tenga en cuenta ciertas medidas de seguridad, agregando
el código malicioso camuflado con programas originales alterando el archivo autorun.
inf, los dispositivos más usados para este tipo de ataque son:

• CD-ROM

• DVD

• USB

• Discos externos

• Unidades flash

La infección se da cuando la víctima conecta el dispositivo y automáticamente el

código malicioso se instala en el sistema.

Correo electrónico y Archivos Adjuntos: existen dos formas

de propagación, la primera es camuflar el código malicioso junto
con el correo, la forma de infección es la siguiente: cuando la Camuflar
víctima hace clic en el nuevo correo el malware se instalará auto- Mostrar hacer pasar inadver-
máticamente en el sistema, en otras palabras no necesita de la tida una cosa disimulando su
presencia.
intervención humana, y la segunda forma es enviar el correo con
archivo adjunto el cual es el que contiene el malware, a diferen-
cia del primero este sí necesita la intervención de la víctima para
poder desplegarse, ya que primero debe realizar la descarga del
archivo adjunto y el segundo debe hacer clic para abrir el archivo,
sin saber que ese clic es el que está lanzando el código malicioso.

Informática forense III - eje 3 pongamos en práctica 6

 En la siguiente imagen podemos ver un ejemplo del segundo tipo de ataque utilizando
el correo con un archivo adjunto para tratar de infectar el sistema:

Adjunto Infectado
Figura 2. Ejemplo de utilización de correo con archivo adjunto malicioso
Fuente: propia

Además de adjuntar archivos con contenido mali-

cioso, los delincuentes pueden utilizar imágenes de
promociones muy tentadoras con enlaces a sitios
web maliciosos, los cuales están en la capacidad de
descargar e instalar malware en segundo plano y así
lograr infectar el equipo.
Segundo plano
Son los procesos que ejecutan las aplicaciones
mientras no las usamos, como la sincroniza-
ción de datos, ubicación, actualización de
información, etc.

Errores en los navegadores y aplicaciones: este tipo de propagación se da por la

falta de actualizaciones en el sistema o en las aplicaciones, los atacantes están en bús-
queda de vulnerabilidades de los diferentes sistemas o aplicaciones, los fabricantes están
diseñando parches para corregir posibles agujeros de seguridad y lanzan actualizaciones
constantemente, pero los usuarios no son muy juiciosos aplicándolas, los delincuentes se
aprovechan de este comportamiento y lanzan sus ataques de malware. Para aclarar un
poco este tipo de ataque pongamos un ejemplo: El navegador del señor Enrique Peralta

Informática forense III - eje 3 pongamos en práctica 7

no está actualizado, por lo cual no está en la capacidad de identificar si los sitios que
se están visitando son legítimos o maliciosos, y tampoco podrá impedir que estos sitios
instalen software en el equipo. Algunos sitios maliciosos hoy en día infectan los sistemas
automáticamente sin necesidad de descargar o instalar programas.

Lectura recomendada
Para poder identificar un sitio web malicioso los invitamos
a realizar la siguiente lectura, esta se encuentra en la
parte principal del eje.

Cómo detectar direcciones web maliciosas (sin

pincharlas)

El Confidencial

Descarga de archivos: este tipo de propagación funciona de la siguiente manera, los

delincuentes crean sus códigos maliciosos y los adhieren a aplicaciones comerciales y
los alojan en un sitio de descargas libres. Cuando la víctima hace la descarga se activa
la etiqueta Trusted, que es una etiqueta de control de acceso
obligatorio, entonces se ejecutan los códigos maliciosos, oca- POP
sionando que los sistemas de seguridad no puedan detectar Protocolo de Oficina de Correo o
"Protocolo de Oficina Postal") en
estas instalaciones. La información que puede obtener el clientes locales de correo para
delincuente es: cuentas de correo electrónico POP, contrase- obtener los mensajes de correo
electrónico almacenados en un
ñas que se encuentren almacenadas en caché, además de servidor remoto, denominado
pueden capturar las pulsaciones del teclado y archivarlas en Servidor POP. Es un protocolo de
nivel de aplicación en el Modelo
un documento de texto y luego enviarlas por correo sin que el OSI.
usuario se dé cuenta.

Este tipo de distribución es muy empleado para realizar infecciones internas con el
objetivo de lograr una infección masiva, este tipo de ataque se da cuando existen emplea-
dos descontentos y con el conocimiento suficiente para llevarlo a cabo, la distribución
se realiza de la siguiente manera, el empleado descontento busca una serie de archivos
que se deben compartir por la red, los infecta con código malicioso y los sube a la red,
cuando los usuarios comienzan la descarga de estos archivos comienza la infección de
los equipos.

Uso compartido de archivos de red mediante NetBIOS: este tipo de propagación

es utilizado cuando se conoce la red y se utilizan todos los puertos que se encuentren
abiertos o escuchados para realizar la transferencia del contenido malicioso.

Redes inalámbricas y Bluetooth: este tipo de propagación se aprovecha de las redes

que se encuentran abiertas a las cuales se conectan y comienzan a instalar software
para capturar tráfico, paquetes de datos y posibles usuarios y contraseñas que viajan en
texto claro.

Informática forense III - eje 3 pongamos en práctica 8

 Instrucción
Para complementar este tema los invito a revisar el
recurso de animación, que se encuentra disponible
en la parte principal del eje.

Técnicas usadas para la distribución de malware

Algunas de las técnicas más utilizadas por los delincuentes para distribuir sus códigos
maliciosos son:

Ingenieria
social Black hat SEO
clickjacking

Malvertising
Spear
o publicidad
phishing
maliciosa

Drive-by Sitios legítimos

download comprometidos

Figura 3. Técnicas de distribución de malware

Fuente: propia

Black hat SEO: Esta técnica también se conoce

como SEO poco ético, consiste en la utilización de SEO
agresivas, por ejemplo, el rellenado de palabras claves,
páginas de ingreso, intercambio de páginas y adición
de palabras claves no relacionadas, para lograr obte-
ner una mayor clasificación en los diferentes moto-
res de búsqueda para las páginas que contienen el
SEO
Se denomina posicionamiento en buscado-
res, posicionamiento web u Optimización en
motores de búsqueda (SEO por sus siglas
en inglés, de Search Engine Optimization
que se traduce, 'Optimización para moto-
res de búsqueda') al proceso de mejorar la
visibilidad de un sitio web en los diferentes
buscadores, como Google, Bing.

Informática forense III - eje 3 pongamos en práctica 9

malware. En otras palabras, se hace que aparezcan en los primeros resultados de bús-
queda en los diferentes motores de búsqueda.

Lectura recomendada
Para complementar este tipo de técnica de distribución
de malware los invitamos a realizar la siguiente lectura,
esta se encuentra disponible en la parte principal del eje.

An Introduction to Black Hat SEO

HubSpot

Ingeniería social — clickjacking: este tipo de distribución lo utiliza el delincuente

cuando logra infectar la página web legítima con malware, buscando que cuando la
víctima haga clic se produzca la ejecución del código malicioso sin la autorización y
conocimiento de la víctima.

Lectura recomendada
Para ver un ejemplo de este tipo de distribución los invito
a realizar la siguiente, que encontrarán en la parte prin-
cipal del eje.

Clickjacking

Imperva

Malvertising o publicidad maliciosa: este tipo de distribución utiliza anuncios publi-

citarios cargados de malware en páginas o canales de publicidad en línea para lograr su
distribución y captar usuarios incautos.

Lectura recomendada
Para ampliar el concepto y ver ejemplos de este tipo de
distribución los invito a realizar la siguiente lectura, la
cual encontrará en la parte principal del eje.

Cómo funciona el “malvertising”, la publicidad maliciosa

que se esconde entre los anuncios de internet

BBC News

Informática forense III - eje 3 pongamos en práctica 10

 Sitios de Spear Phishing: en esta forma de distribución los delincuentes buscan
imitar páginas legítimas por lo general entidades bancarias, buscando lograr obtener
las contraseñas, datos de las tarjetas de crédito y cuentas bancarias

Lectura recomendada
Para ampliar el concepto de este tipo de distribución los
invito a realizar la siguiente lectura que se encuentra
en la parte principal del eje.

¿Qué es el spear phishing?

Kaspersky

Sitios web legítimos comprometidos: este tipo de distribución lo utilizan los delincuen-
tes cuando logran comprometer un sitio legítimo y camuflan códigos maliciosos dentro
de la página, cuando los usuarios ingresan en el sitio y hacen clic, el malware se instala
sin que el usuario pueda percatarse, ya que se trata de un sitio que es legítimo.

Drive-By Download: este tipo de distribución se da cuando el usuario accede a páginas

de descarga donde los archivos están infectados con malware.

Estructura de un malware

El malware es un código que se realiza en un lenguaje de programación y por ende

debe tener una estructura definida y unos componentes básicos y otros que dependerán
directamente del programador del malware. En la siguiente imagen podemos ver los
componentes básicos que debe tener un malware:

Crypter

Payload
Downloader

Malicius code

Dropper

Packer

Exploit Injector

Figura 4. Estructura básica de un malware

Ofuscator Fuente: propia

Informática forense III - eje 3 pongamos en práctica 11

 Crypter: es utilizado para ocultar la existencia de código malicioso, su objetivo princi-
pal es pasar la detección de los antivirus, esto lo logra encriptando todo el código.

Downloader: este tipo de código es el encargado de realizar la descarga de otros códi-

gos maliciosos dependerá de cuál es el objetivo del programador. Es muy usado cuando
se va a infectar un sistema por primera vez.

Dropper: este código es el encargado de realizar desinstalaciones de forma encubierta,

además es capaz de realizar la descarga de archivos que se necesiten para la ejecución
de otra parte del malware en un sistema.

Exploit: Este es el código el cual explota las vulnerabilidades del sistema, en otras
palabras, es el código encargado de violar la seguridad del sistema utilizando las vulne-
rabilidades de software para hacer instalaciones de códigos maliciosos, dentro de este
tipo de códigos hay dos categorías que son: exploit locales y remotos.

Injector: este código se encarga de inyectar el exploit en los procesos que se encuen-
tren en ejecución y presenten la vulnerabilidad que quieren explotar, es importante que
este proceso cambie la forma como se está ejecutando el proceso original.

Ofuscador: este código es el encargado de evitar que los sistemas de seguridad pue-
dan detectar el código del malware.

Packer: este código es el encargado de comprimir el malware para que sean ilegibles,
utilizan diferentes técnicas para comprimir archivos.

Payload: este código es el encargado de realizar las actividades que el delincuente

tiene como objetivo, como por ejemplo eliminar, copiar, modificar, sobrescribir librerías
para afectar el rendimiento del sistema, abrir puertos.

Malicious code: este código es el encargado de definir la funcionalidad básica del

código malicioso, puede tener las siguientes formas:

• Java Apples

• ActiveX Controls

• Browser Plug-ins

• Pushed content

Informática forense III - eje 3 pongamos en práctica 12

Introducción al análisis de Malware

El análisis forense a códigos maliciosos o malware es el método para investigar y

analizar el malware, poder definir cómo es el funcionamiento, su comportamiento y
determinar el impacto que puede tener sobre el sistema infectado, el análisis de malware
permite identificar el tipo de malware utilizado por los delincuentes que pueden ser:

• Virus.

• Gusanos.

• Troyanos.

• Spyware.

• Ransomware.

• Otros.

Existen otras formas de realizar análisis forense de malware que son: análisis estático
y análisis dinámico, las cuales serán explicadas más adelante.

El análisis de malware es la metodología para encontrar, analizar e investigar las pro-

piedades de los códigos maliciosos, con el objetivo de poder saber quién fue el culpable,
lograr identificar qué razón o motivación tenía para realizar el ataque y poder determinar
cuál fue el alcance y lograr calcular qué tan comprometido se encuentra el sistema y la
información.

Instrucción
Para profundizar más en el tema los invito a ver
el videorresumen propuesto para esta temática,
el cual encontrarán en la parte principal del eje.

Metodología para analizar malware

Como todos los procesos que se realizan en una investigación forense se debe contar
con una metodología y el análisis de malware no es la excepción, en la siguiente imagen
podemos ver un paso a paso de lo que debería hacer un investigador cuando se enfrenta
a algún tipo de malware.

Informática forense III - eje 3 pongamos en práctica 13

 Figura 5. Metodología para el análisis de malware
Fuente: propia

Como podemos ver es una serie de 8 tareas básicas divididas por niveles que van
cambiando de complejidad, los cuales están encaminados para tratar de dar respuesta
a las siguientes preguntas:

• ¿Cuál es el objetivo del malware?

• ¿Cómo paso?

• ¿Quiénes fueron los autores y qué nivel de expertos tienen?

• ¿Cómo se puede detener?

• ¿Hubo pérdidas?

• ¿Por cuánto tiempo estuvieron en el sistema?

• ¿Cómo lograron la infección?

• ¿Existe alguna medida preventiva?

Informática forense III - eje 3 pongamos en práctica 14

Cómo identificar y extraer un malware

Los investigadores cuando reciben un reporte de infección con malware deben revisar
muy detalladamente los sistemas afectados, la red y todos los dispositivos que se encuen-
tren conectados a ella. Para buscar rastros del código malicioso, el malware muestra
comportamientos específicos que deben ser aprovechados por los investigadores para
identificar los procesos sospechosos de los procesos legítimos.

Los códigos maliciosos o cuando infectan el sistema dejan partes de su código por
varios sitios dentro del sistema, los investigadores deben saber en dónde buscar. Las áreas
del sistema que se deben examinar son:

• Programas instalados.

• Registro de eventos.

• Ejecutables sospechosos.

• Cuentas de usuario e inicio de sesiones.

• Ubicaciones de inicio automático.

• Sistemas de archivos.

• Servicios.

• Rastro de aplicaciones instaladas.

• Módulos.

• Puntos de restauración.

• Entradas de registro.

Existen varias herramientas de hardware, software y bases de datos en línea que le

ayudan a los investigadores a identificar y clasificar el tipo de malware. Dentro de las
herramientas más comunes usadas por los investigadores para análisis de malware están:
Cryptam malware y Balbuzard. Estas herramientas ofrecen un análisis automatizado de
todo el sistema con el objetivo de encontrar los lugares donde el malware dejó rastro faci-
litando el trabajo al investigador, y pueden hacer un análisis estático o análisis dinámico.

Análisis estático: este tipo de análisis realiza un seguimiento para buscar valores
conocidos que puedan identificar la presencia de códigos maliciosos, buscan cadenas y
ejecutables, etc.

Informática forense III - eje 3 pongamos en práctica 15

 Análisis dinámico: este tipo de análisis realiza una búsqueda a nivel de comportamiento
de los programas, pero en un ambiente controlado. Este tipo de análisis debe primero
infectar todo el sistema para luego poder ser analizado, por esta razón, es que se realiza
en un ambiente controlado, para este tipo de análisis se debe contar con un laboratorio
de análisis en el cual se pueda infectar un sistema y esté completamente monitoreado.

Creación de laboratorio de análisis

Para un investigador es muy importante poder determinar los patrones de compor-

tamiento de los códigos maliciosos, por naturaleza este tipo de códigos son dinámicos,
esto quiere decir que pueden saltar o propagarse de un sistema a otro, por esta razón
es que el análisis de malware debe evitar que más equipos se puedan ver afectados, por
eso los investigadores deben contar con un sistema que puedan infectar pero siempre
garantizando que los equipos que se encuentren en producción no se van a ver afectados.

Para lograr este objetivo la manera más sencilla de hacerlo es utilizando sistemas de
virtualización que le van a permitir a los investigadores disponer de diferentes sistemas
operativos, donde puedan inyectar los códigos maliciosos a analizar y puedan estar moni-
toreados en tiempo real, sin poner en riesgo los equipos de producción. Los softwares
más utilizados para este propósito son:

• Virtual box

• VMWare

• Hiper-v

• Proxmox

En estos laboratorios los investigadores pueden ver la forma como el malware se

conecta a otros sistemas, cuál es el proceso que utiliza para robar los datos, poder
determinar las instrucciones del atacante y entender cómo es el proceso que usa para
copiarse a sí mismo, pero lo más importante es que se debe garantizar que bajo ninguna
circunstancia este laboratorio va a interactuar con la red de producción. Además, los
investigadores deben utilizar el firewall para inhibir que se pueda propagar el malware
por la red, deben evitar el uso de medios extraíbles como DVD, CD-ROM, discos extraí-
bles, evitar la transferencia de archivos, si deben usar memorias USB estas deben estar
protegidas contra escritura.

Pasos para montar un laboratorio de análisis de malware:

• Contar con un equipo físico.

• Instalar un sistema que permita virtualizar, como por ejemplo (VMware, Virtual-
Box, etc.).

Informática forense III - eje 3 pongamos en práctica 16

 • Crear, instalar y configurar las máquinas virtuales.

• Configurar las tarjetas de red para trabajar en modo host.

• Simular servicios de internet haciendo uso de herramientas como iNetSim.

• Deshabilitar el uso de carpetas compartidas, deshabilitar la cuenta invitada.

• Instalar herramientas para análisis de malware.

• Obtener el hash de cada una de las máquinas virtuales.

• Copiar el malware en los sistemas que se desea infectar.

Instrucción
Para complementar el tema de elaboración de
un laboratorio los invito a realizar la actividad
de aprendizaje simulación que se encuentra en
la parte principal del eje.

Herramientas utilizadas para el análisis de malware

Herramientas para obtener imágenes: este tipo de herramientas es utilizado para

obtener imágenes limpias destinadas a investigaciones forenses.

Herramientas para analizar archivos y datos: este tipo de herramientas se utili-

zan para hacer un análisis estático de archivos donde posiblemente se pueda alojar el
malware.

Herramientas de registro/configuración: este tipo de herramientas se utilizan para

identificar las últimas configuraciones guardadas.

Sandbox: este tipo de herramientas se utiliza para realizar análisis dinámico de forma
manual.

Analizador de registro: este tipo de herramientas se utilizan para extraer los archivos
de registro que hayan sufrido algún cambio.

Captura de red: herramienta para capturar paquetes de red, los investigadores la

utilizan para determinar cómo es el proceso que utiliza el malware para propagarse por
la red.

Informática forense III - eje 3 pongamos en práctica 17

 Instrucción
Para complementar el tema de herramientas utiliza-
das en un laboratorio de análisis forense los invito a
desarrollar la actividad de aprendizaje práctica que
se encuentra en la parte principal del eje.

Reglas Generales para Analizar un Malware

• En el momento en el que se está realizando el análisis del malware, el investigador

debe poner atención a las características claves del código malicioso, y no enfocar-
se en tratar de observar todos los detalles. Siempre debe tener en cuenta que los
malware son dinámicos y pueden cambiar las propiedades en cualquier momento,
cuando el comportamiento del malware se torne muy complejo el investigador
debe tratar de recopilar un panorama general del sistema y su comportamiento.

• Es muy importante que los investigadores hagan uso de diferentes herramientas

y enfoques variados, siempre buscando obtener resultados diferentes, aunque las
herramientas tienen funciones muy parecidas. Cambiar el panorama le ayudará al
investigador a obtener resultados diferentes.

• El análisis de malware es una lucha constante de poderes, los investigadores siem-

pre están buscando nuevas técnicas para poder detectar códigos maliciosos y por
el otro lado los atacantes siempre están buscando la forma de que sus códigos
no sean detectados, como investigadores debemos estar en constante aprendi-
zaje para estar en la capacidad técnica de responder a las nuevas técnicas que
implementa los delincuentes para ocultar sus códigos maliciosos y lograr que sus
ataques sean efectivos.

Antes de que los investigadores inicien el análisis del código maliciosos deben tener
preparados los siguientes documentos:

Descripción completa
Ruta completa
Marca de tiempo del sistema operativo
y ubicación de 1 2 3
MAC donde se almacenó el
archivos
archivo

Referencia al Detalles arrojados

Quién encontró el
archivo malicioso y 4 5 por las herramientas 6
archivo y cuándo
eventos del archivo de análisis utilizadas

Figura 6. Documentos que debe preparar el investigador

Fuente: propia

Informática forense III - eje 3 pongamos en práctica 18

 Los investigadores deben ser muy prácticos y estar siempre preparados para tomar
apuntes de los pasos que siguen cuando analizan malware, teniendo en cuenta las pro-
piedades de los archivos ejecutables, los resultados obtenidos y los materiales que han
usado como apoyo, por ejemplo, capturas de pantalla, además deben tomar notas de
la versión del sistema operativo y las herramientas utilizadas.

Tipos de análisis de malware

Como ya se había mencionado antes, existen dos tipos de análisis de malware que
son análisis estático y análisis dinámico, aunque ambos tipos de análisis muestran el
proceso del malware, las herramientas, el tiempo que se debe emplear y las habilidades
necesarias que debe tener un investigador son totalmente diferentes.

El análisis dinámico se enfoca en realizar un análisis básico del código binario y trata
de comprender el malware para poder explicar sus funciones. Por otra parte, el análi-
sis dinámico o análisis de comportamientos se ocupa de analizar todo el proceso del
malware desde que se instala, se ejecuta.

Otra de las grandes diferencias es que en el análisis estático no se ejecuta el código,

lo que se busca es emplear herramientas que ayuden a encontrar la parte maliciosa del
archivo, además se pueden determinar sus funciones y encontrar firmas simples o gene-
rales, este tipo de firmas incluyen el nombre de los archivos, tipo y tamaño.

Por otra parte, el análisis dinámico se hace sobre la

ejecución del código malicioso para poder determinar sus
comportamientos, buscan las firmas que comprueben
conductas maliciosas, con este análisis podemos obtener
nombres de dominio, rutas de acceso de archivos, claves
de registro creadas, direcciones IP, archivos de instala-
ción, DLL y archivos que se encuentren en el sistema o
en la red.
DLL
Significa biblioteca de enlace dinámico
(siglas en inglés de dynamic-link library).
Este es el término con el que se conoce a
los archivos con código ejecutable que se
cargan bajo la demanda de un programa
de un sistema operativo.

Análisis estático

El análisis estático se basa en analizar un archivo con contenido malicioso ejecutable

sin necesidad de ejecutarlo o instalarlo. Es un tipo de análisis más seguro por qué no se
instala, pero es importante tener en cuenta que algunos tipos de malware no necesitan
ejecutarse o instalarse para realizar actividades maliciosas, teniendo esto en cuenta que
siempre se deben analizar este tipo de códigos en ambientes seguros.

El análisis estático implica el proceso de acceder al código fuente o binario con el firme
objetivo de encontrar la estructura de datos, las diferentes funciones y sus respectivas lla-
madas, poder establecer el gráfico de cómo interactúan esas llamadas, los investigadores
hacen uso de una gran variedad de herramientas para realizar el proceso de análisis de
código binario, para poder entender el sistema de archivos y el impacto que tendrá en el

Informática forense III - eje 3 pongamos en práctica 19

sistema. Una de las complicaciones a las que se puede enfrentar el investigador cuando
hace el análisis es que el código fuente se compile y se convierta en código binario, ya
que este proceso originará pérdida de datos.

El proceso de examinar el código binario sin ejecutarse se hace por lo general de forma
manual, pero para poder ver el gráfico de las llamadas a las diferentes funciones solo
se puede ver cuando se ejecuta el código, este proceso solo se debe hacer cuando el
investigador ya esté seguro que la información que se perderá al momento de ejecutar
el binario ya la pudo salvaguardar.

En la siguiente imagen podemos ver algunas de las técnicas más usadas para realizar
análisis estático a malware:

Fingerprinting Buscar ejecutables

de archivos portátiles

Análisis de Identificar las

malaware local dependencias
y en línea de los archivos
Técnicas de
análisis estático
Realizar búsquedas Desmontaje
de cadenas de malaware

Identificar métodos
de empaquetado y
ofuscación
Figura 7. Técnicas de análisis estático
Fuente: propia

Fingerprinting de archivos: también conocido como

huellas digitales de archivos, este tipo de técnicas examina
los elementos evidentes del código binario, esta técnica
incluye la documentación del proceso, donde se realiza
el cálculo de la función resumen Hashes criptográficos
del código binario. Este proceso se realiza buscando una
comparación con otros códigos binarios que se hayan
analizado anteriormente.
Algunos de los algoritmos más usados para calcular los
hashes son:
• MD5
Hashes
Una función criptográfica hash- usual-
mente conocida como “hash”- es un
algoritmo matemático que transforma
cualquier bloque arbitrario de datos en
una nueva serie de caracteres con una
longitud fija. Independientemente de la
longitud de los datos de entrada, el valor
hash de salida tendrá siempre la misma
longitud.
Criptografía
La criptografía es la ciencia que resguarda
documentos y datos que actúa a través
del uso de las cifras o códigos para escri-
bir algo secreto en documentos y datos
que se aplica a la información que circu-
lan en las redes locales o en internet.

Informática forense III - eje 3 pongamos en práctica 20

 • SHA1

• CRC32

• SHA-256

• SHA-512

• SHA-384

Análisis de malware local y en línea: esta técnica calcula el hash de los archivos
maliciosos y los compara con las bases de datos online para tratar de encontrar el tipo
de malware. Si es un código conocido, este tipo de técnica ofrece una mejor visión del
código, su funcionalidad y los sistemas que pueden afectar.

Algunos de los servicios online para el análisis de malware son:

• Virus total

• Anubis

• Matascan Online

• Valkyrie

• Malwr

• Malware protection center

• Bitdefender QuickScan

Realizar búsqueda de cadenas: este tipo de técnicas tiene como objetivo encontrar
los timbres que activan los comandos para activar las funciones específicas del malware,
como por ejemplo la lectura de la memoria interna, los datos de las cookies, para tratar
de identificar la intención maliciosa del código.

Algunas de las herramientas utilizadas son:

• Strings

• ResourcesExtract

• Bintext

• Hex Workshop

Informática forense III - eje 3 pongamos en práctica 21

 Métodos de empaquetado y ofuscación: esta técnica tiene como objetivo poder
identificar si dentro del código hay algunas secuencias que se encuentren empaqueta-
das y saber que técnica de empaqueta fue la que utilizó el diseñador del malware, es
importante tener claro que el empaquetado y la ofuscación son las técnicas usadas por
los delincuentes para evitar que sus códigos sean detectados.

Búsqueda de ejecutables portátiles: el formato PE PE

almacena la información que un sistema Windows requiere El formato Portable Executable
para ejecutar el código. Los archivos PE almacenan detalles (PE) es un formato de archivo
para archivos ejecutables, de
únicos como por ejemplo el número único del sistema UNIX código objeto, bibliotecas de
para encontrar el tipo de archivo y divide la información enlace dinámico (DLL), archivos
de fuentes FON, y otros usados
del formato del archivo. Para dejarlo un poco más claro en versiones de 32 bit y 64 bit
veremos un ejemplo: un binario de Windows en formato PE, del sistema operativo Microsoft
Windows.
tiene la siguiente información:

• Hora de creación y modificación.

• Funciones de importación y exportación.

• Tiempos de compilación.

• DLL.

• Archivos vinculados.

• Cadenas.

• Menús.

• Símbolos.

Identificar dependencia de los archivos: cualquier programa que se instale en un

sistema operativo necesitará de dependencia o librerías para poder ejecutarse y realizar
las tareas para la cual fue diseñado, para un investigador poder encontrar estas depen-
dencias le ayuda a obtener información sobre los requisitos de tiempo de ejecución del
código.

Desmontaje del malware: este tipo de técnica tiene como objetivo la desinstalación
del malware para analizar sus funciones y características, con el fin de poder encontrar
el lenguaje de programación utilizado para la creación de las diferentes API que activan
las diferentes funciones del código.

Informática forense III - eje 3 pongamos en práctica 22

 Instrucción
Para poner en práctica los conceptos vistos en este
capítulo los invito a ver el recurso de aprendizaje
caso modelo, este se encuentra en la parte principal
del eje.

Análisis dinámico

Es el proceso que estudia el comportamiento del código

malicioso en un entorno controlado. El diseño del entorno URL
debe tener herramientas que puedan capturar los cambios Es una sigla del idioma inglés
correspondiente a Uniform Re-
que va realizando el malware en el sistema de una manera source Locator (Localizador Uni-
muy detallada y mostrar esos cambios a los investigadores, forme de Recursos). Se trata de
la secuencia de caracteres que
este tipo de análisis se utiliza para determinar los archivos sigue un estándar y que permite
y carpetas creados, los puertos y URL a los que accede, la denominar recursos dentro del
entorno de Internet para que
información que transfiere, las configuraciones que modifica, puedan ser localizados.
procesos y servicios que el código inicia.

El investigador debe garantizar que el análisis lo están haciendo sobre un sistema

controlado, además que está en la capacidad de recuperarse en un momento dado, para
lograr este objetivo hay dos formas de asegurar la recuperación del entorno de pruebas:

• Línea base del sistema: en este escenario se van tomando instantáneas del siste-
ma desde el momento que comienza el análisis del malware, el propósito es poder
identificar los cambios significativos comparados con la instantánea inicial. La
línea base del sistema incluye detalles como:

-  Sistemas de archivos

-  Registros

-  Puertos abiertos

-  Actividades de trabajo

• Monitoreo de integridad del Host: este tipo de ambiente implica que se debe to-
mar una instantánea del estado del sistema utilizando las mismas herramientas
durante el proceso de análisis, con el objetivo de detectar los cambios realizados
en los servicios que están activos en el sistema.

Informática forense III - eje 3 pongamos en práctica 23

 El monitor de integridad del host incluye:

-  Monitor de instalación

-  Supervisión de la resolución de DNS

-  Monitoreo de procesos

-  Monitor de llamadas API

-  Monitoreo de archivos y carpetas

-  Monitor de los controladores del dispositivo

-  monitoreo del registro

-  Monitoreo de los programas de inicio

-  Monitoreo y análisis de tráfico de red

-  Windows service monitor

-  Monitoreo de puertos

Algunas de las herramientas más utilizadas para realizar los diferentes monitoreos:

• Porcess Explorer

• MONIT

• OpManager

• KillProcess

• HijackThis

• Systrem Explorer

• Tripwire

• FCIV

• FastSum

• WinMD5

• Directory Monitor

• Verisys

Informática forense III - eje 3 pongamos en práctica 24

 • OSSEC

• Exacfile

Instrucción
Para complementar este tema los invito a observar
el recurso de aprendizaje galería, este se encuentra
disponible en la parte principal del eje.

En este eje aprendimos o ampliamos los conocimientos sobre códigos maliciosos o

comúnmente conocidos como Malware, los diferentes tipos que existen, las principales
formas de propagación y el impacto que pueden tener en diferentes dispositivos, en
términos generales ya tenemos una idea de lo complicados que son estos códigos y el
gran daño que pueden causar y lo más importante es que cada vez son más comunes
y utilizados por los delincuentes, los invitamos a realizar las actividades propuestas y la
lectura recomendadas.

Informática forense III - eje 3 pongamos en práctica 25

 Bibliografía

Malin, C., Casey, E. y Aquilina, J. (2012). Malware Forensics Field Guide

for Windows Systems: Digital Forensics Field Guides. Recuperado
de http://index-of.es/Varios-2/Malware%20Forensics%20Field%20
Guide%20for%20Windows%20Systems.pdf

Postmortem Forensics. (s.f.). Discovering and Extracting Malware and

BIBLIOGRAFÍA

Associated Artifacts from Linux Systems. Recuperado dehttps://

cdn.ttgtmedia.com /rms /security/Malware%20Forensics%20
Field%20Guide%20for%20Linux%20Systems_Ch3.pdf

Zimmer, D. (2010). Stream Dumper. Recuperado de http://sandsprite.

com/blogs/index.php?uid=7&pid=57