Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Miguel Quintero
EJE 3
Pongamos en práctica
Fuente: Freepik/5704213
Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
Análisis de malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Estructura de un malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Análisis estático . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Análisis dinámico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
ÍNDICE
Introducción
Los ataques utilizando malware son cada día más comunes y aunque las
diferentes empresas de seguridad trabajan día a día para evitar este tipo
de ataques, los desarrolladores de malware, están siempre pasos adelante,
cada vez son códigos más sofisticados, difíciles de detectar y detener. Este
es uno de los grandes retos de los investigadores, fabricantes de software
y la industria de productos de seguridad en general, los cuales deben estar
en la capacidad de evitar la distribución de malware y evitar al mínimo las
consecuencias que tiene este tipo de ataques.
Los delincuentes informáticos cada vez buscan nuevas maneras de romper la seguridad
que puede tener el objetivo a atacar, y han visto que el uso de malware es una manera
muy eficiente para poder llegar a sus objetivos, por la sencilla razón que pueden usar la
inocencia de muchos usuarios cuando están navegando en internet o hacen mal uso de
un equipo en el desarrollo de sus actividades diarias.
Aplicaciones
de mensajería Descargas de
instantánea archivos
Chat de
Correos
internet (IRC)
electrónicos y
archivos adjuntos
Errores de
Dispositivos navegador y
extraíbles aplicaciones
Uso
Redes compartido
inalámbricas de archivos de
y Bluetooth red mediante
NetBIOS
Chat de internet (IRC): este servicio se diseñó originalmente para poder tener conver-
saciones grupales y hacer transferencia de archivos a través de internet, muy usado hoy en
día en foros de discusión. Los atacantes buscan ingresar a estos foros, hacerse pasar por
personas de parte del grupo y comienzan el envío de archivos con nombres que tengan
que ver con lo que están hablando en el foro, pero en la mayoría de casos esos archivos
contienen troyanos muy bien camuflados. Cuando el usuario del chat realiza la descarga
y abre el archivo, automáticamente el troyano instala el código malicioso en el sistema.
Dispositivos extraíbles: este es un medio muy utilizado por los delincuentes para
infectar los equipos de las víctimas a las cuales conoce físicamente, los delincuentes
aprovechan las características de auto ejecución (Autorun) que traen estos dispositivos,
lo cual hace que el sistema no tenga en cuenta ciertas medidas de seguridad, agregando
el código malicioso camuflado con programas originales alterando el archivo autorun.
inf, los dispositivos más usados para este tipo de ataque son:
• CD-ROM
• DVD
• USB
• Discos externos
• Unidades flash
Adjunto Infectado
Figura 2. Ejemplo de utilización de correo con archivo adjunto malicioso
Fuente: propia
Lectura recomendada
Para poder identificar un sitio web malicioso los invitamos
a realizar la siguiente lectura, esta se encuentra en la
parte principal del eje.
El Confidencial
Este tipo de distribución es muy empleado para realizar infecciones internas con el
objetivo de lograr una infección masiva, este tipo de ataque se da cuando existen emplea-
dos descontentos y con el conocimiento suficiente para llevarlo a cabo, la distribución
se realiza de la siguiente manera, el empleado descontento busca una serie de archivos
que se deben compartir por la red, los infecta con código malicioso y los sube a la red,
cuando los usuarios comienzan la descarga de estos archivos comienza la infección de
los equipos.
Algunas de las técnicas más utilizadas por los delincuentes para distribuir sus códigos
maliciosos son:
Ingenieria
social Black hat SEO
clickjacking
Malvertising
Spear
o publicidad
phishing
maliciosa
Lectura recomendada
Para complementar este tipo de técnica de distribución
de malware los invitamos a realizar la siguiente lectura,
esta se encuentra disponible en la parte principal del eje.
HubSpot
Lectura recomendada
Para ver un ejemplo de este tipo de distribución los invito
a realizar la siguiente, que encontrarán en la parte prin-
cipal del eje.
Clickjacking
Imperva
Lectura recomendada
Para ampliar el concepto y ver ejemplos de este tipo de
distribución los invito a realizar la siguiente lectura, la
cual encontrará en la parte principal del eje.
BBC News
Lectura recomendada
Para ampliar el concepto de este tipo de distribución los
invito a realizar la siguiente lectura que se encuentra
en la parte principal del eje.
Kaspersky
Sitios web legítimos comprometidos: este tipo de distribución lo utilizan los delincuen-
tes cuando logran comprometer un sitio legítimo y camuflan códigos maliciosos dentro
de la página, cuando los usuarios ingresan en el sitio y hacen clic, el malware se instala
sin que el usuario pueda percatarse, ya que se trata de un sitio que es legítimo.
Estructura de un malware
Crypter
Payload
Downloader
Malicius code
Dropper
Packer
Exploit Injector
Exploit: Este es el código el cual explota las vulnerabilidades del sistema, en otras
palabras, es el código encargado de violar la seguridad del sistema utilizando las vulne-
rabilidades de software para hacer instalaciones de códigos maliciosos, dentro de este
tipo de códigos hay dos categorías que son: exploit locales y remotos.
Injector: este código se encarga de inyectar el exploit en los procesos que se encuen-
tren en ejecución y presenten la vulnerabilidad que quieren explotar, es importante que
este proceso cambie la forma como se está ejecutando el proceso original.
Ofuscador: este código es el encargado de evitar que los sistemas de seguridad pue-
dan detectar el código del malware.
Packer: este código es el encargado de comprimir el malware para que sean ilegibles,
utilizan diferentes técnicas para comprimir archivos.
• Java Apples
• ActiveX Controls
• Browser Plug-ins
• Pushed content
• Virus.
• Gusanos.
• Troyanos.
• Spyware.
• Ransomware.
• Otros.
Existen otras formas de realizar análisis forense de malware que son: análisis estático
y análisis dinámico, las cuales serán explicadas más adelante.
Instrucción
Para profundizar más en el tema los invito a ver
el videorresumen propuesto para esta temática,
el cual encontrarán en la parte principal del eje.
Como todos los procesos que se realizan en una investigación forense se debe contar
con una metodología y el análisis de malware no es la excepción, en la siguiente imagen
podemos ver un paso a paso de lo que debería hacer un investigador cuando se enfrenta
a algún tipo de malware.
Como podemos ver es una serie de 8 tareas básicas divididas por niveles que van
cambiando de complejidad, los cuales están encaminados para tratar de dar respuesta
a las siguientes preguntas:
• ¿Cómo paso?
• ¿Hubo pérdidas?
Los investigadores cuando reciben un reporte de infección con malware deben revisar
muy detalladamente los sistemas afectados, la red y todos los dispositivos que se encuen-
tren conectados a ella. Para buscar rastros del código malicioso, el malware muestra
comportamientos específicos que deben ser aprovechados por los investigadores para
identificar los procesos sospechosos de los procesos legítimos.
Los códigos maliciosos o cuando infectan el sistema dejan partes de su código por
varios sitios dentro del sistema, los investigadores deben saber en dónde buscar. Las áreas
del sistema que se deben examinar son:
• Programas instalados.
• Registro de eventos.
• Ejecutables sospechosos.
• Sistemas de archivos.
• Servicios.
• Módulos.
• Puntos de restauración.
• Entradas de registro.
Análisis estático: este tipo de análisis realiza un seguimiento para buscar valores
conocidos que puedan identificar la presencia de códigos maliciosos, buscan cadenas y
ejecutables, etc.
Para lograr este objetivo la manera más sencilla de hacerlo es utilizando sistemas de
virtualización que le van a permitir a los investigadores disponer de diferentes sistemas
operativos, donde puedan inyectar los códigos maliciosos a analizar y puedan estar moni-
toreados en tiempo real, sin poner en riesgo los equipos de producción. Los softwares
más utilizados para este propósito son:
• Virtual box
• VMWare
• Hiper-v
• Proxmox
• Instalar un sistema que permita virtualizar, como por ejemplo (VMware, Virtual-
Box, etc.).
Instrucción
Para complementar el tema de elaboración de
un laboratorio los invito a realizar la actividad
de aprendizaje simulación que se encuentra en
la parte principal del eje.
Sandbox: este tipo de herramientas se utiliza para realizar análisis dinámico de forma
manual.
Analizador de registro: este tipo de herramientas se utilizan para extraer los archivos
de registro que hayan sufrido algún cambio.
Antes de que los investigadores inicien el análisis del código maliciosos deben tener
preparados los siguientes documentos:
Descripción completa
Ruta completa
Marca de tiempo del sistema operativo
y ubicación de 1 2 3
MAC donde se almacenó el
archivos
archivo
Como ya se había mencionado antes, existen dos tipos de análisis de malware que
son análisis estático y análisis dinámico, aunque ambos tipos de análisis muestran el
proceso del malware, las herramientas, el tiempo que se debe emplear y las habilidades
necesarias que debe tener un investigador son totalmente diferentes.
El análisis dinámico se enfoca en realizar un análisis básico del código binario y trata
de comprender el malware para poder explicar sus funciones. Por otra parte, el análi-
sis dinámico o análisis de comportamientos se ocupa de analizar todo el proceso del
malware desde que se instala, se ejecuta.
Análisis estático
El análisis estático implica el proceso de acceder al código fuente o binario con el firme
objetivo de encontrar la estructura de datos, las diferentes funciones y sus respectivas lla-
madas, poder establecer el gráfico de cómo interactúan esas llamadas, los investigadores
hacen uso de una gran variedad de herramientas para realizar el proceso de análisis de
código binario, para poder entender el sistema de archivos y el impacto que tendrá en el
El proceso de examinar el código binario sin ejecutarse se hace por lo general de forma
manual, pero para poder ver el gráfico de las llamadas a las diferentes funciones solo
se puede ver cuando se ejecuta el código, este proceso solo se debe hacer cuando el
investigador ya esté seguro que la información que se perderá al momento de ejecutar
el binario ya la pudo salvaguardar.
En la siguiente imagen podemos ver algunas de las técnicas más usadas para realizar
análisis estático a malware:
Identificar métodos
de empaquetado y
ofuscación
Figura 7. Técnicas de análisis estático
Fuente: propia
• CRC32
• SHA-256
• SHA-512
• SHA-384
Análisis de malware local y en línea: esta técnica calcula el hash de los archivos
maliciosos y los compara con las bases de datos online para tratar de encontrar el tipo
de malware. Si es un código conocido, este tipo de técnica ofrece una mejor visión del
código, su funcionalidad y los sistemas que pueden afectar.
• Virus total
• Anubis
• Matascan Online
• Valkyrie
• Malwr
• Bitdefender QuickScan
Realizar búsqueda de cadenas: este tipo de técnicas tiene como objetivo encontrar
los timbres que activan los comandos para activar las funciones específicas del malware,
como por ejemplo la lectura de la memoria interna, los datos de las cookies, para tratar
de identificar la intención maliciosa del código.
• Strings
• ResourcesExtract
• Bintext
• Hex Workshop
• Tiempos de compilación.
• DLL.
• Archivos vinculados.
• Cadenas.
• Menús.
• Símbolos.
Desmontaje del malware: este tipo de técnica tiene como objetivo la desinstalación
del malware para analizar sus funciones y características, con el fin de poder encontrar
el lenguaje de programación utilizado para la creación de las diferentes API que activan
las diferentes funciones del código.
Análisis dinámico
• Línea base del sistema: en este escenario se van tomando instantáneas del siste-
ma desde el momento que comienza el análisis del malware, el propósito es poder
identificar los cambios significativos comparados con la instantánea inicial. La
línea base del sistema incluye detalles como:
- Sistemas de archivos
- Registros
- Puertos abiertos
- Actividades de trabajo
• Monitoreo de integridad del Host: este tipo de ambiente implica que se debe to-
mar una instantánea del estado del sistema utilizando las mismas herramientas
durante el proceso de análisis, con el objetivo de detectar los cambios realizados
en los servicios que están activos en el sistema.
- Monitor de instalación
- Monitoreo de procesos
- Monitoreo de puertos
Algunas de las herramientas más utilizadas para realizar los diferentes monitoreos:
• Porcess Explorer
• MONIT
• OpManager
• KillProcess
• HijackThis
• Systrem Explorer
• Tripwire
• FCIV
• FastSum
• WinMD5
• Directory Monitor
• Verisys
• Exacfile
Instrucción
Para complementar este tema los invito a observar
el recurso de aprendizaje galería, este se encuentra
disponible en la parte principal del eje.