Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Contenido
INFORME EJECUTIVO ........................................................................................................................... 2
ESCENARIO ........................................................................................................................................... 3
CONCLUSIONES................................................................................................................................. 14
REFERENCIAS ........................................................................................................................................ 15
INFORME EJECUTIVO
ESCENARIO
Para este caso, se presentará un análisis detallado del malware siguiendo la metodología de la llamada
(Pirámide del dolor).
En primer lugar, empezamos por su base, para este caso tenemos por los valores hash, los
cuales cambian con mayor constancia a través del tiempo, ya que un malware puede ir
cambiando contantemente.
Valores HASH
Para este caso tenemos el siguiente hash inicial, sobre el cual comenzara la investigación.
Una vez puesto este hash, se logro obtener algunos otros tipos, los cuales se relacionan
directamente con el malware, se puede encontrar algoritmos como MD5, SHA-1, SHA-256, entre
otros.
Es importante aclarar que estos algoritmos garantizan la integridad del archivo, es decir una vez
que se modifique algo del archivo, cambiara totalmente los valores de estos hashes.
Direcciones IP
En segundo lugar, tenemos las direcciones IP, las cuales tienen una vida mas larga en cuanto al
ciclo de vida de estos archivos, sin embargo, los atacantes suelen cambiar estas direcciones IP
con mayor frecuencia.
Ilustración 2 Direcciones IP
En la imagen anterior se logra evidenciar las direcciones ip, bajo las cuales se encontraba activo
y relacionado el archivo malware, podemos encontrar ocho direcciones, con mayor tendencia a
operar en la región estadounidense, con esta información podemos empezar a suponer y perfilar
el origen del malware.
Dominios
En tercer lugar, tenemos los dominios que de igual manera tienen un ciclo de vida corta dentro
de un malware, ya que los ciberdelincuentes están en constante cambio, para poder seducir a
las víctimas a través ataques como ingeniería social o phishing.
Ilustración 3 Dominios
De esta manera podemos encontrar los dominios relacionados con el archivo hash, donde una
vez consultados y analizados es posible tener algunos de los nombres con los que se encuentra
relacionado el malware.
De igual forma podemos observar, la fecha de creación, ultimo análisis, como también la primera
aparición, esto es importante ya que podemos filtrar nuestras búsquedas para posteriormente
lograr obtener datos mas importantes adentro del archivo y poder conocer su operabilidad.
Red y Hosts
Para este eslabón de la pirámide podemos encontrar los hosts de los servicios, los puertos, el
origen desde el cual operaban, y los procesos asociados a ellos, como se puede encontrar en
las siguientes imágenes todos los protocolos son web, esto puede suponer que los
ciberdelincuentes operaban para ataques como phishing o ingeniería social, logrando que la
víctima pudiera descargar el archivo infectado.
Ilustración 5 Hosts
Ilustración 6 Hosts
Herramientas
Podemos encontrar las siguientes propiedades que, en común con los analizadores de malware,
permiten conocer diferentes datos como el tamaño total del ejecutable, las arquitecturas bajo las
cuales puede operar el malware, en este caso se puede identificar que es posible ejecutarlo, para
arquitecturas de 34 y 64 bits, el paquete o compilador bajo el cual aparentemente se construyó
el ejecutable, en este caso encontramos que es posible ejecutarlo bajo el paquete de visual c++.
Bajo estos metadatos o información que componen el archivo es posible empezar una
investigación que nos permita conocer más acerca del malware que se está ejecutando.
Ilustración 7 Herramientas
Con ayuda de Hybrid Analysis, es posible detectar el lenguaje de creación del malware entre
otros datos.
Ilustración 8 Metadatos
Es posible detectar el lenguaje de origen del virus, también podemos visualizar un contenido
relacionado y la cantidad de archivos que contiene su desarrollo, esto puede indicar que tiene
programado las técnicas de evasión, detección de entornos seguros y máquinas virtuales para
detener su ejecución y evitar la detección del mismo, es posible que podamos ver relación alguna
con el uso de código polimórfico en los archivos de codificación del malware.
Ilustración 9 Librerías
Estos son los objetos importados por el malware, los procesos relacionados son librerías que ya
existen en la máquina objetivo debido al uso de Visual Studio, las librerías necesarias del
malware para realizar su ejecución. Conocer esta información nos puede brindar más información
sobre el malware, conociendo a que puede acceder, como puede acceder, esto nos podría dar
pistas sobre su funcionamiento dentro del objetivo a infectar.
Como es posible evidenciar, el malware obtiene acceso privilegiado y crea diferentes llaves de
registro en el sistema, además logra acceder a diferentes archivos que solo pueden ser alterados
a nivel de administrador, conocer los archivos que importa nos facilita el entendimiento del
malware, conocer que ataca primero, que altera y el orden nos da un conocimiento sobre su
funcionamiento.
El archivo exportado, es el proceso que este crea cuando ya el objetivo se encuentra
comprometido, es decir, visualizar este proceso significa que el archivo malicioso ya está
trabajando y afectando los activos.
Con ayuda del servicio web de Virus total, es posible revisar un análisis dinámico ya realizado,
a continuación, se presentan los resultados obtenidos.
Ilustración 11 Acciones ejecutadas por el malware
Como podemos evidenciar, las acciones ejecutas por el malware tienen privilegios de
administrador al momento de su ejecución, logra crear copias de archivos en la carpeta raíz del
sistema y a su vez crear procesos asociados a este, podemos suponer que estas acciones son
para lograr evadir ciertos protocolos de seguridad además de preparar el entorno para posibles
infecciones de otro tipo que puedan resultar mucha más críticas para la organización.
De igual manera podemos ver que el ejecutable, no contiene ningún icono y su idioma
predeterminado se encuentra en inglés.
TTPs
A continuación, se presenta el listado de los posibles escenarios en los que se pueden
comprometer el malware, en diferentes sistemas operativos como Windows y Android, en
Windows es posible que a través de archivos compartidos por una red especifica, archivos
adjuntos por medio de un correo electrónico, se pueda inyectar el malware. En dispositivos
Android a través de mensajes de texto, conexiones con servidores externos, se pueda generar
una persistencia y afectación de estos dispositivos.
En la siguiente imagen se puede observar una técnica que usan los ciberdelincuentes, para
generar una ejecución adentro de dispositivos Windows a través de los sistemas de control del
sistema operativo.
El administrador de control de servicios es accesible para los usuarios a través de componentes
GUI, así como utilidades del sistema como sc.exe, sobre la cual los ciberdelincuentes pueden
aprovechar para ejecutar comandos o cargas útiles a través de un servicio temporal de Windows.
Si un servicio se usa solo para ejecutar un binario o un script y no para persistir, es probable que
vuelva a su forma original poco después de que se reinicie el servicio para que el servicio no se
deje roto, como es el caso del administrador común psexec, por lo tanto, es importante
Asegúrese de que los usuarios con un nivel de permiso inferior no puedan reemplazar ni modificar
los archivos binarios de servicio de alto nivel de permisos.
Es importante verificar los empaquetadores del software que se descarga, ya que algunos
permiten comprimirlos a través de diferentes algoritmos de cifrado lo que hace que algunos de
los analizadores no los puedan reconocer y por lo tanto permitir daños en los sistemas.
CONCLUSIONES
• Emotet se transmite, principalmente, por correo electrónico, por ello se debe tener
especial precaución a la hora de ejecutar cualquier tipo de adjunto o enlace proveniente
del correo, incluso los provenientes de contactos conocidos, ya que Emotet puede
suplantar su identidad.
• Tanto las URLs, como los adjuntos, se pueden analizar por medio de herramientas, como
Virus Total o URLhaus. También es aconsejable deshabilitar las macros de terceros por
defecto, y nunca habilitarla a no ser que se esté seguro de su legitimidad.
• Emotet también utiliza vulnerabilidades conocidas, como EternalBlue/DoublePulsar y
ataques de fuerza bruta, por lo que siempre se debe contar con los sistemas actualizados
a la última versión disponible y utilizar contraseñas robustas.
• El CERT de Japón ha publicado en su repositorio de GitHub una herramienta llamada
EmoCheck destinada a comprobar si el malware Emotet está presente en el dispositivo.
• Si este software detecta evidencias, ofrecerá información para su desinfección, como el
nombre del proceso, el identificador del proceso y la ruta absoluta donde se encuentra
alojado el malware. En caso de infección, lo recomendable es terminar el proceso
identificado y eliminar el archivo malicioso.
• También es aconsejable analizar el sistema con otras herramientas antimalware.
• Aislar de la red las máquinas infectadas por la amenaza.
• Desactivar servicios relacionados con el protocolo SMB sino son utilizados, en el caso de
que sean necesarios, mantener actualizados estos con los últimos parches de seguridad.
• Disponer de las últimas actualizaciones de aplicaciones y sistema operativo instaladas.
• Software antivirus y antimalware actualizados.
• Analizar mediante un sandbox todos los archivos adjuntos en correos electrónicos para
verificar su legitimidad.
• Detectar nuevos IoC asociados a la amenaza y que estén activados en el SIEM1 para
• Generar reglas para bloquear tráfico entrante y saliente hacia cualquier IoC relacionado
con la amenaza en Firewalls, WAF, Gateway, IDS, Proxies, Routers y resto de
dispositivos del perímetro.
• Añadir todas las direcciones IP y dominios relacionados con la amenaza en la blacklist.
• Verificar logs de dispositivos perimetrales de seguridad en busca de patrones de
comportamiento de la amenaza.
• Evitar instalar software no oficial.
• Tener activado el UAC (control de cuentas de usuario de Windows.
• Formación de concienciación sobre amenazas por parte de los empleados como puede
ser el Phishing.
REFERENCIAS
• Virus Total https://www.virustotal.com/
• JoeSandbox Cloud https://www.joesandbox.com/
• IBM X Force https://exchange.xforce.ibmcloud.com/
• https://es.malwarebytes.com/emotet/
• https://www.incibe-cert.es/blog/emotet-caracteristicas-y-funcionamiento
• https://www.hornetsecurity.com/es/knowledge-base/emotet-el-malware-mas-peligroso-del-
mundo/
• https://www.xataka.com/pro/emotet-malware-2014-que-esta-causando-estragos-2020-que-
estan-alertando-agencias-seguridad-muchos-paises