Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ideas clave
A fondo
Test
Esquema
existentes en la actualidad, la cada vez mayor complejidad que este presenta y los
y formas de eliminación.
siguientes formas:
malware.
herramientas más cercanas al triaje forense, como FastIR Collector, WinTriage, etc.
(Plum, 2023).
muestras subidas por los clientes que no tienen funcionalidades de pago, por lo que
también será una buena fuente de obtención de artefactos maliciosos.
muestras.
Deben ser construidos con el propósito de hacer creer al atacante que está ante un
instalación incorrecta o una mala política de parcheo. Por supuesto, esta apariencia
no es real, por cuanto los sistemas estarán monitorizados y cualquier acceso será
registrado en todos y cada uno de los movimientos que los atacantes realicen.
Honeypot
Se puede definir honeypots como: sistemas TIC con servicios reales o simulados,
producción, por lo que pueden ser desconectados de la red e incluso apagados para
ser atacada por una amenaza concreta (por ejemplo, si queremos obtener muestras
de Mirai (Malpedia, s. f.), imitaremos un servidor Linux), pero que no está involucrada
A su vez los honeytokens son honeypots que no son sistemas TIC, tal y como
puede ser un documento falso pero verosímil, una dirección de correo electrónico
falsa usada para rastrear, una entrada de base de datos o incluso un inicio de sesión
falso. En función del grado de realismo que tiene la máquina, está íntimamente
▸ Honeypots de baja interacción . Son aquellos que emulan servicios para detectar
actividad, con un mínimo riesgo de que el ciberatacante se haga con el control del
sistema, ya que no se interactúa con el sistema operativo y, por tanto, se elimina la
complejidad de este. Como no son un sistema real su instalación es del tipo plug
and play, como, por ejemplo, un comando de con la herramienta netcat para
escuchar en el puerto 80 (HTTP) y registrar todo el tráfico entrante a un archivo de
registro:
Honeynet
Básicamente una honeynet se puede definir como una red que contiene uno o más
switch, IDS y diferentes tipos de honeypots. Sus tres requisitos principales son:
▸ Control de datos: mecanismo que se encarga de mitigar o bloquear todo riesgo que
redes exteriores. Cualquier tráfico que se dirija o provenga de los honeypots tiene
una sola maquina física con una plataforma virtual instalada tipo VMware, Virtualbox.
Las híbridas disponen de parte de los equipos virtualizados como los honeypots, por
único de fallo anteriormente comentado para las virtuales y, además, aíslan la parte
de control y captura de datos en otro dispositivo. Como ejemplo de honeynet,
tenemos:
1. Modern Honey Network (MHN), que incluye los honeypots Kippo, Glastopf,
Snort, Dionaea, Suricata, Wordpot y P0f.
otros.
Introducción
El estudio y análisis del software malicioso debe realizarse desde una perspectiva
Esto no quiere decir que exista un procedimiento concreto que nos lleve a
técnicas que empleemos para ello, debemos hacerlo de una forma estructurada y
metódica.
Antes de comenzar a analizar cualquier muestra, debemos tener claros cuáles son
sistemas de detección.
También debemos tener claros otros requisitos que deba cumplir el análisis. Por
pueda estar monitorizando los feeds comunitarios de inteligencia para ver si aparece
algún IOC relacionado con la infección, y detectar que está siendo analizado.
de la metodología:
Figura 2. Objetivos información del proceso metodológico de análisis. Fuente: elaboración propia.
1. Acciones iniciales.
2. Clasificación.
3. Análisis de código.
5. Análisis de la memoria.
primer lugar, dado que los datos obtenidos en esta fase pueden ayudar a realizar la
iniciales, cuyo objetivo es poder iniciar el análisis en un estado limpio sin infecciones
Por ejemplo, con una herramienta de ingeniería inversa (por ejemplo, IDA Pro) se
análisis con cada uno de ellos. Una vez analizado todos ellos, se obtendrán todos los
objetivos de información previstos en la figura.
Uno de los pasos intermedios que nos ayudará a alcanzar nuestro objetivo final es
poder establecer una matriz que permita trazar los objetivos de la metodología (figura
Tabla 2. Matriz de trazabilidad entre los objetivos de la metodología y las fases propuestas en la misma.
Acciones iniciales
comparar los estados antes y después de ejecutar el análisis del malware bajo
estudio.
cada análisis. Si se está trabajando con las máquinas físicas, se vuelve a la imagen
tener una referencia con la que comparar después de haber realizado procesos de
análisis de malware:
Generar línea base de las máquinas del entorno de análisis y obtener un hash MD5
el fichero generado por la misma. Utilizar las herramientas Systracer y WinMD5
para comprobar la integridad de las líneas de referencia.
cortafuegos.
Utilizar las herramientas WinMD5, para comprobar que se mantiene la integridad del
fichero de la línea base de referencia.
Muchos de los archivos se modifican durante una ejecución normal del sistema
operativo. Por lo tanto, a fin de eliminar esos, los hashes MD5 deben calcularse solo
en archivos ejecutables binarios (sys, dll, ocx, scr, exe, mui, cpl, TLB, etc.).
Utilizar herramienta Gmer para comprobar que no se ha instalado un malware de
ese tipo rootkit.
referencia, para comprobar si se han realizado cambios en las entradas del registro
y/o sistema de ficheros.
▸ Arrancar una herramienta, como por ejemplo Vmnetsniffer en Vmware, para grabar
con ella el tráfico entre la máquina host y la virtual, a fin de comprobar la inexistencia
de tráfico generado por el malware hacia la máquina host.
líneas base o se detecta algún rootkit instalado, se realizará una restauración de las
Clasificación
archivo ejecutable del malware sin acceder al código malicioso, con el objetivo de
obtener información inicial para la realización de las siguientes fases. Muchos de sus
pasos son parte del análisis estático básico. Comprende los siguientes pasos:
software o técnica que permita hacerlo por red. Entre otras, podemos:
▸ Aprovechar los servicios del sistema, y crear una carpeta compartida en la máquina
muestra.
(.rar, .zip, etc.) y protegido con contraseña (normalmente es «infectec»). Una vez
depositemos la muestra en la máquina víctima, realizaremos un primer snapshot
para no tener que enviarla de nuevo cada vez que iteremos sobre el proceso de
análisis.
Identificacióndel malware
El primer paso del análisis del malware, antes de ejecutar cualquier otro tipo de
malware.
identificarlo.
▸ Realizar una búsqueda en la red del hash, para ver si el fichero ya ha sido
identificado.
▸ Herramienta: WinMD5
cambiando con ello la firma de su programa para evadir los detectores de virus de los
programas comerciales.
Así, para la aplicación de esta segunda posibilidad, existen sitios web, como,
VirusTotal que permiten subir un archivo para su escaneo por múltiples motores
antivirus, generando un informe que indica el número total de ellos que han marcado
▸ Import hashing es otra técnica que puede utilizarse para identificar muestras
conocida. Esto aportará una información muy importante que ayudará a la realización
Hay que tener siempre en cuenta que la información relacionada con los hallazgos o
▸ Caso de no detectarse ningún tipo o familia de malware utilizar el hash MD5 para
scripts de shell. Una de las herramientas más útiles es Strings, aplicación que busca
cadenas proporciona una visión más clara del funcionamiento interno del mismo.
que terminan con un terminador nulo para indicar que la cadena se ha completado.
Las cadenas ASCII usan un byte por carácter, y el Unicode usa dos bytes por
carácter.
desarrollado por fireeye (la empresa que desarrolla FlareVM) para buscar cadenas
para esconder u ocultar la ejecución y funcionamiento del mismo. Con ello, intentan
conseguir que sus archivos sean más difíciles de detectar y analizar. Estas técnicas
ofuscación:
▸ Encriptado. Esta técnica cifra el programa binario, lo que hace que el código en
lenguaje ensamblador también lo esté. Esto los protege frente a las técnicas de
ingeniería inversa utilizadas por los analistas de malware.
Un primer signo que nos puede indicar que el malware está ofuscado es la presencia
la figura siguiente se muestra una pantalla de PEiD, en la que se utiliza ASPack 2.12
Análisis estático
análisis estático suele proporcionar información necesaria para realizar este último.
análisis de código, que requiere una mayor interacción del usuario con el malware
análisis de código, e ingeniería inversa, revela las interfaces ocultas del malware,
y capacidades.
▸ Información de instalación.
▸ Comando de ejecución.
▸ Contraseñas.
▸ Funcionalidades ocultas.
Herramientas: IDA Pro, Ghidra y Ollydbg o X64dbg para binarios y para lenguajes
▸ Proceso malicioso.
▸ Consultas DNS.
▸ Tráfico de red para comunicarse con otras máquinas (órdenes de mando y control).
Debe tenerse en cuenta que cuando se realiza el análisis dinámico es crítico que el
laboratorio de malware no esté conectado a otra red, e incluso los archivos se deben
transferir utilizando un medio de lectura solamente, como por ejemplo vía CD-ROM.
saber exactamente cuál fue el responsable de cada cambio, incluso podría hacer
perder evidencias de lo ocurrido. En resumen, las fases de esta etapa serían las
siguientes:
pueden utilizar para ejecutar un programa, como el malware, con los privilegios de
cualquier usuario de la máquina a la que se va a transferir. Si se está trabajando con
las máquinas físicas, se puede hacer lo mismo con PsExec.
Figura 11. Proceso de análisis dinámico. Etapas análisis dinámico. Fuente: elaboración propia.
y NotMyFault.
La dinámica de uso de las herramientas comienza con la toma de una línea base del
malware. Una vez pasado el tiempo anteriormente indicado, se debe tomar otra
con Wireshark.
Análisis de la memoria
▸ Procesos en ejecución.
▸ Elementos ocultos.
▸ Listar archivos abiertos por los procesos y conexiones que estaban abiertas.
▸ Obtener información de los usuarios, como, por ejemplo, los hashes de estos,
hashdump de Volatility. Pero sin olvidar que hay que tener cuidado con la privacidad.
Por último, una vez realizado el análisis, revertir el sistema al punto original.
En el vídeo Análisis de la memoria con Volatility se hace una demostración del uso
Accede al vídeo:
https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?id=ab204a08-582e-
492f-adea-afa100917826
Any.run. https://any.run/
Atacantes. http://www.it-docs.net/ddata/4966.pdf
MalwareBazaar. https://bazaar.abuse.ch/
vx-underground. https://vx-underground.org
Bermejo, J., Abad, C., Bermejo, J. R., Sicilia, M. A. y Sicilia, J. A. (2020). Systematic
https://www.mdpi.com/2076-3417/10/4/1360
malware específico de Linux, y los resultados obtenidos presentan una alta eficacia
en la detección de malware.
Youtube. https://www.youtube.com/watch?v=Gj15v4MHjMM
Accede al vídeo:
https://www.youtube.com/embed/Gj15v4MHjMM
interesantes es cómo, más allá del método seguido, en ocasiones puede tocar lidiar
Accede al vídeo:
https://www.youtube.com/embed/AyVgIttiUpQ
A. Sandbox.
2. El hash que permite buscar las similitudes entre dos binarios se llama:
A. HashDiff.
B. ssdeep.
C. nltk.
D. SHA-1.
3. Un imphash:
malware sea:
A. Creíble.
B. Rápido.
C. Analizable.
D. Robusto.
Lo más importante es que sea creíble, para que el malware actúe con
normalidad; robusto para que no nos infectemos, y que nos permita analizar
debemos:
funciones?
áreas.
red, debemos: