← Volver al inicio

Forense de Memoria: Atrapando Sombras

Objetivo del Módulo

Aprender la cacería de fantasmas de la era moderna. El forense de disco (archivos borrados) es genial, pero los hackers más letales de hoy (State-Sponsored Hackers, Rusia, China) ya no tocan tu disco duro. Atacan directamente tu Memoria RAM. Si reinicias la computadora, desaparecen para siempre.

1. El Hacker Invisible (Fileless Malware)

Durante los años 90 y 2000, los virus de computadora eran archivos (Ej. virus.exe). El Antivirus veía el archivo, lo escaneaba, y lo borraba.

Hoy en día, la técnica ofensiva se llama Fileless Malware (Malware Sin Archivos). El hacker te envía un correo electrónico con un enlace. Al darle clic, el navegador de internet inyecta directamente un código malicioso en la Memoria RAM de tu computadora usando herramientas legítimas de Windows (como PowerShell).

  • El virus no se instaló en el disco duro.
  • No hay ningún archivo virus.exe que el Antivirus tradicional pueda encontrar.
  • El atacante roba tus contraseñas y transfiere los datos a Rusia, todo mientras flota en la RAM.

¿El problema defensivo? Como dijimos en el Orden de Volatilidad, si el usuario se asusta y presiona el botón de Apagar la computadora, la electricidad se corta y la RAM se vacía por completo. El virus desaparece sin dejar rastro y el Analista Forense que revise el disco duro al día siguiente no encontrará absolutamente nada.

2. La Fotografía de la RAM (Memory Dump)

El analista forense moderno llega a la escena del crimen con la computadora encendida. Antes de tocar el mouse, saca una memoria USB especial, la conecta, y ejecuta un programa para hacer un Memory Dump (Volcado de Memoria).

Un Memory Dump es tomar todo lo que está vivo en los chips de RAM (Ej. 16 Gigabytes) y congelarlo en un archivo de texto gigantesco (Ej. memoria.dmp). Una vez que el analista tiene esa fotografía guardada a salvo en su USB, ya puede proceder a apagar el servidor.

3. Volatility: El Microscopio Forense

Tú no puedes abrir un archivo de RAM de 16 Gigabytes en el bloc de notas, verás pura basura de ceros y unos. Para analizarlo, el investigador usa el software estándar de la industria llamado Volatility.

Volatility funciona como un microscopio que le da sentido a la basura de la RAM. A través de una terminal de comandos, el analista puede hacerle preguntas a la fotografía de la memoria:

  • volatility -f memoria.dmp windows.pslist: "Muéstrame todos los procesos que estaban corriendo cuando se tomó la foto". (Para encontrar el PowerShell malicioso).
  • volatility -f memoria.dmp windows.netscan: "Muéstrame todas las conexiones de red activas". (Para ver la conexión abierta hacia la IP de Rusia).
  • volatility -f memoria.dmp windows.hashdump: "Sácame todas las contraseñas guardadas en la RAM".

Contraseñas Desencriptadas

Aquí radica el poder final del Forense de Memoria. En el disco duro, todo está fuertemente encriptado (BitLocker, AES, Hashes). Pero para que la computadora funcione, cuando tú escribes tu contraseña en el teclado, esa contraseña tiene que existir desencriptada (texto plano) en la Memoria RAM por al menos unos milisegundos.

Si el atacante toma un Memory Dump de tu computadora, no le importa si tu disco duro es indestructible. Va a usar Volatility para leer tu RAM, encontrará la contraseña desencriptada flotando en la memoria de algún proceso del sistema, y la robará. (Este es el mismo principio del ataque LSASS Dump del Red Team).

4. Criterio de Dominio (Autoevaluación)

Revisa si puedes cazar en la oscuridad:

  1. Un ataque de Ransomware moderno utiliza la técnica "Fileless Malware". Explica por qué el Antivirus tradicional (basado en firmas YARA) no detectó el ataque y qué componente físico de la computadora está utilizando el hacker para operar.
  2. Llegas a la oficina del Gerente de Finanzas. Su computadora está encendida y muestra comportamientos de que alguien la está controlando de forma remota. Basado en el concepto de la fotografía de memoria (Memory Dump), ¿Por qué el consejo de la recepcionista de "Apágala rápido de la corriente" es la peor decisión posible para la investigación?
  3. ¿Cuál es el nombre de la herramienta Open Source más utilizada en la industria para analizar volcados de memoria RAM, y qué tipo de información táctica puede revelar (menciona al menos 2 comandos o capacidades)?
  4. Si un disco duro está totalmente encriptado con Cifrado Simétrico (AES de 256 bits), pero la computadora está encendida y desbloqueada, ¿Por qué un Analista Forense (o un Hacker) atacará primero la Memoria RAM antes de intentar romper la encriptación del disco duro?
← Anterior

Forense de Disco: Recuperando Fantasmas

Siguiente →

Tipos de Malware: La Infección

En esta página