← Volver al inicio

Fundamentos de Malware

Objetivo

Entender malware a nivel basico para Blue Team, deteccion y respuesta. No ejecutes muestras reales fuera de entornos controlados.

Esta leccion es defensiva. El objetivo es reconocer comportamientos, entender indicadores, documentar evidencia y saber cuando escalar. No necesitas ejecutar malware real para aprender fundamentos.

Mapa Mental

archivo/proceso -> comportamiento -> persistencia -> comunicacion -> impacto -> IOC -> deteccion

La pregunta clave:

Que hizo el archivo o proceso y que evidencia lo demuestra?

Que es Malware

Malware es software creado para causar daño, robar informacion, mantener acceso o abusar de sistemas.

Tipos:

  • Virus.
  • Worm.
  • Trojan.
  • Ransomware.
  • Spyware.
  • Adware.
  • Backdoor.
  • Loader.
  • Botnet malware.

Objetivos Comunes

  • robar credenciales;
  • cifrar archivos;
  • mantener acceso;
  • descargar otros componentes;
  • evadir defensas;
  • moverse lateralmente;
  • exfiltrar datos;
  • usar recursos del sistema.

Comportamientos Comunes

  • Persistencia.
  • Comunicacion con servidor externo.
  • Robo de credenciales.
  • Cifrado de archivos.
  • Descarga de payloads.
  • Evasion de defensas.
  • Movimiento lateral.

Persistencia

Persistencia significa sobrevivir reinicios o mantener acceso.

Ejemplos conceptuales:

  • tareas programadas;
  • servicios;
  • claves de inicio;
  • scripts de login;
  • extensiones;
  • cuentas creadas.

En una investigacion, pregunta:

  • como se ejecuta al iniciar?
  • que usuario lo ejecuta?
  • que archivo lo dispara?
  • existe mecanismo de recuperacion?

IOC

Indicator of Compromise.

Ejemplos:

  • Hash de archivo.
  • Dominio.
  • IP.
  • Ruta de archivo.
  • Nombre de proceso.
  • Llave de registro.
  • User-Agent raro.

IOC vs Comportamiento

Un IOC puede caducar rapido. El comportamiento suele ser mas durable.

Ejemplo:

  • IOC: evil.example.
  • Comportamiento: proceso de Office ejecuta PowerShell y hace conexion externa.

Usa ambos: IOC para respuesta rapida, comportamiento para deteccion mas fuerte.

Analisis Estatico Basico

Analizar sin ejecutar.

Ejemplos:

  • Calcular hash.
  • Ver strings.
  • Revisar metadata.
  • Revisar tamaño.
  • Comparar contra inteligencia externa.

Preguntas:

  • Que tipo de archivo dice ser?
  • El hash aparece en inteligencia externa?
  • Tiene strings sospechosas?
  • Tiene metadata rara?
  • Esta firmado?
  • De donde vino?

Analisis Dinamico

Analizar ejecutando en entorno controlado.

Advertencia:

  • No ejecutar malware real en tu maquina principal.
  • Usar sandbox o laboratorio aislado.
  • No conectar muestras a redes reales sin control.

Entorno Seguro

Para principiante:

  • no uses malware real;
  • trabaja con archivos benignos de prueba;
  • usa sandboxes educativas;
  • no ejecutes adjuntos sospechosos;
  • documenta sin abrir cuando no sea necesario;
  • escala a alguien con ambiente preparado.

YARA

YARA ayuda a identificar patrones en archivos.

Ejemplo:

rule Demo_Palabras_Sospechosas
{
    strings:
        $a = "powershell"
        $b = "cmd.exe"

    condition:
        any of them
}

Una regla YARA simple puede producir falsos positivos. Siempre documenta que intenta detectar y que limitaciones tiene.

Ejemplo de Analisis Seguro

Sin usar malware real:

  1. Un archivo de texto de ejemplo con palabras ficticias permite practicar sin riesgo.
  2. El hash identifica si el archivo cambia.
  3. Las strings muestran texto visible dentro del archivo.
  4. Una regla YARA conceptual ayuda a entender patrones.
  5. Los falsos positivos recuerdan que una coincidencia no siempre significa malware.

Criterios Para Analisis de Archivo Benigno

Un analisis seguro de archivo benigno debe considerar:

  • nombre del archivo;
  • hash SHA256;
  • tamaño;
  • strings observadas;
  • hipotesis de comportamiento;
  • indicadores ficticios si el caso es simulado;
  • regla YARA conceptual si aplica.
  1. Falsos positivos posibles.
  2. Recomendacion defensiva.

Senales de Alerta

  • proceso con nombre parecido a sistema legitimo;
  • ejecucion desde carpeta temporal;
  • proceso padre inusual;
  • conexiones externas raras;
  • creacion de persistencia;
  • cambios masivos de archivos;
  • desactivacion de herramientas;
  • compresion o subida de datos.

Errores Comunes

  • Ejecutar muestras reales en maquina personal.
  • Confiar solo en hash.
  • No documentar origen del archivo.
  • No separar IOC de conclusion.
  • No considerar falsos positivos.
  • Compartir muestras o datos sensibles sin control.

Criterio de Dominio

Puedes avanzar cuando puedas:

  • Explicar tipos de malware.
  • Explicar IOC.
  • Diferenciar analisis estatico y dinamico.
  • Explicar por que se necesita entorno aislado.
  • Crear una regla YARA simple.
  • Documentar un analisis defensivo sin ejecutar muestras reales.

En esta página