El malware se define como un software malicioso que realiza acciones mal intencionadas. Generalmente e busca analizar el malware para asesorar daños, identificar vulnerabilidades, capturar a los “chicos Malos” y responder respuestas.

El primer malware fue un gusano que trataba de medir el tamaño de internet en los 80. El gusano se comportaba como una forkbomb y se propagó de forma increíblemente rápida. En los 90 los virus se hicieron para ganar gloria personal, haciendo que el malware mostrara mensajes en pantalla. En la actualidad se crean para ganari dinero, robar contraseñas, información bancaria o secretos industriales. En el futuro se cree que se utilizarán para guerra cibernética con malware que utilizaría vilnerabilidades de tipo Zero Days con el objetivo de causar daño en instalaciones físicas.

• ¿Cual es el objetivo de este malware?
• ¿Como y cuando fui infectado?
• ¿Quien me ha establecido como objetivo?
• ¿Como evitarlo?
• ¿Que han obtenido mediante el malware?
• ¿Es capaz de reproducirse?
• ¿Como lo puedo encontrar en otro lugar?
• ¿Como se previene otra futura infección?

• ¿Cuales son los indicadores de red?
• ¿Cuales son los indicadores a nivel de host?
• ¿Persistencia?
• ¿Fecha de compilación?
• ¿Fecha de instalación?
• ¿Leguaje de programación?
• ¿Empaquetado?
• ¿Tiene funcionalidades rootkit?

• Virus: Código que va unido a una aplicación que busca replicarse en aplicaciones similares hasta que pueda ejecutar una payload.
• Gusano: Malware que se propaga muy rápido a través de la red.
• Troyano: Malware que se camufla como otra aplicación para infectar el sistema.
• Spyware/adware: Malware para espiar o meter publicidad
• Backdoor: Vulnerabilidad dejada de forma deliberada por el fabricante
• Rootkut sniffers: Rootkit que escucha todos los paquetes que pasan por la red.
• Exploit: comandos que toman ventajas de vulnerabilidades del sistema
• Disassembler: Programa que recibe un ejecutable y genera un archivo de texto con el código en del programa en ensamblador.
• Decompiler: Toma un archivo binario y trata de producir código de alto nivel usando este como base
• Debugger: Programa que permite observar el código mientras se ejecuta.
• Sinkhole: host de la red interna que recibe tráfico malicioso redireccionado desde un dominio malicioso.
• Intrusion Detection System (IDS): Sistema de Software/Hardware que trata de detectar uso no autorizado de la red.
• Intrusion Prevention System (IPS): Intentan detener un intruso que se haya colado en el sistema.
• Operations Security (OPSEC): Proceso de prevenir que un adversario obtenga información sensible.
• Ingeniería inversa
• Ransomware: malware que pide rescates para recuperar un sistema
• Creeping
• Phising
• Pharming
• Bloatware
• Doxing
• Flaming

Ciberthreat live map

Se busca obtener un entendimiento de como un malware específico funciona para construir defensas para proteger nuestros sistemas en el futuro.

• Análisis estático: Análisis del código para obtener un mejor entendimiento del malware. No se ejecuta.
• Análisis dinámico: Se analiza como se comporta el malware cuando es ejecutado, observando con que se trata de comunicar y como funciona.

Se deben realizar estos dos tipos de análisis para obtener un entendimiento completo de como funciona un malware. Aunque ambos tipos consiguen lo mismo, se necesitan diferentes habilidades para realizarlos.

El análisis estático es más seguro ya que no se está ejecutando código malicioso, pero es muy lento y difícil ya que se necesitan muchas herramientas tanto gratuitas como de pago para proceder. cuando se hace ingeniería inversa se deben usar desensambladores, debuggers y compiladores (Cuidado con las leyes ya que en algunos países el uso de estas herramientas se puede considerar piratería)

Es una manera rápida de analizar un malware. Es muy importante que el laboratorio de malware no esté conectado a una red externa. Este tipo de análisis observa como se comporta un malware y que cambios trata de realizar en el sistema. Cuando se haga este análisis se debe estar atento de que cambios han surgido en el sistema, así como si hay comportamiento poco usual por parte del equipo. Cambios que pueden ser indicativos de algo malo:

• Archivos añadidos o modificados
• Nuevos servicios de red instalado
• Nuevos procesos arrancando
• Modificaciones de registro
• Modificaciones de ajustes del sistema
• Cambio en configuraciones de red (DNS)

Además del comportamiento del sistema también se debe analizar el tráfico de red.

• Encriptado: el contenido se oculta encriptándolo.
• Compresión
• Ofuscación: Se trata de dificultar ver que hace el código haciéndolo deliberadamente difícil de entender.
• Anti-parcheo (CRC check): Detecta si se han realizado modificaciones. De forma que el malware es capaz de saber si ha sido manipulado en el proceso de ingeniería inversa.
• Anti-tracing: si detecta que se está tratando de ver función por función que hace el código corta la ejecución.
• Anti-desempaquetado
• Anti-VMware: Detecta si se está ejecutando en una máquina virtual y en ese caso o no se ejecuta o corta la ejecución. Para detectar esto puede mirar la información del sistema o el historial del navegador.
• Self-Mutating (Poli/metamorpic): Puede cambiar de forma o tener una forma diferentes;
• Fechas restrictivas: Si ha pasado cierta fecha el malware no se ejecutará o restringe en que fechas se puede ejecutar.
• Protección por contraseña: Para ejecutarlo se necesita una contraseña.