Malware

¿Qué es exactamente el malware?

El término malware proviene de la combinación de las palabras malicious y software. Se refiere a cualquier tipo de programa informático diseñado con fines maliciosos, como:

  • Cifrar archivos (ransomware)

  • Robar información sensible (spyware)

  • Controlar sistemas de forma remota (troyanos)

  • Propagarse automáticamente (gusanos)

Tipos comunes de malware

Tipo
Descripción breve

Ransomware

Cifra los archivos de la víctima y exige un rescate en criptomonedas.

Spyware

Se oculta y monitorea las actividades del usuario para robar datos.

Troyano

Se disfraza como software legítimo, pero ofrece acceso remoto al atacante.

Worm (gusano)

Se propaga automáticamente por la red sin necesidad de intervención humana.

Rootkit

Modifica el sistema operativo para ocultar procesos maliciosos.

Keylogger

Registra las pulsaciones del teclado, robando contraseñas y datos bancarios.

¿Qué rol juega el malware en el Threat Hunting?

Aunque este curso no profundiza en el análisis forense de malware, sí es fundamental reconocer su presencia y huellas (artefactos). Como Threat Hunters, nos enfocamos en detectar amenazas avanzadas que ya han logrado evadir los controles tradicionales.

Estas amenazas:

  • Ingresan generalmente por vectores como phishing, descargas maliciosas o exploits.

  • Una vez dentro, se ocultan mediante técnicas como living off the land, uso de procesos legítimos o persistencia silenciosa.

  • Nuestro trabajo consiste en rastrear sus actividades, artefactos y comportamiento, usando indicadores técnicos y correlación de eventos.

De la detección pasiva a la caza activa

La diferencia entre un antivirus tradicional y un Threat Hunter es:

Antivirus: Espera a que algo conocido ocurra (detección reactiva).

Threat Hunter: Busca manualmente lo desconocido, detectando patrones anómalos, comportamientos fuera de lugar, y señales sutiles de compromiso.

Esto puede incluir:

  • Archivos sospechosos

  • Procesos inusuales

  • Conexiones a dominios externos

  • Scripts ejecutados desde ubicaciones anómalas

Cómo buscar malware

Antes de usar Mandiant Redline: ¿Cómo buscar malware con IOC?

Antes de sumergirnos en el uso de Mandiant Redline para auditar sistemas, es esencial comprender el rol de los Indicadores de Compromiso (IOCs) en la búsqueda de malware en endpoints.

Los IOCs son piezas clave de evidencia técnica —como hashes, rutas de archivo, nombres de procesos, claves de registro, etc.— que nos permiten identificar si un sistema ha sido comprometido.

¿Qué buscamos exactamente?

Durante el proceso de caza en endpoints, nos enfocamos principalmente en dos enfoques complementarios:

1. Detección de malware encubierto a partir de IOCs conocidos

  • Usamos indicadores compartidos por fuentes de inteligencia de amenazas (CTI), como dominios maliciosos, IPs, hashes de malware, o rutas de instalación sospechosas.

  • Por ejemplo: Si un informe de Mandiant reporta que un ataque reciente utilizó un binario con hash e99a18c428cb38d5f260853678922e03, podemos buscar ese valor en nuestros endpoints.

  • Herramientas como Redline nos permiten automatizar esta comparación.

2. Comparación de integridad de archivos del sistema

  • Se trata de verificar si los archivos críticos del sistema han sido alterados o suplantados.

  • Ejemplo práctico:

    • Archivos legítimos como winlogon.exe, smss.exe, lsass.exe, etc., tienen hashes específicos y verificables (pueden obtenerse desde una instalación limpia de Windows o fuentes oficiales como Microsoft).

    • Creamos un archivo de IOCs donde estos hashes sean los "buenos conocidos".

    • Regla IOC aplicada: Si un archivo se llama winlogon.exe pero su hash no coincide con el oficial → posible suplantación por malware.

  • En este caso, estableceremos el valor del IOC en "IS NOT", es decir: el hash debe coincidir con el esperado; si no lo hace, es sospechoso.

AnteriorThreat HuntingSiguienteIncident Response

Última actualización