UNIVERSIDAD DON BOSCO VICERRECTORÍA ACADÉMICA FACULTAD DE INGENIERÍA TRABAJO DE GRADUACIÓN PARA OPTAR AL GRADO DE Maestro(a) en Seguridad y Gestión de Riesgos Informáticos PROYECTO Desarrollo de una Metodología Avanzada para el Análisis de Malware en Entornos Controlados PRESENTADO POR Ing. Luis Osmin Hernández Martínez Ing. Edwin Jonathan González Mejía ASESOR Mg. Salvador Alcides Franco Sánchez Antiguo Cuscatlán, La Libertad, El Salvador, Centro América Junio 2024 2 Índice de contenido 1. Introducción .......................................................................................................................... 7 2. Marco teórico ....................................................................................................................... 7 2.1. Definición de malware .................................................................................................. 8 2.2. Incidentes relacionados con malware en los últimos años ........................................... 8 2.3. Tipos de malware por su comportamiento .................................................................. 13 2.4. Tipos de malware por privilegios ................................................................................ 14 2.5. Análisis del malware .................................................................................................. 15 2.1.5. Análisis estático ................................................................................................. 16 2.2.5. Análisis dinámico ............................................................................................... 17 2.6. Técnicas que utiliza el malware ................................................................................. 18 2.1.6. Técnicas de Acceso inicial .................................................................................. 20 2.2.6. Técnicas de evasión de análisis ......................................................................... 21 2.3.6. Técnicas de evasión de detección ...................................................................... 22 2.4.6. Técnicas de evasión de red ................................................................................ 23 2.5.6. Técnicas de Ejecución ....................................................................................... 24 2.6.6. Técnicas de persistencia .................................................................................... 25 2.7. Técnicas para la detección de malware ..................................................................... 26 2.1.7. Firma de virus .................................................................................................... 26 2.2.7. Análisis Heurístico .............................................................................................. 27 2.3.7. Detección de Comportamiento ........................................................................... 28 2.4.7. Entorno Controlado para Análisis de malware .................................................... 28 2.5.7. Indicadores de Compromiso (IoC) para Detección de Amenazas ....................... 29 2.6.7. Tabla de referencia de las Técnicas MITRE ....................................................... 29 2.8. El futuro del malware con Inteligencia Artificial ........................................................... 30 2.1.8. Gusano informático con IA Generativa ............................................................... 30 2.2.8. Polimorfismo con inteligencia artificial ................................................................ 31 3 2.3.8. DeepDGA ........................................................................................................... 32 2.4.8. MaskDGA ........................................................................................................... 33 3. Diseño de metodología de análisis ..................................................................................... 33 3.1. Fases del proyecto ..................................................................................................... 34 3.2. Conceptos teóricos fundamentales ............................................................................ 35 3.1.2. Virtualización ...................................................................................................... 35 3.2.2. Hipervisor o monitor de máquinas virtuales ........................................................ 35 3.3.2. Máquina virtual ................................................................................................... 36 3.4.2. Sandbox ............................................................................................................. 36 3.5.2. Sistema operativo .............................................................................................. 36 3.6.2. Archivo ejecutable .............................................................................................. 37 3.3. Requisitos y consideraciones ..................................................................................... 37 3.1.3. Requisitos de hardware ...................................................................................... 37 3.2.3. Requisitos de software ....................................................................................... 39 3.3.3. Consideraciones de aislamiento y seguridad...................................................... 40 3.4. Herramientas y recursos ............................................................................................ 41 3.1.4. Software de virtualización................................................................................... 41 3.2.4. Sistemas Operativos .......................................................................................... 42 3.3.4. Herramientas para análisis ................................................................................. 44 3.5. Instalación y configuración del entorno controlado ..................................................... 45 3.1.5. Sistema Operativo Anfitrión ................................................................................ 45 3.2.5. Configuración de red virtual ................................................................................ 46 3.3.5. Instalación y configuración de maquina víctima .................................................. 48 3.4.5. Instalación y configuración de máquina virtual para análisis estático ................. 55 3.5.5. Instalación y configuración de máquina virtual de análisis dinámico ................... 57 3.6.5. Instalación de máquina virtual con MISP ............................................................ 63 3.7.5. Proceso para realizar un análisis de malware .................................................... 64 4 4. Desarrollo de pruebas de la metodología de análisis ......................................................... 66 4.1. Resultados de los análisis de malware ...................................................................... 67 4.1.1. Cerber ................................................................................................................ 67 4.2.1. WannaCry .......................................................................................................... 72 4.3.1. NSIS .................................................................................................................. 79 4.4.1. Alina ................................................................................................................... 83 4.5.1. Hupigon .............................................................................................................. 88 4.6.1. Stabuniq ............................................................................................................. 92 4.7.1. Dofoil .................................................................................................................. 97 5. Discusión de resultados de la metodología propuesta ...................................................... 101 5.1. Lecciones aprendidas .............................................................................................. 101 5.2. Recomendaciones prácticas .................................................................................... 103 5.3. Futuras líneas de investigación ................................................................................ 104 6. Bibliografía ....................................................................................................................... 105 7. Anexos ............................................................................................................................. 111 5 Índice de tablas Tabla 1: Descripción de detecciones de malware en el segundo semestre de 2022 .................... 9 Tabla 2: Descripción de fases del proyecto................................................................................ 34 Tabla 3: Descripción de requisitos de hardware ........................................................................ 38 Tabla 4: Descripción de requisitos de software .......................................................................... 39 Tabla 5: Descripción de consideraciones de aislamiento y seguridad ........................................ 40 Tabla 6: Detalles del hardware del sistema operativo anfitrión................................................... 45 Tabla 7: Detalles del sistema operativo anfitrión ........................................................................ 46 Tabla 8: Detalles del sistema operativo víctima ......................................................................... 49 Tabla 9: Detalles del sistema operativo para cuckoo sanbox ..................................................... 58 Tabla 10: Instalación de Cuckoo Sandbox en Ubuntu ................................................................ 59 Tabla 11: Configuración de Cuckoo sandbox ............................................................................. 62 Tabla 12: Detalles de análisis de malware 1 .............................................................................. 67 Tabla 13: Comportamientos sospechosos de malware 1 ........................................................... 68 Tabla 14: Detalles de análisis de malware 2 .............................................................................. 72 Tabla 15: Comportamientos sospechosos de malware 2 ........................................................... 73 Tabla 16: Detalles de análisis de malware 3 .............................................................................. 79 Tabla 17: Comportamientos sospechosos de malware 3 ........................................................... 80 Tabla 18: Detalles de análisis de malware 4 .............................................................................. 83 Tabla 19: Comportamientos sospechosos de malware 4 ........................................................... 85 Tabla 20: Detalles de análisis de malware 5 .............................................................................. 88 Tabla 21: Comportamientos sospechosos de malware 5 ........................................................... 89 Tabla 22: Detalles de análisis de malware 6 .............................................................................. 92 Tabla 23: Comportamientos sospechosos de malware 6 ........................................................... 93 Tabla 24: Detalles de análisis de malware 7 .............................................................................. 97 Tabla 25: Comportamientos sospechosos de malware 7 ........................................................... 98 6 Índice de imágenes Ilustración 1: Detecciones de malware en el segundo semestre de 2022 .................................... 8 Ilustración 2: interceptación y extracción de datos median IIStealer .......................................... 11 Ilustración 3: Países con más detecciones de Troyanos en América Latina durante 2022 ........ 12 Ilustración 4: Anillos de seguridad de la arquitectura x86 .......................................................... 14 Ilustración 5: Diseño de estructura de red del entorno controlado ............................................. 47 Ilustración 6: Detalles de la red solo anfitrión ............................................................................ 47 Ilustración 7: Detalles de la red NAT .......................................................................................... 48 Ilustración 8: Detalles de configuración de máquina virtual víctima ........................................... 50 Ilustración 9: Pantalla de configuración de UAC ........................................................................ 51 Ilustración 10: Pantalla de des habilitación de Microsoft Defender Antivirus .............................. 52 Ilustración 11: Pantalla de des habilitación del Firewall de Windows ......................................... 53 Ilustración 12: Ventana de configuración de IP y DNS en Windows 10 ...................................... 54 Ilustración 13: Ejecución de agente de cockoo sandbox en Windows 10 .................................. 55 Ilustración 14: Detalles de la configuración de máquina de análisis estático ............................. 56 Ilustración 15: Consola de remnux con el servicio de inetsim corriendo .................................... 57 Ilustración 16: Maquina victima consulta DNS falso con inetsim ................................................ 57 Ilustración 17: Detalles de configuración de máquina virtual para análisis dinámico .................. 59 Ilustración 18: Detalles de la configuración de máquina de MISP .............................................. 64 Ilustración 19: Interfaz web de cockoo ....................................................................................... 65 Ilustración 20: Interfaz de resultados del análisis de malware ................................................... 66 7 1. Introducción En el panorama actual de la seguridad informática, el análisis dinámico de malware surge como una herramienta fundamental para enfrentar la creciente sofisticación y diversidad de amenazas cibernéticas. Desde sus primeros días, este ha evolucionado constantemente, presentando nuevos desafíos tanto para usuarios como para instituciones públicas y corporativas. El surgimiento de amenazas como el ransomware1 y los cryptominers2 ha resaltado la urgente necesidad de detectar y prevenir ataques maliciosos de manera proactiva. Este documento aborda la importancia del análisis dinámico de malware en el contexto actual, destacando su papel crucial en la identificación temprana y mitigación de amenazas. Se explora cómo el análisis estático y dinámico, proporciona una mayor comprensión su comportamiento, permitiendo una mejor detección y respuesta ante nuevas y desconocidas variantes de amenazas. Además, se examinan las herramientas desarrolladas para analizar ejecutables desconocidos, subrayando su capacidad para reducir la carga de trabajo de los analistas humanos y mejorar la eficiencia en la identificación de amenazas. Se exploran las tendencias actuales en el análisis de malware, incluyendo el impacto de nuevos tipos, técnicas de evasión y el papel de la inteligencia artificial en la mejora de las capacidades de detección. En última instancia, este documento busca proporcionar una visión integral y actualizada del análisis dinámico, con el objetivo de ayudar a los profesionales de la seguridad informática con los conocimientos, herramientas necesarias y guías de buenas prácticas para hacer el análisis seguro de malware y así hacer frente a las cambiantes amenazas cibernéticas en el mundo actual. 2. Marco teórico El análisis de malware en entornos controlados es una práctica esencial en la ciberseguridad moderna, permitiendo a los investigadores comprender la naturaleza y el comportamiento de las amenazas digitales sin exponer sistemas reales a riesgos. El desarrollo de una metodología 1 El ransomware es un malware capas de bloquear el acceso a archivos y sistemas, exigiendo un rescate a cambio de restaurar el acceso (NIST) 2 Los cryptominers maliciosos aprovechan los recursos informáticos de las víctimas para llevar a cabo la minería de criptomonedas de forma no autorizada. (NIST) 8 avanzada para este análisis requiere una comprensión profunda de los principios fundamentales de la ciberseguridad3, así como un enfoque sistemático y exhaustivo para abordar las complejidades del malware moderno. 2.1. Definición de malware El malware o software malicioso, se refiere a un programa que se inserta en un sistema, generalmente de forma encubierta, con la intención de comprometer la confidencialidad, integridad o disponibilidad de los datos, las aplicaciones o el sistema operativo de la víctima o de molestar o perturbar de otro modo a la víctima (NIST, 2019). 2.2. Incidentes relacionados con malware en los últimos años El software4 malicioso, constituye una de las principales amenazas en el ámbito de la seguridad informática. Desde los primeros días de la informática, este ha evolucionado significativamente en términos de complejidad y sofisticación, adaptándose constantemente para eludir las medidas de seguridad y causar daño a sistemas informáticos y usuarios en todo el mundo. Su impacto se ha hecho especialmente evidente en los últimos años, con ataques cada vez más frecuentes y destructivos. Desde el robo de datos confidenciales hasta la interrupción de servicios críticos y extorsión financiera, el malware representa una amenaza constante para individuos, empresas e instituciones gubernamentales (ESET, Security Report Latinoamérica, 2023). En respuesta a esta creciente amenaza, el campo del análisis de malware ha experimentado un rápido desarrollo, con enfoques dinámicos que buscan comprender y combatir activamente las nuevas variantes de malware que emergen constantemente en el panorama digital. Fuente: ESET Threat Report T1 2022 3 La ciberseguridad es el proceso de proteger la información mediante la prevención, detección y respuesta a ataques. (NIST) 4 El software son programas de computadora y datos asociados que pueden escribirse o modificarse dinámicamente durante la ejecución. (NIST) Ilustración 1: Detecciones de malware en el segundo semestre de 2022 9 Tabla 1: Descripción de detecciones de malware en el segundo semestre de 2022 No Detección de malware Descripción 1 HTML/Phishing.Agent Este troyano malicioso se disfraza de correo electrónico legítimo con archivos adjuntos HTML5. Al abrir el adjunto, redirige al usuario a sitios web falsos que intentan robar credenciales y datos confidenciales. 2 DOC/TrojanDownloader.Agent Documentos de Word maliciosos que descargan malware adicional, a menudo disfrazados de facturas, formularios o documentos legales importantes. 3 Win/Exploit.CVE-2017-11882 Explota una vulnerabilidad en Microsoft Equation Editor para ejecutar código malicioso y descargar más malware en el sistema comprometido. 4 JS/Agent Archivos JavaScript6 maliciosos y ofuscados que se alojan en sitios web legítimos comprometidos, con el objetivo de infectar a los visitantes. 5 MSIL/TrojanDownloader.Agent Malware basado en .NET que descarga cargas adicionales, actuando como la primera capa de un paquete más complejo. 6 HTML/Phishing Detección genérica de malware en URLs y archivos adjuntos de correo electrónico maliciosos. 7 LNK/Agent Utiliza archivos de acceso directo de Windows para ejecutar otros archivos maliciosos y lograr persistencia en el sistema. 8 VBA/TrojanDownloader.Agent Documentos de Office con macros maliciosas que descargan y ejecutan malware adicional cuando se habilitan las macros. 9 HTML/Fraud Contenido HTML fraudulento, como sitios web de estafas, correos electrónicos y archivos adjuntos diseñados para engañar a las víctimas y obtener ganancias. 10 MSIL/Spy.AgentTesla Troyano espía de código .NET que roba datos confidenciales, registra pulsaciones de teclas y accede a la cámara y micrófono. Fuente: ESET Threat Report T1 2022 A mediados del año 2023 varios grupos de amenazas persistentes avanzadas (APT) intensificaron sus actividades maliciosas, demostrando una creciente sofisticación y diversificación en sus métodos de ataque. Según un nuevo informe de ESET, grupos norcoreanos como Lazarus y Kimsuky, así como los grupos rusos Sandworm y SturgeonPhisher, han estado muy activos, empleando nuevas técnicas y herramientas. (ESET, 2023). A continuación, se describen algunos grupos e incidentes de seguridad relevantes en el panorama actual. Estos grupos pueden representar amenazas significativas para la seguridad cibernética y 5 HTML (Lenguaje de Marcas de Hipertexto, del inglés HyperText Markup Language) es el componente más básico de la Web. (Mozilla) 6 JavaScript es un lenguaje de programación ligero, interpretado, o compilado justo-a-tiempo (just-in-time) con funciones de primera clase. (Mozilla) 10 pueden estar involucrados en una variedad de actividades maliciosas, desde ataques de espionaje cibernético hasta operaciones de ransomware. • El notorio grupo Lazarus, respaldado por Corea del Norte, ha continuado su enfoque en objetivos relacionados con criptomonedas7. En abril de 2023, se descubrió un nuevo malware Linux llamado OdicLoader y SimplexTea, vinculado al infame ataque a la cadena de suministro de 3CX. Posteriormente, se determinó que el código de SimplexTea formaba parte de una base de código común utilizada por Lazarus en todas las plataformas principales: Windows, Linux y macOS. En septiembre, se encontró una nueva variante de OdicLoader simulando ser una plataforma de trading de criptomonedas llamada MultiLayerSwap. • Por su parte, el grupo Kimsuky ha ajustado sus enfoques, adoptando herramientas como OneNote, archivos CHM y accesos directos de Windows en sus campañas. Además, han reescrito parte de su malware en Go para evadir las detecciones. Una de sus principales campañas se ha centrado en enviar correos electrónicos de spearphishing8 de alta calidad a analistas, académicos, investigadores y periodistas que se enfocan en asuntos relacionados con Corea del Norte. • En cuanto al grupo ruso Sandworm, ha llevado a cabo varios ataques de borrado de datos en Ucrania utilizando variantes del malware RoarBat y NikoWiper, así como un nuevo wiper llamado SharpNikoWiper escrito en C#. Además, Sandworm ha utilizado un canal de Telegram pro-ruso para promover información sobre sus operaciones de cibersabotaje. En al ámbito del comercio en línea el malware IIStealer representa una amenaza única que pone en peligro la relación de confianza entre vendedores y compradores en línea. Este malicioso complemento para el software de servidor web de Microsoft, Internet Information Services (IIS), permite a los atacantes acceder a toda la comunicación de red que fluye a través del servidor comprometido, incluyendo contraseñas, nombres de usuario e información de pago de transacciones de comercio electrónico (Hromcová, 2021). Incluso si un sitio web de comercio electrónico es de confianza y la comunicación está encriptada con SSL/TLS, los visitantes no tienen forma de saber el estado de seguridad de los servidores que alojan esos sitios web. Es allí donde se procesan sus datos y, sin que lo sepan, son robados 7 Las criptomendas son un activo/crédito/unidad digital dentro del sistema, que se envía criptográficamente de un usuario de la red blockchain a otro. (NIST) 8 El spearphishing consiste en una modalidad phishing dirigida contra un objetivo específico, en el que los atacantes intentan, mediante un correo electrónico, conseguir información confidencial de la víctima. (INCIBE) 11 por IIStealer. Este caso destaca el delicado equilibrio que debe mantenerse entre facilitar las ventas en línea y garantizar la seguridad cibernética. Aunque los usuarios tomen precauciones, están expuestos a amenazas en los servidores que alojan los sitios web que visitan, sobre los cuales no tienen control ni visibilidad. (ESET, 2022) Fuente: Zuzana Hromcová, ESET Industry Report on Retail Según el reciente Reporte de Seguridad de ESET 2023, el malware continúa representando un grave peligro para las empresas y usuarios en Latinoamérica. A pesar de los avances en ciberseguridad, los ciberdelincuentes encuentran nuevas formas de propagar códigos maliciosos en la región. Uno de los principales vectores de infección son las campañas de phishing9, especialmente en países como Ecuador, Costa Rica, Colombia, Guatemala y El Salvador, que lideran las detecciones de este tipo de amenaza. Mediante ingeniería social, los atacantes engañan a las víctimas para que abran archivos adjuntos o hagan clic en enlaces maliciosos que descargan malware en sus sistemas. El ransomware sigue siendo un protagonista, con más de 400 familias diferentes detectadas en 2022. Aunque solo el 21% de las empresas encuestadas admitió haber sufrido un ataque de 9 El phishing consiste en engañar a personas para que revelen información personal sensible a través de medios informáticos engañosos. (NIST) Ilustración 2: interceptación y extracción de datos median IIStealer 12 ransomware en los últimos dos años, el 96% expresó preocupación por esta amenaza. Los grupos de ransomware como Conti y Hive incluso comprometieron sistemas gubernamentales en Costa Rica. Además del ransomware, el spyware10 diseñado para robar datos e información confidencial está en aumento. Brasil y México encabezan las detecciones de este tipo de malware en la región. Los ciberdelincuentes también recurren a troyanos genéricos como droppers11 y downloaders para infiltrar sistemas corporativos y descargar otras amenazas más peligrosas. Según las investigaciones de ESET, muchas de estas campañas utilizan "malware común" conocido, lo que indica una falta de soluciones de seguridad adecuadas en las empresas de la región. Los atacantes no necesitan desarrollar malware sofisticado cuando el malware existente puede evadir las defensas. Fuente: ESET Security Report: Latinoamérica 2023 10 El spyware es un software que se instala secreta o subrepticiamente en un sistema para recopilar información sobre individuos u organizaciones sin su conocimiento; un tipo de código malicioso. (NIST) 11 Se denomina dropper a un tipo de troyano cuya función es descargar en el equipo víctima un malware que lleva embebido y cuyo payload generalmente se almacena cifrado. (Sol González) Ilustración 3: Países con más detecciones de Troyanos en América Latina durante 2022 13 A medida que el panorama de amenazas evoluciona, las empresas latinoamericanas deben mantenerse vigilantes y proactivas para salvaguardar sus sistemas y datos de los cada vez más sofisticados ataques de malware. En este contexto, resulta fundamental comprender en profundidad qué es el malware, cómo opera y cuáles son las mejores prácticas para detectarlo y mitigarlo. Mediante el análisis exhaustivo de su comportamiento y características, los profesionales de la seguridad informática pueden desarrollar estrategias efectivas para proteger sistemas y datos críticos contra esta amenaza en el ciberespacio. 2.3. Tipos de malware por su comportamiento El malware abarca una amplia gama de software malicioso, cada uno con características y comportamientos únicos. Desde los clásicos virus informáticos, diseñados para replicarse y propagarse de un sistema a otro, hasta los gusanos informáticos que se distribuyen de manera autónoma a través de redes, el panorama de amenazas es diverso y en constante evolución. (García Monje, 2017) Los troyanos, o RAT (Remote Access Trojan), son una categoría particularmente peligrosa, ya que se presentan como programas legítimos, pero ocultan funciones maliciosas que permiten a los atacantes obtener acceso no autorizado a los sistemas comprometidos. Los keyloggers, por su parte, registran y roban información confidencial, como contraseñas y datos bancarios, mientras que los stealers se enfocan específicamente en robar información personal y financiera. El spyware, diseñado para recopilar información sobre las actividades de los usuarios sin su conocimiento, representa una grave violación de la privacidad. Mientras tanto, el ransomware ha ganado notoriedad por su capacidad para bloquear el acceso a archivos y sistemas, exigiendo un rescate a cambio de restaurar el acceso. Nadie sabe realmente cuánto ganan los operadores de ransomware. Una investigación de la industria sitúa las demandas de rescate promedio en alrededor de $170.000, según Group-IB. Sin embargo, los investigadore indicaron también que los grupos más descarados piden decenas de millones de dólares: Sodinokibi (también conocido como REvil) exigió 50 millones de dólares cada uno a Acer y Quanta. (Kubovič, 2021) Además, los criptomineros maliciosos aprovechan los recursos informáticos de las víctimas para llevar a cabo la minería de criptomonedas de forma no autorizada, una práctica conocida como cryptojacking. (Konoth, Wegberg, Moonsamy, & Bos, 2019) 14 Sin embargo, una de las amenazas más sofisticadas y persistentes son las Amenazas Persistentes Avanzadas (APT, por sus siglas en inglés). Estas amenazas son llevadas a cabo por grupos de alto nivel, como agencias de inteligencia estatales o grupos de hackers respaldados por gobiernos, y tienen como objetivo específico infiltrarse en redes informáticas de organizaciones o entidades específicas para robar información confidencial, obtener acceso no autorizado a sistemas críticos o llevar a cabo actividades de espionaje industrial o gubernamental. En la era digital actual, la seguridad informática es una prioridad fundamental. Comprender los diferentes tipos de malware y sus características es determinante para el desarrollo de estrategias de protección efectivas para mantenerse un paso adelante de los ciberdelincuentes. 2.4. Tipos de malware por privilegios Mientras que la clasificación del malware por su funcionalidad y comportamiento es importante, otro aspecto fundamental es comprender los niveles de privilegios en los que opera. Los privilegios otorgados a este tipo de software malicioso determinan su capacidad para causar daños, evadir detección y llevar a cabo acciones maliciosas en un sistema comprometido. Esta clasificación por niveles de privilegios es esencial para los investigadores de seguridad, ya que les permite desarrollar estrategias efectivas de prevención y mitigación de riesgos. (Or-Meir, Nissim, Elovici, & Rokach, 2019) Ilustración 4: Anillos de seguridad de la arquitectura x86 Fuente: Chris Neal, CISCO En el nivel más básico, encontramos el malware que opera en modo usuario. Aunque tiene acceso limitado al sistema y a los recursos del usuario, este tipo de malware aún puede robar información 15 personal, instalar software no deseado o enviar spam. Sin embargo, su impacto se ve restringido por las limitaciones inherentes a los privilegios de usuario. Un nivel más peligroso es el malware que opera en modo kernel12. Este tipo de malware, conocido como rootkit, tiene acceso a los niveles más profundos del sistema operativo, lo que le permite tomar el control completo del sistema, ocultar su presencia y realizar acciones sin restricciones, como controlar el tráfico de red, robar datos confidenciales o crear puertas traseras para el acceso remoto. (Poslušný, 2022) Aún más preocupante es el malware que se ejecuta a nivel de hipervisor. El hipervisor es un software de virtualización que permite la ejecución de múltiples sistemas operativos y aplicaciones en una misma máquina física. El malware que opera a este nivel tiene privilegios elevados, incluso superiores a los del kernel del sistema operativo. Puede monitorear y manipular la ejecución de múltiples sistemas operativos y aplicaciones virtuales, eludiendo las medidas de seguridad implementadas en los sistemas operativos individuales. Finalmente, el malware que infecta y compromete dispositivos de hardware físico, como dispositivos USB, dispositivos IoT (Internet de las cosas) y dispositivos médicos, representa una amenaza escalada. Al infectar el firmware13 de estos dispositivos, este tipo de malware puede operar con privilegios muy elevados, incluso más allá de los privilegios de root en el sistema operativo. A medida que el malware evoluciona y adquiere mayores privilegios, su capacidad para causar daños se vuelve más significativa. Los investigadores de seguridad deben mantenerse alerta y desarrollar estrategias de detección y mitigación acordes a estos niveles de privilegios. Sólo mediante una comprensión profunda de estas amenazas y sus capacidades podremos salvaguardar eficazmente nuestros sistemas y proteger la integridad de nuestra información. 2.5. Análisis del malware Es una parte fundamental en la ciberseguridad moderna, ya que ayuda a comprender y combatir las constantes amenazas que enfrentan los sistemas informáticos. Sin embargo, en la actualidad, este proceso se enfrenta a una serie de desafíos significativos. 12 El kernel es el elemento principal de los sistemas operativos,y es la interfaz fundamental entre el hardware de una computadora y sus procesos. Los comunica entre sí y gestiona los recursos de la manera más eficiente posible. (RedHat) 13 El firmware es un programa de computadora y datos almacenados en el hardware, generalmente en una memoria de solo lectura (ROM) o en una memoria de solo lectura programable (PROM), de manera que los programas y datos no se pueden escribir ni modificar dinámicamente durante la ejecución de los programas. (NIST) 16 Uno de los problemas principales es la creciente sofisticación y diversificación del malware. Los ciberdelincuentes están constantemente desarrollando nuevas variantes que utilizan técnicas avanzadas de evasión y ocultamiento para eludir el análisis y la detección. Esto dificulta la tarea de los analistas, ya que deben estar al tanto de las últimas tendencias y técnicas utilizadas por los atacantes, además, el volumen de malware que se detecta diariamente es abrumador. Los analistas de seguridad se enfrentan a una avalancha constante de muestras que deben analizar y clasificar en un tiempo limitado. Esta gran cantidad de datos dificulta la identificación de amenazas emergentes y ralentiza el proceso de respuesta a incidentes de seguridad. (Gandotra, Bansal, & Sofat, 2014) Otro desafío importante es la falta de herramientas y recursos especializados para el análisis de malware. A medida que aumenta la complejidad de este, se necesitan herramientas más avanzadas y sofisticadas para analizarlo de manera efectiva. Sin embargo, muchas organizaciones carecen de los recursos necesarios para adquirir y mantener estas herramientas, lo que dificulta su capacidad para detectar y responder adecuadamente a las amenazas. 2.1.5. Análisis estático Consiste en examinar el código de un archivo sospechoso sin ejecutarlo. Este enfoque proporciona una visión detallada de las características de este archivo antes de que pueda causar daño en un sistema. Durante el análisis estático, se examinan diversos atributos del archivo, como el código fuente, el binario, las cadenas de texto y las estructuras de datos, en busca de indicadores de comportamiento malicioso. (Bhojani, 2014) Una de las ventajas clave de este tipo de análisis es su capacidad para identificar patrones de código malicioso y firmas conocidas sin la necesidad de ejecutar el archivo sospechoso. Esto permite detectar y clasificar rápidamente el malware conocido, así como identificar posibles indicadores de compromiso en archivos desconocidos. El análisis estático puede realizarse manualmente por expertos en seguridad informática, que examinan el código y buscan características sospechosas. Sin embargo, con el aumento del volumen y la complejidad del malware, se ha vuelto cada vez más común el uso de herramientas de análisis estático automatizado. Estas herramientas utilizan algoritmos y técnicas avanzadas para escanear archivos en busca de indicadores de comportamiento malicioso de manera eficiente y rápida, de esta forma, pueden analizar grandes cantidades de archivos en poco tiempo, 17 lo que las hace especialmente útiles en entornos donde se enfrentan a una gran cantidad de muestras a diario. 2.2.5. Análisis dinámico Consiste en ejecutar y observar el comportamiento de un programa malicioso en un entorno controlado y monitorear sus acciones en tiempo real. A diferencia del análisis estático, que se centra en examinar el código fuente o el archivo en reposo, el análisis dinámico se enfoca en observar cómo el archivo sospechoso interactúa con el sistema durante su ejecución. (Stegger, 2021) Durante este análisis, el archivo sospechoso se ejecuta en un entorno controlado y aislado, como un sandbox14 o una máquina virtual, que simula un sistema operativo y entorno de red reales. Esto permite a los investigadores observar el comportamiento de este archivo sin arriesgar la integridad de sistemas reales. El análisis dinámico proporciona información valiosa sobre las acciones maliciosas que realiza el malware, como la creación o modificación de archivos, la conexión a servidores remotos, la inyección de código en procesos legítimos, la modificación del registro del sistema y más. Además, permite identificar técnicas de evasión utilizadas por el este para evitar el análisis y la detección, como el uso de técnicas de ofuscación, encriptación de datos, carga dinámica de código y manipulación del entorno de ejecución. Las herramientas de análisis dinámico, tanto manuales como automatizadas, juegan un papel crucial en este proceso. Las herramientas automatizadas permiten ejecutar automáticamente archivos sospechosos en entornos controlados y recopilar datos sobre su comportamiento. Estas herramientas pueden registrar actividades como llamadas al sistema, modificaciones en el sistema de archivos y registros, interacciones de red y cambios en la configuración del sistema. El análisis dinámico es esencial para comprender completamente la funcionalidad y el impacto de un malware, así como para desarrollar estrategias efectivas de detección, prevención y mitigación. Al observar su comportamiento en un entorno seguro y controlado, los investigadores pueden identificar patrones de actividad maliciosa y desarrollar medidas de seguridad adecuadas para proteger los sistemas contra futuros ataques. 14 Sandbox es un entorno de ejecución restringido y controlado que evita que software potencialmente malicioso, como código móvil, acceda a cualquier recurso del sistema excepto aquellos para los cuales el software está autorizado. (NIST) 18 2.6. Técnicas que utiliza el malware El malware, o software malicioso, es una de las mayores amenazas en el mundo digital actual. Desde virus y troyanos hasta ransomware y spyware, el malware se ha convertido en una herramienta poderosa y omnipresente en manos de los ciberdelincuentes. ¿Cómo logra el malware infiltrarse y causar estragos en nuestros sistemas? Para entenderlo, es crucial explorar las diversas técnicas que utiliza para eludir las defensas y llevar a cabo sus operaciones maliciosas. Desde la ofuscación de código hasta la explotación de vulnerabilidades, el malware despliega un arsenal de estrategias ingeniosas para evadir la detección y mantenerse oculto en los dispositivos (Uppal, Mehra, & Verma, 2014). A continuación, se exploran algunas de estas tácticas utilizadas por el malware y su impacto en la seguridad cibernética. Algunas de las estrategias más comunes utilizadas por el malware son la escalada de privilegios, los algoritmos de generación de dominios (DGA), el malware sin archivos, la técnica "Living off the Land", la inyección de DLL, la inyección de código y de hilos, los períodos prolongados de inactividad (Extended Sleeps), la explotación de vulnerabilidades de día cero y la técnica Stegosploit. La escalada de privilegios permite al malware obtener acceso a recursos y funciones restringidas en un sistema operativo, aprovechando vulnerabilidades o mecanismos de seguridad deficientes (Microsoft, 2021). Por otro lado, los DGA generan una gran cantidad de nombres de dominio de forma dinámica, dificultando la detección y el bloqueo del tráfico malicioso por parte de los sistemas de seguridad. (Porolli, 2021) El malware sin archivos opera directamente en la memoria del sistema, evitando dejar rastros en el disco duro y eludiendo la detección de los antivirus tradicionales. La técnica "Living off the Land" aprovecha herramientas y funciones legítimas presentes en los sistemas operativos y entornos de red para llevar a cabo actividades maliciosas, dificultando su detección. (Ongun, Stokes, & Or, 2021) Otras estrategias empleadas por el malware incluyen la inyección de DLL, la inyección de código y la inyección de hilos en procesos legítimos, lo que permite ejecutar acciones maliciosas de forma encubierta (Walter, 2020). Los períodos prolongados de inactividad o "Extended Sleeps" ayudan al malware a ocultar su actividad y dificultar su detección. Además, el malware puede explotar vulnerabilidades de día cero, desconocidas para los desarrolladores y sin solución disponible, lo que lo hace especialmente peligroso (Erica Eng, 19 2015). La técnica Stegosploit, por su parte, oculta código malicioso dentro de archivos de imagen, engañando a los sistemas de detección y a los usuarios. Algunas variantes de malware pueden modificar las políticas de dominio y los tokens de acceso15 en entornos de Windows, lo que les permite evadir restricciones de seguridad, propagarse en la red y obtener acceso no autorizado a recursos y operaciones. Otra de las técnicas más peligrosas empleadas por el malware es la explotación de vulnerabilidades en sistemas o aplicaciones para eludir las características de seguridad. Aprovechando errores de programación, el malware puede ejecutar código malicioso y evitar ser detectado por el software de seguridad defensiva. (Intelligence, 2015) Además, el malware puede alterar estratégicamente los permisos de archivos y directorios para ocultar sus componentes y actividades de las herramientas de seguridad y los usuarios del sistema. Al manipular estos permisos, el malware dificulta su detección y eliminación, prolongando su presencia en el sistema comprometido. (Team S. T., 2021) Otra técnica utilizada es el ocultamiento de componentes, donde el malware manipula o esconde sus archivos, procesos y actividades maliciosas para evitar ser identificado por las herramientas de seguridad y los usuarios. (Arntz, 2015) En algunos casos, el malware puede optar por deshabilitar directamente las defensas de seguridad presentes en el sistema, como desactivar antivirus, firewalls, el registro de eventos y modificar configuraciones críticas de seguridad. Estas acciones permiten al malware operar sin obstáculos. (Report, 2022) Complementando estas técnicas, el malware también puede borrar evidencia de su presencia o actividad en el sistema comprometido, eliminando registros de eventos, historiales de comandos, archivos relacionados y modificando marcas de tiempo, dificultando así su detección y análisis. Otras estrategias más sofisticadas incluyen la ejecución indirecta de comandos, aprovechando funcionalidades legítimas del sistema operativo y ofuscando los comandos utilizados, así como el enmascaramiento, donde el malware adopta características similares a elementos legítimos del sistema para evitar ser identificado. (Pradhan, 2022) 15 Un token de acceso es un objeto que describe el contexto de seguridad de un proceso o subproceso. La información de un token incluye la identidad y los privilegios de la cuenta de usuario asociada al proceso o subproceso. (Microsoft) 20 En entornos empresariales, el malware puede incluso registrar un controlador de dominio falso para manipular datos en Active Directory16, o alterar los controles de confianza que advierten a los usuarios sobre actividades no confiables. (Delpy & TOUX, 2018) Por último, una técnica destacada es la ejecución de binarios firmados del sistema, donde el malware ejecuta contenido malicioso a través de archivos firmados por Microsoft o de confianza, evadiendo las defensas basadas en procesos y firmas. Estas técnicas complejas demuestran la constante evolución del malware y la necesidad de mantener una postura de seguridad sólida y actualizada para proteger los sistemas y datos de estas amenazas en constante cambio. 2.1.6. Técnicas de Acceso inicial En el implacable mundo de las amenazas cibernéticas, el malware ha desarrollado sofisticadas técnicas para obtener un punto de entrada inicial en redes y dispositivos, con el fin de instalar su carga maliciosa. Estas tácticas de acceso inicial son el primer paso en una cadena de eventos que pueden culminar en graves violaciones de seguridad y comprometer la integridad de los sistemas. Una de las estrategias empleadas por el malware es la inyección de contenido, donde se aprovechan canales de transferencia de datos comprometidos para inyectar código malicioso en el tráfico de red en línea. En lugar de atraer a las víctimas a sitios web maliciosos, los ciberdelincuentes pueden manipular el tráfico y entregar cargas útiles adicionales a sistemas ya comprometidos. (Faou, 2023) Otra técnica es el drive-by compromise, donde se aprovechan vulnerabilidades en sitios web legítimos o comprometidos para instalar malware en los sistemas de los visitantes sin su conocimiento ni interacción directa. Esto se logra mediante la inyección de código malicioso en el navegador del usuario, lo que permite la descarga e instalación silenciosa de malware. (Chen J. C., 2018) El malware también puede recurrir a adiciones de hardware, como la inserción de dispositivos de almacenamiento o componentes comprometidos, para facilitar la persistencia y el control remoto 16 Active Directory es un servicio de directorio de Microsoft para la gestión de identidades en redes de dominio de Windows. (NIST) 21 de un sistema infectado. Esta técnica física puede ser difícil de detectar y eliminar. (Golovanov, 2018) Además, el compromiso de la cadena de suministro ha surgido como una estrategia altamente sofisticada, donde el malware se infiltra en los sistemas de destino a través de proveedores de servicios o productos confiables. Al comprometer la infraestructura de estos proveedores, el malware puede distribuirse y ejecutarse en los sistemas de los usuarios finales de manera encubierta. (IBM, 2017) Finalmente, el malware puede explotar las relaciones de confianza entre organizaciones y sus proveedores o socios externos para obtener acceso no autorizado a redes y sistemas. Los atacantes se aprovechan de las conexiones legítimas y a menudo menos vigiladas con terceros, como contratistas de TI o proveedores de infraestructura, para comprometer cuentas válidas y utilizarlas en su beneficio. (Team C. T., REvil/Sodinokibi Ransomware, 2019) 2.2.6. Técnicas de evasión de análisis En el incesante mundo de las amenazas cibernéticas, el malware ha desarrollado sofisticadas estrategias para evadir la detección y el análisis por parte de los sistemas de seguridad. Estas técnicas de evasión representan un desafío constante para los profesionales de la ciberseguridad, quienes deben mantenerse un paso adelante en la identificación y mitigación de estas amenazas. Una de las técnicas más ampliamente utilizadas por los autores de malware es la ofuscación de código. Esta estrategia consiste en modificar el código para dificultar la extracción de firmas derivadas del código binario17, lo que dificulta la detección por parte de los métodos tradicionales de análisis utilizados por el software antivirus. El polimorfismo y el metamorfismo son ejemplos destacados de ofuscación de código. El primero permite al malware cambiar su código binario y estructura interna de manera dinámica, generando variantes únicas que no coinciden con las firmas conocidas. Por otro lado, el metamorfismo reorganiza y modifica dinámicamente el código fuente, creando múltiples variantes del mismo malware con estructuras y comportamientos diferentes, dificultando su detección basada en patrones predefinidos. Otra estrategia común empleada por los desarrolladores de malware son los empaquetadores y cifradores. Los empaquetadores comprimen el malware, reduciendo su tamaño y ocultando su 17 El código binario es una codificación usada para la representación de textos, o procesadores de instrucciones de computadora, utilizando el sistema binario. (Wikipedia) 22 verdadero propósito, mientras que los cifradores utilizan algoritmos de cifrado para codificar el código malicioso, haciéndolo ilegible para los escáneres de antivirus convencionales. Ambas técnicas desempaquetan y descifran el código en la memoria RAM antes de ejecutarlo, evadiendo la detección basada en firmas en el disco. El malware también puede estar programado para no activar su carga útil maliciosa si detecta la presencia de un depurador, utilizando técnicas anti-depuración. Estas técnicas permiten al malware detectar si está siendo ejecutado en un entorno depurado, comúnmente utilizado por los analistas de seguridad, y pueden intentar interferir con las funciones de depuración del sistema operativo. (Team C. T., 2022) Finalmente, el malware puede evadir entornos de virtualización y de análisis, como máquinas virtuales y entornos de pruebas automatizados, utilizando técnicas de evasión de virtualización y sandbox. Esto implica comprobar la configuración del hardware, buscar archivos y procesos característicos de entornos virtualizados, o ejecutar instrucciones específicas de CPU que indican la presencia de una máquina virtual. Una vez detectado, el malware puede cambiar su comportamiento para permanecer latente y evitar el análisis por parte de los sistemas de seguridad. (Torello & Guibernau, 2021) Estas técnicas de evasión de análisis representan un desafío constante para los profesionales de la ciberseguridad, quienes deben mantenerse al tanto de estas estrategias y desarrollar métodos de detección y mitigación más avanzados. 2.3.6. Técnicas de evasión de detección El constante avance tecnológico ha llevado a una escalada en las tácticas utilizadas por el malware para evadir la detección por parte de los sistemas de seguridad. Estas técnicas de evasión, empleadas por el este con el fin de eludir los mecanismos de defensa, representan un desafío continuo para los profesionales de la seguridad informática. El malware utiliza una variedad de estrategias sofisticadas para ocultar su presencia y evitar su identificación. Una de las técnicas más comunes es el camuflaje, que implica ocultar su código malicioso al mimetizarse con archivos o procesos legítimos del sistema operativo. Esta técnica puede incluir la modificación de nombres de archivos, ubicaciones o atributos para pasar desapercibido ante los sistemas de detección. Además del camuflaje, puede emplea la inyección de código como una técnica efectiva para evadir la detección. Esta técnica consiste en insertar su propio código malicioso en procesos 23 legítimos del sistema, lo que le permite ejecutarse de manera encubierta y eludir las medidas de seguridad que detectan la creación de nuevos procesos maliciosos. (Hosseini, 2017) Otra técnica comúnmente utilizada es la explotación de vulnerabilidades del sistema operativo o de aplicaciones para ejecutar su código malicioso de forma sigilosa. Al aprovechar estas vulnerabilidades, puede eludir las medidas de seguridad existentes y propagarse dentro del sistema sin ser detectado. Además, el malware puede emplear técnicas basadas en el comportamiento para evadir la detección por parte de los sistemas de seguridad. Esto incluye la modificación dinámica de su comportamiento en respuesta a la detección o el análisis, como interrumpir sus actividades maliciosas durante ciertos períodos de tiempo o activar mecanismos de autodestrucción para evitar su captura y análisis. 2.4.6. Técnicas de evasión de red En el panorama de las amenazas cibernéticas, el malware ha desarrollado sofisticadas técnicas para evadir la detección a través de conexiones de red. Estas tácticas son esenciales para los actores maliciosos que buscan mantener su presencia en sistemas comprometidos y comunicarse de manera encubierta con servidores de comando y control u otras infraestructuras maliciosas. Una de las estrategias más efectivas empleadas por el malware es la conexión indirecta o inversa. En esta técnica, el sistema comprometido establece una conexión saliente hacia el servidor de comando y control, aprovechando que la mayoría de las veces los firewalls18 y otras medidas de seguridad no están configurados para bloquear las conexiones salientes. De esta manera, el malware puede comunicarse de forma discreta con su infraestructura sin ser detectado fácilmente por las defensas de red tradicionales. Otra táctica común es el uso de sesiones cifradas, donde las comunicaciones entre el malware y su servidor de comando y control se cifran o codifican, ocultando el contenido y dificultando que las soluciones de seguridad tradicionales puedan inspeccionar o detectar el tráfico malicioso. (Research, 2018) El malware también puede aprovechar los protocolos de capa de aplicación, como HTTP, HTTPS, FTP o protocolos de correo electrónico, para comunicarse y transferir datos entre sistemas, 18 Un firewall es una puerta de enlace que limita el acceso entre redes de acuerdo con la política de seguridad local. (NIST) 24 camuflando sus actividades dentro del tráfico de red legítimo (Chen, Sasson, & Zelivansky, 2021). Además, puede utilizar protocolos OSI que no están en la capa de aplicación, como ICMP, UDP o SOCKS, para ocultar sus comunicaciones. (Holmes, 2015) Una táctica adicional es el uso de puertos no estándar, combinando protocolos y puertos que normalmente no se asocian entre sí, lo que dificulta la detección y el análisis de las comunicaciones maliciosas. (Harbison, 2021) El tunneling19 es otra técnica utilizada por el malware, donde los paquetes de datos se encapsulan dentro de otros protocolos de red legítimos, como SSH, para pasar desapercibidos mientras se comunican con su servidor de comando y control. (Gatlan, 2019) Además, el malware puede utilizar proxies20 internos o externos para enrutar el tráfico de red y ocultar la comunicación con su infraestructura de comando y control, evitando así la detección y el seguimiento. Incluso pueden encadenar múltiples proxies para ocultar aún más el origen del tráfico malicioso. Estas tácticas de evasión de red representan un desafío constante para los profesionales de la ciberseguridad, quienes deben mantenerse al tanto de estas estrategias y desarrollar métodos de detección y mitigación más avanzados. Sólo mediante una comprensión profunda de estas amenazas y sus tácticas de evasión podremos salvaguardar eficazmente nuestras redes y sistemas. 2.5.6. Técnicas de Ejecución En el implacable mundo de las amenazas cibernéticas, el malware ha desarrollado sofisticadas técnicas para iniciar su funcionamiento en sistemas objetivo. Estas tácticas de ejecución son cruciales para que el software malicioso pueda llevar a cabo sus acciones maliciosas y comprometer la integridad de los sistemas infectados. Una de las estrategias empleadas por el malware es el uso de intérpretes de comandos y scripts21 nativos del sistema operativo. Aprovechando líneas de comandos como cmd.exe en Windows, bash en Linux/Unix o PowerShell, el malware puede ejecutar secuencias de comandos o 19 El tunneling es una tecnología que permite a una red enviar sus datos a través de las conexiones de otra red. El túnel funciona encapsulando un protocolo de red dentro de paquetes transportados por la segunda red. 20 Un proxy es un dispositivo o programa intermediario que proporciona comunicación y otros servicios entre un cliente y un servidor. 21 Un Script es una secuencia de instrucciones, que van desde una simple lista de comandos del sistema operativo hasta declaraciones completas de un lenguaje de programación, que un intérprete puede ejecutar automáticamente. 25 instrucciones específicas que facilitan diversas actividades maliciosas, como la propagación, la exfiltración de datos o la escalada de privilegios. (Pantazopoulos, 2018) Además, el malware puede recurrir al uso directo de las Interfaces de Programación de Aplicaciones (API) nativas del sistema operativo. Estas API de bajo nivel permiten interactuar directamente con componentes críticos, permitiendo al malware realizar una amplia gama de acciones sin necesidad de invocar herramientas o comandos externos que podrían ser detectados por soluciones de seguridad. (Salem, 2022) Otra técnica utilizada es la creación de tareas programadas en el sistema operativo del host. Esto permite que el malware se ejecute automáticamente en momentos específicos o bajo ciertas condiciones, asegurando su persistencia en el sistema afectado, incluso después de reinicios o en intervalos definidos. El malware también ha explorado el uso de entornos de computación sin servidor en la nube, como AWS Lambda, Google Cloud Functions o Azure Functions. Al implementar su código malicioso como una función en estos entornos, el malware puede ejecutar sus operaciones de manera distribuida y escalable, sin requerir la configuración y administración de servidores tradicionales. (Muir, 2022) El uso de herramientas legítimas de despliegue de software, como Microsoft SCCM, Puppet o Ansible, también ha sido explotado por el malware. Al abusar de estas herramientas, el malware puede distribuir y ejecutar sus componentes maliciosos en sistemas comprometidos de manera más efectiva y encubierta. (Marvi, y otros, 2023) Finalmente, los atacantes pueden recurrir a técnicas de ingeniería social, como el phishing, para engañar a los usuarios y hacer que ejecuten voluntariamente el malware, abriendo archivos adjuntos maliciosos o haciendo clic en enlaces perjudiciales. 2.6.6. Técnicas de persistencia El software malicioso, emplea diversas técnicas para mantener su presencia en los sistemas infectados de manera persistente, incluso después de reiniciar o apagar el dispositivo. Estas técnicas aseguran que el malware permanezca activo y pueda ejecutar sus funciones maliciosas de forma continua. Algunas de las técnicas más comunes se describen a continuación. Una técnica ampliamente utilizada es la ejecución automática al iniciar sesión o arrancar el sistema. El malware modifica la configuración del sistema, como entradas en el Registro de 26 Windows, tareas programadas, carpetas de inicio, servicios del sistema y scripts de inicio, para asegurar su ejecución automática durante el arranque o el inicio de sesión del usuario. El malware también puede abusar de extensiones de navegador para obtener acceso persistente a los sistemas de las víctimas. Las extensiones maliciosas pueden robar información, navegar a sitios web en segundo plano e incluso minar criptomonedas. (Brinkmann, 2017) Además, el malware puede comprometer clientes de software, como clientes SSH, FTP, correo electrónico y navegadores web, modificando sus binarios para ejecutar cargas útiles maliciosas cuando estas aplicaciones están en uso. (Hrčka, 2021) La ejecución desencadenada por eventos aprovecha eventos específicos del sistema o del usuario para ejecutar código malicioso automáticamente, permitiendo al malware permanecer latente hasta que se cumplan ciertas condiciones. Otra técnica es la modificación del proceso de autenticación, donde los atacantes alteran los mecanismos de autenticación de sistemas, aplicaciones o servicios para facilitar el acceso no autorizado o evadir controles de seguridad. (Dumont, M.Léveillé, & Porcher, 2018) El abuso de características de arranque automático en aplicaciones de Microsoft Office, como macros, add-ins22 maliciosos y plantillas automáticas, también se utiliza para ejecutar código malicioso al iniciar estas aplicaciones. (Raggi, 2021) Estas técnicas de persistencia permiten al malware mantener su presencia en los sistemas comprometidos, dificultando su detección y eliminación, y facilitando la realización de actividades maliciosas de manera continua. 2.7. Técnicas para la detección de malware Métodos utilizados para identificar la presencia de software malicioso en sistemas informáticos. Algunas de estas técnicas son la firma de virus, análisis heurístico, detección de comportamiento, entre otras. 2.1.7. Firma de virus 22 Un add-ins o complemento es un programa de software que amplía las capacidades de programas más grandes. 27 Enfoque clásico utilizado en la detección de malware. Consiste en identificar patrones específicos conocidos de código malicioso, también llamados firmas, dentro de archivos o programas sospechosos. Estas firmas son secuencias únicas de bytes que están asociados con muestras de malware previamente identificadas y analizadas (Uppal, Mehra, & Verma, 2014). Un software antivirus o un sistema de detección de intrusiones busca coincidencias exactas entre las firmas conocidas de malware y los archivos en el sistema que están siendo escaneados. Si se encuentra una coincidencia, se considera que el archivo es malicioso y se toman las medidas adecuadas, como la cuarentena o eliminación del archivo infectado. Esta técnica es eficaz para detectar malware conocido y variantes conocidas de amenazas. Sin embargo, tiene limitaciones significativas, ya que no puede detectar malware desconocido o variantes modificadas que no coincidan exactamente con las firmas conocidas. Además, los atacantes pueden evadir esta técnica fácilmente modificando ligeramente el código malicioso para evitar que coincida con las firmas conocidas. 2.2.7. Análisis Heurístico Se centra en el comportamiento y las características generales del software para identificar posibles amenazas. A diferencia del enfoque de la Firma de Virus, que se basa en la identificación de patrones específicos conocidos de malware, el análisis heurístico examina el comportamiento del programa para determinar si es malicioso o sospechoso. En lugar de buscar características exactas asociadas con el malware conocido, el análisis heurístico evalúa el comportamiento del programa en busca de acciones o actividades que podrían indicar un comportamiento malicioso. Esto puede incluir actividades como la modificación del registro del sistema, la creación o eliminación de archivos en ubicaciones críticas, la inyección de código en procesos legítimos, la comunicación con dominios maliciosos conocidos, entre otros. (Miao, 2015) El análisis heurístico puede utilizar reglas predefinidas o algoritmos de aprendizaje automático para identificar comportamientos sospechosos. Por ejemplo, un motor de antivirus puede estar configurado para detectar cualquier programa que intente modificar archivos críticos del sistema operativo sin autorización. Una de las ventajas de este análisis es su capacidad para detectar malware desconocido o variantes modificadas que no coinciden con las firmas de virus conocidas. Sin embargo, también puede generar falsos positivos, ya que algunas acciones legítimas del software pueden ser interpretadas como maliciosas por los algoritmos heurísticos. 28 2.3.7. Detección de Comportamiento Utilizado para identificar y mitigar amenazas basadas en el análisis del comportamiento de los sistemas y el tráfico de red. A diferencia de la detección basada en firmas, que se centra en identificar patrones específicos de código malicioso, la detección de comportamiento se enfoca en detectar actividades anómalas o sospechosas que podrían indicar la presencia de amenazas. Esta técnica implica monitorear constantemente el comportamiento de los sistemas, aplicaciones y usuarios en busca de desviaciones de los patrones normales de actividad. (Bayer, Comparetti, Hlauschek, Kruegel, & Kirda, 2009) Para llevar a cabo la detección de comportamiento, se utilizan técnicas como el análisis de registros de eventos, la monitorización de la actividad del sistema y la red, la detección de anomalías estadísticas y el uso de algoritmos de aprendizaje automático para identificar patrones de comportamiento anómalos. Una de las ventajas de la detección de comportamiento es su capacidad para detectar amenazas desconocidas y ataques sofisticados que pueden eludir las técnicas de detección basadas en firmas. Sin embargo, al igual que el análisis heurístico, también puede generar un mayor número de falsos positivos, ya que cualquier desviación de los patrones normales de comportamiento puede ser considerada como una potencial amenaza. 2.4.7. Entorno Controlado para Análisis de malware Es un espacio seguro y aislado diseñado específicamente para evaluar muestras de malware de manera controlada y sin comprometer sistemas operativos reales. Utiliza técnicas como máquinas virtuales o contenedores para crear un entorno virtual donde el malware pueda ser ejecutado de forma segura y aislada. Sus características principales incluyen el aislamiento total del entorno del resto de la red y los sistemas operativos, lo que impide la propagación del malware fuera del entorno controlado. También se implementan herramientas de monitorización para registrar y analizar todas las actividades realizadas por el malware, como cambios en el sistema de archivos, comunicaciones de red y modificaciones en la memoria. El análisis se realiza de forma dinámica, ejecutando el malware en un entorno controlado para observar su comportamiento en tiempo real y comprender sus funcionalidades sin poner en 29 peligro la seguridad del sistema. Se utilizan herramientas especializadas como depuradores, sistemas de detección de intrusiones y herramientas de análisis de memoria para llevar a cabo este proceso. 2.5.7. Indicadores de Compromiso (IoC) para Detección de Amenazas Las amenazas informáticas evolucionan con ataques cada vez más sofisticados, siendo el malware el vector de ataque más utilizado. Los ataques de día cero (0days) representan un desafío particular, ya que no existe análisis previo del código, por lo que los indicadores de compromiso (IoC) son menos efectivos inicialmente. Los indicadores de compromiso (IoC por sus siglas en inglés) son artefactos forenses recolectados de una intrusión que son identificados en la red, en un host o equipo. Estos IoC ayudan a los profesionales de seguridad a identificar cualquier tipo de amenaza que indique una brecha de seguridad a través de una vulnerabilidad. (Ponce Larreategui, 2021) Tipos de IoC. • Artefactos basados en red: Recibidos desde servidores, puertos, proxys, etc. Incluyen capturas de paquetes, estado de la red y sesiones. • Artefactos basados en host: Recibidos desde el equipo, como registros del sistema y sistema de archivos. • IPs: Identificar las direcciones IP del comando y control es clave para detectar conexiones maliciosas. • URLs: Identificar las URLs asociadas a una botnet y sus IPs relacionadas para su bloqueo. • Puertos y servicios: Analizar puertos y servicios como DNS, HTTP, TCP, UDP, etc. utilizados. • Registros: Los cambios en el registro (persistencia) indican una computadora infectada. • Procesos: Revisar procesos en ejecución, cargas de DLL, parámetros, etc. es clave para identificar malware. Estas piezas de información forense como direcciones IP, URLs, hashes de archivos, firmas de malware, permiten detectar actividades maliciosas y amenazas en los sistemas. 2.6.7. Tabla de referencia de las Técnicas MITRE 30 La tabla de referencia de las Técnicas MITRE (MITRE Techniques Reference) es una herramienta invaluable en la comunidad de ciberseguridad. Esta tabla presenta una recopilación organizada de tácticas y técnicas utilizadas por adversarios en ciberataques, catalogadas según el marco de ATT&CK de MITRE. La tabla proporciona una visión general rápida de las diferentes formas en que los atacantes pueden comprometer sistemas y redes, lo que ayuda a los profesionales de seguridad a comprender mejor las amenazas y a fortalecer las defensas. Además, sirve como una referencia valiosa para la investigación de incidentes, la planificación de defensa y la evaluación de la postura de seguridad de una organización. Para obtener la lista completa de técnicas, consultar en https://attack.mitre.org/techniques/enterprise/. Para ver detalles sobre las técnicas encontradas en los análisis de malware realizados en esta investigación ver Anexo A. 2.8. El futuro del malware con Inteligencia Artificial El futuro del malware con Inteligencia Artificial es un tema que despierta preocupación y atención en el ámbito de la ciberseguridad. Con el avance constante de la tecnología, los ciberdelincuentes podrán adoptar herramientas cada vez más sofisticadas para llevar a cabo sus ataques. La integración de la Inteligencia Artificial en el desarrollo de malware representa un cambio significativo en el panorama de la seguridad informática. Esta nueva generación de malware podría aprender de su entorno, adaptarse a las defensas de seguridad y evolucionar de manera autónoma, lo que lo haría extremadamente difícil de detectar y combatir. Ante este escenario, es crucial que la comunidad de la ciberseguridad esté alerta y desarrolle estrategias innovadoras para hacer frente a esta amenaza emergente y proteger la integridad de los sistemas y datos en un mundo cada vez más digitalizado. 2.1.8. Gusano informático con IA Generativa En un estudio innovador realizado por Stav Cohen, Ron Bitton, y Ben Nassi, se presenta "Morris II", el primer gusano informático conceptualizado para atacar ecosistemas impulsados por Inteligencia Artificial Generativa (GenAI). Este gusano, nombrado en honor al primer gusano de Internet, el "Gusano Morris", explora vulnerabilidades únicas en aplicaciones GenAI, replicándose a través de entradas adversarias auto replicantes. Morris II utiliza prompts adversarios auto replicantes para inducir a modelos GenAI a replicar y propagar el código malicioso sin interacción humana, evidenciando un método de ataque novedoso y altamente efectivo. El gusano se probó en asistentes de correo electrónico https://attack.mitre.org/techniques/enterprise/ 31 potenciados por GenAI, demostrando su capacidad para realizar actividades maliciosas como el envío de spam y la exfiltración de datos de manera autónoma. El descubrimiento de Morris II abre un debate urgente sobre las implicaciones de seguridad de los ecosistemas GenAI. A medida que estos sistemas se vuelven más integrados en nuestro entorno digital, la necesidad de estrategias de seguridad robustas se hace evidente. El estudio propone contramedidas, incluyendo el desarrollo de modelos GenAI que puedan identificar y neutralizar prompts adversarios, así como la importancia de una colaboración más estrecha entre investigadores en seguridad y desarrolladores de GenAI para prevenir ataques futuros. El trabajo de Cohen, Bitton, y Nassi no solo destaca una nueva clase de amenaza cibernética, sino que también sirve como un llamado a la acción para la comunidad tecnológica global. Al revelar las vulnerabilidades dentro de los ecosistemas GenAI, "Morris II" subraya la importancia crítica de priorizar la seguridad en el diseño e implementación de tecnologías GenAI. Este estudio marca un paso crucial hacia la comprensión y mitigación de los riesgos asociados con la inteligencia artificial generativa, asegurando un futuro digital más seguro para todos. (Cohen, Bitton, & Nassi, 2024) 2.2.8. Polimorfismo con inteligencia artificial Second Part To Hell en su repositorio de Github nos habla sobre LLMorpher un innovador malware que utiliza la inteligencia artificial para evadir los sistemas de detección. Los virus informáticos tradicionalmente se escriben en código ejecutable de un lenguaje de programación. Sin embargo, un nuevo enfoque propuesto plantea codificar completamente los virus en lenguaje natural utilizando la poderosa inteligencia artificial GPT de OpenAI. En lugar de instrucciones de código concretas, el virus consiste en una lista de oraciones bien definidas escritas en inglés. Luego, GPT traduce estas descripciones en inglés a código ejecutable. Debido a la ambigüedad inherente del lenguaje natural, GPT puede generar diferentes códigos con el mismo comportamiento, creando así una nueva forma de metamorfismo viral llamada "Lingüístico-Morfismo". SPTH presenta dos ejemplos prácticos, "LLMorphism I" y "LLMorphism II", que son los primeros virus codificados completamente en lenguaje natural explotando las capacidades de GPT. El proceso involucra crear listas de "prompts" o instrucciones en inglés que describen el 32 comportamiento deseado del virus. GPT luego traduce estas instrucciones a código ejecutable de Python. (Hell., 2023) Además, GPT puede reformular las mismas instrucciones en inglés de diferentes maneras sin cambiar su significado, lo que permite una mutación lingüística del propio código viral. Esta capacidad de reformulación lingüística y generación de código variable abre la puerta a una nueva clase de virus informáticos que desdibujan la frontera entre lenguaje natural y de programación. El artículo concluye que, si bien esta técnica aún es rudimentaria, el rápido avance de los modelos de lenguaje como GPT permitirá codificar ideas cada vez más complejas directamente en lenguaje natural. Esta intersección de virus informáticos e inteligencia artificial plantea emocionantes y preocupantes perspectivas. (Hyppönen, 2023) 2.3.8. DeepDGA Una Red Generativa Adversaria Profunda para Generación y Detección de Algoritmos de Generación de Dominios Maliciosos Los algoritmos de generación de dominios (DGAs) son utilizados por muchas familias de malware para establecer conexiones de comando y control (C&C). Estos algoritmos generan de forma pseudoaleatoria grandes cantidades de nombres de dominio diariamente, dificultando las contramedidas defensivas. Si bien existen varios métodos para detectar dominios generados por DGAs, muchos se basan en conjuntos de datos limitados y pueden ser eludidos por nuevas variantes de DGA. En el artículo DeepDGA: Adversarially-Tuned Domain Generation and Detection, los investigadores proponen DeepDGA, un novedoso marco de aprendizaje profundo que utiliza redes generativas adversarias (GANs) para generar nombres de dominio adversarios diseñados específicamente para evadir detectores de DGA basados en aprendizaje automático. DeepDGA consta de un modelo generador y un modelo discriminador que compiten en rondas adversarias. El generador aprende a crear nombres de dominio artificiales que son difíciles de distinguir de los dominios reales, mientras que el discriminador intenta identificar los dominios generados versus los reales. Los experimentos muestran que DeepDGA puede producir nombres de dominio que eluden significativamente la detección por parte de un clasificador de bosque aleatorio entrenado con características de dominio creadas manualmente. Además, al aumentar el conjunto de 33 entrenamiento con los ejemplos adversarios generados por DeepDGA, el clasificador de bosque aleatorio se endureció contra familias de DGA nunca antes vistas, mejorando su capacidad de detección. Esta investigación demuestra el uso novedoso de GANs para generar ejemplos adversarios en el contexto de la detección de DGA, destacando tanto los desafíos como las oportunidades de esta técnica para mejorar la robustez de los sistemas de detección de malware basados en aprendizaje automático. (Anderson, Woodbridge, & Filar, 2016) 2.4.8. MaskDGA Una técnica de evasión de caja negra contra clasificadores DGA y defensas adversarias El artículo MaskDGA: A Black-box Evasion Technique Against DGA Classifiers and Adversarial Defenses, presenta MaskDGA, una técnica práctica de aprendizaje adversario que agrega perturbaciones a representaciones a nivel de carácter de nombres de dominio generados algorítmicamente (AGD) para evadir clasificadores DGA, sin necesidad de conocer la arquitectura o parámetros del clasificador. MaskDGA entrena un modelo sustituto discriminativo en datos públicos de AGDs, genera nuevos AGDs, construye un mapa de saliencia de Jacobian (JSM) para cada AGD añadiendo perturbaciones a la mitad de los caracteres con mayores gradientes en el JSM. Esto produce nuevos nombres de dominio adversarios que evaden la detección. La evaluación en cuatro clasificadores DGA recientes mostró que MaskDGA reduce la puntuación F1 promedio de 0.977 a 0.495. También se evaluó contra técnicas de defensa como reentrenamiento adversario y destilación, demostrando que MaskDGA puede mejorar la robustez pero que los clasificadores DGA idealmente deberían incorporar características adicionales más allá de las de nivel de carácter. El artículo discute la implementación práctica de MaskDGA, que requiere cargar un modelo sustituto pre entrenado de ~10MB y realizar inferencia, lo cual es factible incluso en dispositivos embebidos. Los resultados sugieren que los clasificadores DGA actuales basados únicamente en características de nivel de carácter son vulnerables a ataques adversarios y se necesitan mecanismos de detección más robustos. (Sidi, Nadler, & Shabtai, 2019) 3. Diseño de metodología de análisis 34 Esta sección se adentra en el proceso de creación de una metodología diseñada específicamente para abordar los desafíos inherentes al análisis de malware en entornos controlados. Desde la identificación de requisitos clave hasta la definición de pasos y técnicas de análisis, esta sección ofrece una visión detallada del enfoque metodológico adoptado. Además, se discuten las consideraciones prácticas y teóricas que influyen en la configuración de la metodología, incluyendo la selección de herramientas y la evaluación de riesgos. Se presenta una hoja de ruta detallada que servirá como guía para la implementación y ejecución de la metodología de análisis, sentando las bases para un análisis de malware eficaz y orientado a resultados en entornos controlados. 3.1. Fases del proyecto Tabla 2: Descripción de fases del proyecto Descripción de fases del proyecto Fase Descripción Fase de investigación En esta etapa inicial, se llevó a cabo una investigación sobre los distintos aspectos relacionados con el análisis de malware en entornos controlados. Se recopilaron y revisaron literaturas especializadas. El objetivo principal fue comprender en profundidad el panorama actual de la detección y análisis de malware, así como identificar brechas y oportunidades para el desarrollo de una metodología avanzada y efectiva. Fase de diseño e implementación Una vez completada la fase de investigación, se procede al diseño detallado de la metodología de análisis. Con base en este análisis, se establecen los pasos y procedimientos necesarios para llevar a cabo el análisis de malware en entornos controlados. Además, se desarrollan y/o adaptan las herramientas y recursos técnicos requeridos para la implementación práctica de la metodología diseñada. Fase de pruebas Se requiere un software de virtualización confiable y robusto para crear y gestionar máquinas virtuales en el sandbox. Algunas opciones populares incluyen VMware, VirtualBox, o Hyper-V de Microsoft. Fase de documentación Finalmente, se procede a documentar de manera detallada todos los aspectos de la metodología de análisis desarrollada. Se elabora un informe completo que incluye la descripción de cada paso y técnica de análisis, así como las herramientas utilizadas y los resultados obtenidos durante las pruebas. Esta documentación servirá como referencia y guía para la implementación y replicación de la metodología en diferentes 35 contextos y proyectos relacionados con la detección y análisis de malware en entornos controlados. Fuente: Elaboración propia 3.2. Conceptos teóricos fundamentales El diseño e implementación de entornos controlados para el análisis de malware requiere del conocimiento de una serie de conceptos teóricos fundamentales. Estos conceptos sirven como cimientos para desarrollar estrategias efectivas que permitan comprender y mitigar las amenazas cibernéticas. A continuación, se presentan algunos de los conceptos clave: 3.1.2. Virtualización La virtualización es una técnica de software que permite crear versiones virtuales de recursos tecnológicos, como sistemas operativos, dispositivos de almacenamiento, redes o incluso hardware completo. Esto se logra mediante una capa de software llamada hipervisor o monitor de máquina virtual, que se ejecuta en un sistema anfitrión y permite la creación y gestión de máquinas virtuales. (Villar & Gómez) La virtualización proporciona un entorno seguro y aislado para estudiar el comportamiento de programas maliciosos sin poner en riesgo el sistema anfitrión. Además, la virtualización facilita la automatización y escalabilidad del análisis de malware, permitiendo ejecutar múltiples muestras en paralelo en diferentes máquinas virtuales para un procesamiento más rápido. 3.2.2. Hipervisor o monitor de máquinas virtuales Es la capa que permite crear y ejecutar máquinas virtuales en un sistema anfitrión. El hipervisor actúa como una capa de abstracción entre el hardware físico del sistema y los sistemas operativos invitados. (Fernandez, 2015) Un hipervisor permite la creación y administración de máquinas virtuales aisladas y controladas para estudiar programas maliciosos de manera segura. Sus principales funciones incluyen el aislamiento de las máquinas virtuales para evitar la propagación del malware, la gestión eficiente 36 de los recursos de hardware, la capacidad de realizar instantáneas y revertir estados, la clonación de máquinas virtuales y la automatización de tareas. 3.3.2. Máquina virtual Una máquina virtual (VM, por sus siglas en inglés Virtual Machine) es un entorno de sistema operativo virtualizado que se ejecuta sobre un sistema físico a través de un software de virtualización conocido como hipervisor. Básicamente, una máquina virtual es una simulación completa de un sistema de computadora que se comporta como si fuera una máquina física independiente, con su propio procesador virtual, memoria, almacenamiento, interfaces de red y dispositivos. (Villar & Gómez) Las máquinas virtuales son esenciales por que proporcionan un entorno de prueba aislado, permiten la reversión a estados anteriores, posibilitan la creación de múltiples configuraciones para probar diferentes comportamientos de malware, facilitan el monitoreo y análisis del malware, así como el uso de herramientas forenses, y permiten la automatización del análisis de malware. 3.4.2. Sandbox Un sandbox es un entorno aislado y controlado donde se ejecutan muestras de programas potencialmente maliciosos con fines de análisis y observación. Pueden ser implementados mediante diversas tecnologías, como máquinas virtuales, contenedores, entornos de prueba dedicados, entre otros. Su objetivo principal es proporcionar un entorno seguro y controlado para ejecutar código o programas potencialmente peligrosos sin comprometer la integridad del sistema principal. (Rivera Guevara R. P., 2018) Los sandbox se utilizan ampliamente en centros de operaciones de seguridad, laboratorios de malware y empresas de seguridad para analizar de forma segura amenazas cibernéticas, comprender su comportamiento y desarrollar contramedidas efectivas. También son componentes clave en soluciones de prevención y detección de malware basadas en análisis de comportamiento. 3.5.2. Sistema operativo Un sistema operativo es un conjunto esencial de programas informáticos que administra eficientemente los recursos de una computadora, actuando como intermediario entre el hardware 37 y las aplicaciones de usuario. Sus funciones principales incluyen la gestión de recursos como la memoria RAM y el almacenamiento, proporcionar una interfaz de usuario para interactuar con el sistema y ejecutar programas, administrar archivos y directorios, controlar la ejecución de procesos, garantizar la seguridad del sistema y los datos, y permitir la comunicación y el intercambio de recursos en redes. 3.6.2. Archivo ejecutable Un archivo ejecutable es un tipo de archivo que contiene instrucciones en forma de código máquina que pueden ser directamente ejecutadas por un procesador o sistema operativo. Estos archivos se identifican por extensiones específicas según el sistema operativo, como .exe o .com en Windows, sin extensión específica o .app en macOS, y sin extensión en Linux y Unix. Cuando se ejecuta un archivo ejecutable, el sistema operativo carga el código máquina en la memoria y asigna los recursos necesarios para su ejecución. Los archivos ejecutables pueden ser de diferentes tipos, como aplicaciones completas, utilidades y herramientas, controladores de dispositivos o archivos de script. (Rivera Guevara R. , 2014) 3.3. Requisitos y consideraciones La planificación juega un papel crucial en la creación de entornos seguros y eficientes para el análisis de malware y la realización de pruebas de seguridad. La correcta configuración de hardware y software, junto con medidas adecuadas de aislamiento y seguridad, son fundamentales para garantizar la integridad de los datos, proteger los sistemas y maximizar la efectividad de las investigaciones. 3.1.3. Requisitos de hardware El hardware de un sandbox para el análisis de malware juega un papel crucial en la capacidad de ejecutar de manera eficiente y segura los procesos de análisis. La selección adecuada de hardware garantiza un rendimiento óptimo y la capacidad de manejar cargas de trabajo intensivas. A continuación, se detallan los requisitos de hardware recomendados para un sandbox de análisis de malware: 38 Tabla 3: Descripción de requisitos de hardware Descripción de requisitos de hardware. Requisito Descripción CPU (Unidad Central de Procesamiento): Se requiere una CPU potente y multi núcleo para manejar múltiples procesos simultáneamente durante el análisis de malware. Se recomienda una CPU de al menos cuatro núcleos con soporte para tecnologías de virtualización para ejecutar máquinas virtuales de manera eficiente. Memoria RAM La cantidad de RAM disponible afecta directamente la capacidad del sandbox para ejecutar procesos de análisis de malware. Se recomienda una cantidad mínima de 8 GB de RAM para un funcionamiento adecuado. Sin embargo, para cargas de trabajo más intensivas, como análisis de malware complejos o simultáneos, se pueden requerir cantidades mayores de RAM. Almacenamiento Se debe disponer de suficiente espacio de almacenamiento para alojar sistemas operativos de máquinas virtuales, muestras de malware, herramientas de análisis y datos generados durante el proceso de análisis, sistema de respaldo y restauración para proteger los datos y facilitar la recuperación en caso de fallas. Se recomienda al menos 512 GB de almacenamiento y utilizar unidades de estado sólido (SSD) en lugar de discos duros tradicionales (HDD) para mejorar el rendimiento y la velocidad de acceso a los datos. Soporte de Virtualización Es fundamental que el hardware tenga soporte para tecnologías de virtualización, como Intel VT-x o AMD-V, para ejecutar máquinas virtuales de manera eficiente y segura. La virtualización basada en hardware mejora el rendimiento y la seguridad del sandbox al proporcionar aislamiento de recursos entre las máquinas virtuales. Red aislada Una red aislada es una red virtual separada del entorno de red principal, diseñada específicamente para contener el malware y prevenir su propagación. Se logra mediante el uso de un switch o un enrutador virtuales que crea segmentos de red separados para simular diversos entornos de red dentro del sandbox. Esto permite aislar el malware del resto de la infraestructura de red, reduciendo así el riesgo de contaminación cruzada. Además, la red aislada proporciona la capacidad de monitorear y capturar el tráfico de red dentro del sandbox, lo que facilita el análisis del comportamiento del malware y la identificación de posibles patrones de comunicación maliciosa. Fuente: Elaboración propia 39 3.2.3. Requisitos de software Los requisitos de software son diversos y abarcan desde el sistema operativo hasta las herramientas de análisis específicas. A continuación, se detallan los requisitos de software recomendados para un sandbox de análisis de malware: Tabla 4: Descripción de requisitos de software Descripción de requisitos de software. Requisito Descripción Sistema Operativo El sandbox debe estar basado en un sistema operativo estable y seguro que admita la ejecución de máquinas virtuales. Se recomienda utilizar una distribución de Linux o Mac para este propósito, ya que ofrecen flexibilidad y opciones de configuración avanzadas. Además, se recomienda que el sistema operativo anfitrión sea diferente del sistema operativo invitado el cual será el objetivo de análisis donde se ejecutaran las muestras de malware. Plataforma de Virtualización La cantidad de RAM disponible afecta directamente la capacidad del sandbox para ejecutar procesos de análisis de malware. Se recomienda una cantidad mínima de 8 GB de RAM para un funcionamiento adecuado. Sin embargo, para cargas de trabajo más intensivas, como análisis de malware complejos o simultáneos, se pueden requerir cantidades mayores de RAM. Almacenamiento Se requiere un software de virtualización confiable y robusto para crear y gestionar máquinas virtuales en el sandbox. Algunas opciones populares incluyen VMware, VirtualBox, o Hyper-V de Microsoft. Herramientas de Análisis de Malware El sandbox debe estar equipado con un conjunto completo de herramientas de análisis de malware que permitan examinar el comportamiento y las características del software malicioso. Esto incluye herramientas para análisis estático y dinámico, como IDA Pro, Wireshark, y Sysinternals Suite, entre otras. Actualizaciones y Parches Es importante mantener actualizado el software del sandbox, incluyendo el sistema operativo, las herramientas de análisis de malware, y las soluciones de seguridad. Aplicar parches de seguridad de manera regular ayuda a mitigar vulnerabilidades y proteger el entorno contra posibles amenazas. Automatización Se recomienda utilizar herramientas de automatización para simplificar y agilizar las tareas de análisis de malware. Esto puede incluir el uso de scripts y herramientas de administración remota para ejecutar análisis de manera eficiente y coordinada. 40 Capacidades de Captura y Registro El sandbox debe tener la capacidad de capturar y registrar datos de manera efectiva durante el análisis de malware. Esto puede incluir capturas de pantalla, registros de actividad del sistema, tráfico de red, análisis de memoria y cualquier otra información relevante para el análisis y la investigación. Fuente: Elaboración propia 3.3.3. Consideraciones de aislamiento y seguridad El aislamiento y la seguridad son aspectos críticos en el diseño y la implementación de un sandbox para el análisis de malware. Estas consideraciones aseguran que el entorno de análisis sea capaz de ejecutar y estudiar el software malicioso de manera controlada, sin comprometer la integridad de los sistemas circundantes. A continuación, se detallan las principales consideraciones de aislamiento y seguridad que deben tenerse en cuenta: Tabla 5: Descripción de consideraciones de aislamiento y seguridad Descripción de consideraciones de aislamiento y seguridad. Consideración Descripción Aislamiento físico El sandbox debe estar físicamente aislado del resto de la infraestructura de TI de la organización o de su red de trabajo personal, ubicarlo en un área restringida y segura, con acceso controlado y monitorizado. Aislamiento de red Crear una red virtual aislada y desconectada de la red de trabajo o red personal para el sandbox, utilizar una red de área local virtual (VLAN) dedicada o una red física completamente separada, implementar firewalls y dispositivos de seguridad perimetral para controlar y monitorear el tráfico entrante y saliente del sandbox. Virtualización segura Utilizar un hipervisor de virtualización seguro y actualizado, configurar el hipervisor para limitar los recursos asignados a las máquinas virtuales y evitar la fuga de malware, Implementar mecanismos de instantáneas y restauración rápida de máquinas virtuales para facilitar el análisis y la recuperación. Configuración de máquinas virtuales Utilizar imágenes de máquinas virtuales configuradas de forma segura y con las últimas actualizaciones., deshabilitar servicios y funciones innecesarias en las máquinas virtuales para reducir la superficie de ataque, implementar mecanismos de monitoreo y registro de actividades dentro de las máquinas virtuales. Gestión de muestras de malware Establecer procedimientos estrictos para el manejo y almacenamiento de muestras de malware, almacenar las muestras de malware en un sistema de archivos cifrado y con acceso restringido, implementar mecanismos de destrucción segura de muestras de malware después del análisis. 41 Controles de acceso y autenticación Implementar controles de acceso basados en roles para limitar el acceso al sandbox solo al personal autorizado. Gestión de actualizaciones y parches Mantener actualizados el sistema operativo, el hipervisor y todas las herramientas de software utilizadas en el sandbox, aplicar parches de seguridad de forma oportuna para mitigar vulnerabilidades conocidas. Plan de respuesta a incidentes Desarrollar e implementar un plan de respuesta a incidentes en caso de fuga de malware o compromisos de seguridad, establecer procedimientos para contener, erradicar y recuperarse de incidentes de seguridad, realizar pruebas periódicas del plan de respuesta a incidentes. Fuente: Elaboración propia 3.4. Herramientas y recursos En esta sección, detallaremos las herramientas y recursos disponibles para facilitar la implementación efectiva de un Sandbox para el análisis de malware. Descubriremos las capacidades, ventajas y consideraciones clave de estas herramientas. 3.1.4. Software de virtualización Oracle VM VirtualBox Oracle VM VirtualBox, el software de virtualización multiplataforma de código abierto más popular del mundo, permite a los desarrolladores entregar código más rápido, ya que pueden ejecutar múltiples sistemas operativos en un solo dispositivo. Los equipos de TI y los proveedores de soluciones usan VirtualBox para reducir los costos operativos y acortar el tiempo necesario para implementar aplicaciones de forma segura en entornos locales y en la nube (ORACLE.COM). Usar VirtualBox para implementar un Sandbox destinado al análisis de malware ofrece varias ventajas. En primer lugar, su interfaz intuitiva y fácil de usar simplifica el proceso de configuración, lo que resulta especialmente útil para usuarios con poca experiencia en virtualización. Además, VirtualBox es compatible con una amplia gama de sistemas operativos invitados, lo que permite crear entornos de Sandbox personalizados para adaptarse a las necesidades específicas de análisis de malware. Otra ventaja es su flexibilidad en términos de configuración de red. VirtualBox ofrece opciones avanzadas que permiten simular diferentes escenarios de red, lo que es crucial para estudiar el comportamiento del malware en entornos de red específicos. Además, la capacidad de crear 42 instantáneas y clonar máquinas virtuales facilita la gestión de múltiples entornos de Sandbox y permite revertir rápidamente a estados anteriores en caso de problemas durante el análisis. VirtualBox también ofrece la posibilidad de asignar recursos de hardware específicos a las máquinas virtuales según sea necesario, lo que permite simular diferentes configuraciones de hardware y optimizar el rendimiento del Sandbox. Por último, la amplia comunidad de usuarios y la documentación detallada de VirtualBox proporcionan soporte adicional y recursos de resolución de problemas, lo que hace que sea una opción sólida para implementar un Sandbox para análisis de malware. 3.2.4. Sistemas Operativos Los sistemas operativos utilizados para implementar un sandbox destinado al análisis de malware son una parte fundamental en la construcción de un entorno seguro y controlado para estudiar el comportamiento de programas maliciosos. Estos sistemas, como Ubuntu, REMnux o Windows 10 Enterprise, ofrecen características específicas que los hacen ideales para este propósito. Desde la seguridad avanzada hasta las opciones de gestión y control exhaustivas, cada sistema operativo aporta su conjunto único de herramientas y capacidades para garantizar un análisis efectivo y seguro del malware. En esta introducción, exploraremos las ventajas y consideraciones clave de los sistemas operativos seleccionados para implementar un sandbox de análisis de malware. Arch Linux Arch Linux es una distribución de GNU/Linux desarrollada de manera independiente, orientada a la arquitectura x86-64 y de propósito general, que busca proporcionar las últimas versiones estables del software mediante un modelo de lanzamiento continuo. Se instala por defecto como un sistema base mínimo, permitiendo al usuario agregar solo lo necesario (wiki.archlinux.org). Arch Linux ofrece una combinación única de flexibilidad, control, disponibilidad de softwa