Módulo 10
Descubrir de dónde vino el malware
Última actualización en: 12 Febrero 2025
Editar esta página en GitHubMódulo 10
Última actualización en: 12 Febrero 2025
Editar esta página en GitHubNingún malware aparece espontáneamente en el dispositivo de una persona blanco de un posible ataque; siempre proviene de alguna parte. A veces, ese lugar es obvio: la persona se da cuenta de que el enlace en el que hizo clic era malicioso. En otros casos, el vector de infección puede ser menos claro. Saber de dónde provino la infección puede ser importante para gestionar riesgos futuros. Si la fuente de infección inicial no estaba dirigida, es posible que la persona haya sido víctima de una banda criminal cuyo objetivo no haya sido otro que ganar dinero. Por otro lado, si la infección inicial provino de un sofisticado ataque de ingeniería social dirigido, es probable que la persona enfrente ataques futuros continuos por parte mismo perpetrador de las amenazas.
Después de completar este subtema, el profesional debe:
El primer paso para rastrear el origen del ataque es establecer la hora en que se instaló el malware. Si ha identificado el archivo de malware descargado, puede utilizar las marcas de tiempo del archivo. Esto es más difícil de lo que uno podría imaginar al principio, porque las marcas de tiempo del sistema de archivos son complicadas. La mejor opción es comenzar con la hora de creación del archivo que se descargó primero. Tenga en cuenta que los archivos extraídos de otros archivos pueden tener diferentes horas de creación; es importante empezar con el archivo real que se descargó inicialmente.
Para obtener más información sobre las marcas de tiempo del sistema de archivos de escritorio, revisa este documento oficial de SANS sobre Windows, esta descripción de las marcas de tiempo casi infinitas sobre MacOS, esta descripción de las marcas de tiempo de Linux y una forma de ver la hora de creación de archivos en ext4.
Para dispositivos móviles, MVT proporciona información de marca de tiempo. Para iOS, esto se describe en la documentación. Para Android, se extrae menos información y es posible que tenga que realizar comprobaciones en el dispositivo.
La aplicación Google Files mostrará la hora de modificación de un archivo desde el menú despegable de opciones para cada archivo.
Tenga en cuenta que, por lo general, el malware móvil deja vestigios mucho menos evidentes en el sistema de archivos. Las formas comunes en que los dispositivos móviles se infectan son a través de aplicaciones falsas transferidas localmente, aplicaciones maliciosas en las tiendas de aplicaciones de Apple/Google, o mediante exploits sofisticados del navegador que obtienen acceso profundo al dispositivo antes de descargar cualquier archivo. En estos últimos casos, los archivos maliciosos pueden no aparecer en directorios de descarga comunes.
Ya sea que encuentre un archivo malicioso o no, el siguiente paso es encontrar de dónde provino. Hay varios fragmentos que puede recopilar y buscar.
En algunos sistemas operativos, las descargas están asociadas con su fuente. Esto significa que los archivos pueden contener metadatos que muestran desde qué servidor se descargaron. Esta guía muestra cómo verificar dicha información en Windows y Linux, mientras que esta otra hace lo mismo para macOS. Tales metadatos le mostrarán el servidor desde el cual se descargó el archivo, pero no lo que causó la descarga.1 También tenga en cuenta que el enlace en el que la persona objetivo hizo clic puede no ser la URL de descarga debido a los redireccionamientos.
A continuación, busque correos electrónicos, mensajes, etc. que puedan haber activado la descarga. Puede utilizar cualquier marca de tiempo e información de URL que identificó anteriormente como ayuda.
Escoja al menos cinco archivos en su carpeta de descargas:
Pídale a un colega o mentor/a que revise su trabajo para asegurarse de que ha leído correctamente todos los metadatos.
En Android, instale una aplicación (no maliciosa) y utilice el administrador de archivos para encontrar las propiedades de la aplicación y ver qué puede aprender sobre ella. Si tiene acceso a un teléfono Android de prueba, descargue una aplicación desde fuera de Google Play y haga lo mismo. Pídale a un colega o mentor/a que revise su trabajo para asegurarse de que ha leído correctamente todas las propiedades de la aplicación.
Marcas de Tiempo del Sistema de Archivos: ¿Qué las mueve?
GratisUna visión general de qué son las marcas de tiempo, qué tan portátiles son y cómo funcionan a nivel técnico. Principalmente centrado en Windows
marcas de tiempo de macOS de atributos extendidos y enfoque
GratisUna guía para usar metadatos de archivos avanzados en macOS para encontrar diferentes marcas de tiempo de archivos y lo que significan esas marcas de tiempo
Explicación de Marcas de tiempo de archivos en Linux: atime, mtime, ctime
GratisLinux tiene diferentes tipos de marcas de tiempo. Este artículo explica cómo interpretarlos.
Hora de creación de archivos en ext4 Linux
GratisEl sistema de archivos más moderno que utiliza Linux se llama ext4. Este artículo analiza cómo ext4 gestiona las marcas de tiempo y cómo encontrar información detallada sobre la creación de archivos.
Registros extraídos por mvt-ios
GratisObserva qué archivos genera MVT al realizar análisis de volcados de iOS y cómo interpretarlos
Archivos de Google
GratisUna aplicación de Android que proporciona acceso a metadatos de archivos avanzados
Mark of the Web desde la Perspectiva de un Red Team
GratisIntroduce Mark of the Web, una bandera en Windows que sugiere que un archivo fue descargado de la web y requiere precauciones de seguridad especiales al abrirlo.
Bewar: Los navegadores basados en Chromium guardan la URL de origen de descarga de archivos
GratisAnaliza cómo los sistemas Windows y Linux a veces guardan metadatos en las URL desde las que se descargó un archivo
Descubre desde dónde se descargó un archivo en Mac OS X
GratisLos archivos macOS que se han descargado desde la URL suelen tener la URL de descarga incrustada en sus metadatos. Este artículo muestra cómo extraer dicha URL.
En Windows, verá además un número correspondiente a una ID de la zona. Las Zonas asociadas con los archivos descargados son las siguientes:
Felicitaciones por haber terminado Módulo 10!
Marque la casilla para confirmar que ha finalizado y continúe con el siguiente módulo.
Marque el módulo actual como completado y guarde el progreso para el usuario.
Ha completado todos los módulos de esta ruta de aprendizaje.