Módulo 10
Descubrir de dónde vino el malware
Última actualización en: 26 Julio 2024
Editar esta página en GitHubCaso de Uso
Ningún malware aparece espontáneamente en el dispositivo de la persona objetivo. Siempre proviene de alguna parte. A veces, ese lugar es obvio: la persona objetivo se da cuenta de que el enlace en el que hizo clic era malicioso. En otros casos, el vector de infección puede ser menos claro. Saber de dónde provino la infección puede ser importante para gestionar riesgos futuros. Si la fuente de infección inicial no estaba dirigida, es posible que la víctima haya sido víctima de una banda criminal sin otro objetivo que ganar dinero. Por otro lado, si la infección inicial provino de un sofisticado ataque de ingeniería social dirigido, es probable que enfrenten futuros ataques continuos del mismo autor de amenazas.
Objetivos
Después de completar este subtema, el profesional debe ser capaz de realizar lo siguiente:
- Comprender cómo funcionan las marcas de tiempo en dispositivos móviles y de escritorio.
- Mira los metadatos del sistema operativo para saber de dónde se descargaron los archivos maliciosos.
Sección Principal
Marcas de tiempo de archivos
El primer paso para rastrear el origen del ataque es establecer la hora en que se instaló el malware. Si has identificado el archivo de malware descargado, puedes utilizar las marcas de tiempo del archivo. Esto es más difícil de lo que uno podría imaginar al principio porque las marcas de tiempo del sistema de archivos son complicadas. La respuesta corta es comenzar con la hora de creación del archivo que se descargó primero. Ten en cuenta que los archivos extraídos de archivos pueden tener diferentes horas de creación; es importante empezar con el archivo real que se descargó.
Windows, macOS, Linux
Para obtener más información sobre las marcas de tiempo del sistema de archivos de escritorio, revisa este documento oficial de SANS sobre Windows, esta descripción de las marcas de tiempo casi infinitas sobre MacOS, esta descripción de las marcas de tiempo de Linux y una forma de ver la hora de creación de archivos en ext4.
iOS, Android
Para dispositivos móviles, MVT proporciona información de marca de tiempo. Para iOS, esto se describe en la documentación. Para Android, se extrae menos información y es posible que tengas que realizar comprobaciones en el dispositivo.
La aplicación Google Files mostrará la hora de modificación de un archivo desde el menú despegable de opciones para cada archivo.
Ten en cuenta que el malware móvil típicamente deja vestigios mucho menos evidentes en el sistema de archivos. Las formas comunes en que los dispositivos móviles se infectan son a través de aplicaciones falsas transferidas localmente, aplicaciones maliciosas en las tiendas de aplicaciones de Apple/Google, o mediante exploits sofisticados del navegador que obtienen acceso profundo al dispositivo antes de descargar cualquier archivo. En estos últimos casos, los archivos maliciosos pueden no aparecer en directorios de descarga comunes.
Mensajes/Descargas Sospechosos
Ya sea que encuentres un archivo malicioso o no, el siguiente paso es encontrar de dónde provino. Hay varios fragmentos que puedes recopilar y buscar.
En algunos sistemas operativos, las descargas están asociadas con su fuente. Esto significa que los archivos pueden contener metadatos que muestran desde qué servidor se descargaron. Esta guía muestra cómo verificar dicha información en Windows y Linux, mientras que esta otra hace lo mismo para macOS. Tales metadatos te mostrarán el servidor desde el cual se descargó el archivo, pero no lo que causó la descarga.1 También ten en cuenta que el enlace en el que la persona objetivo hizo clic puede no ser la URL de descarga debido a redireccionamientos.
A continuación, busca correos electrónicos, mensajes, etc. que puedan haber activado la descarga. Puedes utilizar cualquier marca de tiempo e información de URL que identificó anteriormente como ayuda.
Verificación de habilidades
Para al menos cinco archivos en tu carpeta de descargas:
- Escribe todas las marcas de tiempo que contienen y lo que podrían indicar.
- Si están disponibles, encuentra los atributos extendidos o metadatos que describen desde qué URL o servicio se descargaron (en nuestras pruebas, no todos los archivos tenían información sobre URL en sus metadatos, así que no te preocupes si no puedes encontrarlo).
Pídele a un colega o mentor que revise tu trabajo para asegurarte de que has leído correctamente todos los metadatos.
En Android, instala una aplicación (no maliciosa) y utiliza el administrador de archivos para encontrar las propiedades de la aplicación y ver qué puedes aprender sobre ella. Si tienes acceso a un teléfono Android de prueba, descarga una aplicación desde fuera de Google Play y haz lo mismo. Pídele a un colega o mentor que revise tu trabajo para asegurarte de que has leído correctamente todas las propiedades de la aplicación.
Recursos Educativos
Marcas de Tiempo del Sistema de Archivos: ¿Qué las Mueve?
gratisUna visión general de qué son las marcas de tiempo, qué tan portátiles son y cómo funcionan a un nivel bastante técnico. Principalmente centrado en Windows
Idiomas: Inglés
Visitar Sitiomarcas de tiempo de macOS de atributos extendidos y enfoque
gratisUna guía para usar metadatos de archivos avanzados en macOS para encontrar diferentes marcas de tiempo de archivos y lo que significan esas marcas de tiempo
Idiomas: Inglés
Visitar SitioMarcas de tiempo de archivos en Linux: atime, mtime, ctime Explicado
gratisLinux tiene diferentes tipos de marcas de tiempo. Este artículo explica cómo interpretarlos.
Idiomas: Inglés
Visitar SitioHora de creación de archivos en ext4 Linux
gratisEl sistema de archivos más moderno que utiliza Linux se llama ext4. Este artículo analiza cómo ext4 gestiona las marcas de tiempo y cómo encontrar información detallada sobre la creación de archivos.
Idiomas: Inglés
Visitar SitioRegistros extraídos por mvt-ios
gratisObserva qué archivos genera MVT al realizar análisis de volcados de iOS y cómo leerlos
Idiomas: Inglés
Visitar SitioArchivos de Google
gratisUna aplicación de Android que proporciona acceso a metadatos de archivos avanzados
Idiomas: Varios idiomas
Visitar SitioMark of the Web desde la Perspectiva de un Red Team
gratisIntroduce Mark of the Web, una bandera en Windows que sugiere que un archivo fue descargado de la web y requiere precauciones de seguridad especiales al abrirlo.
Idiomas: Inglés
Visitar SitioBeward: Los navegadores basados en Chromium guardan la URL de origen de descarga de archivos
GratisAnaliza cómo los sistemas Windows y Linux a veces guardan metadatos en las URL desde las que se descargó un archivo
Idiomas: Inglés
Visitar SitioDescubre desde dónde se descargó un archivo en Mac OS X
gratisLos archivos macOS que se han descargado desde la URL suelen tener la URL de descarga incrustada en sus metadatos. Este artículo muestra cómo extraer dicha URL.
Idiomas: Inglés
Visitar SitioNotas
En Windows, verá además un número correspondiente a una ID de la zona. Las Zonas asociadas con los archivos descargados son las siguientes:
- ZoneId=1: Intranet Local
- ZoneId=2: Sitios de confianza
- ZoneId=3: Internet
- ZoneId=4: Sitios restringidos
¡Felicidades por terminar Módulo 10!
Marque la casilla para confirmar su finalización y continúe al siguiente módulo.
Marca el módulo actual como completado y guarda el progreso para el usuario.
🎉
¡Felicidades!
Has completado todos los módulos en este camino de aprendizaje.