Pasos iniciales y comprobaciones para detectar malware

Caso de Uso

Hay un dispositivo cuyo estado de seguridad se desconoce y el propietario quiere investigar la posibilidad de infección o compromiso previo. Tal vez te entregaron este dispositivo físicamente, o tal vez darás soporte al cliente de forma remota. Utilizar diferentes herramientas de escaneo propias listas para usar o integradas, así como controles de integridad para identificar, analizar y buscar Indicadores de Compromiso (IoC) con el fin de detectar una brecha o un determinado malware sospechoso.

Objetivos

Después de completar este subtema, el profesional debe ser capaz de realizar lo siguiente:

• Utiliza herramientas populares de detección de malware, como antivirus o las herramientas integradas en tu sistema operativo, para ayudarte en tu análisis.
• Comprender algunas protecciones antimalware básicas dentro de los sistemas operativos modernos y cómo verificar si se están ejecutando o si han sido deshabilitadas.

Sección Principal

Antimalware listo para usar (todas las plataformas)

El método menos trabajoso para detectar malware conocido es simplemente utilizar un escáner de malware para examinar el sistema en vivo del dispositivo del cliente. Ten en cuenta que la calidad de los productos antivirus puede variar ampliamente, pero la mayoría de los productos detectan la mayoría del malware conocido. A continuación, se muestran enlaces a algunos escáneres de malware comunes para sistemas operativos de escritorio:

• 🧰 Windows: Microsoft Defender es gratuito y está integrado en Windows. Se pueden utilizar varias herramientas comerciales AV, cada una con sus ventajas y desventajas. Aquí sugeriremos MalwareBytes. Toma en cuenta también AdwCleaner de MalwareBytes para eliminar Adware y Programas Potencialmente no Deseados¹.
• 🧰 MacOS: Del mismo modo recomendamos utilizar Malwarebytes. Avast Free Antivirus también es una opción gratuita.
• 🧰 Linux: ClamAV es un antivirus de código abierto para Linux. También está disponible para otras plataformas.
• 🧰 Android: Varios proveedores, como LookOut ofrecen antivirus para Android gratuitos o de pago y protecciones adicionales de seguridad móvil. ClamAV se implementa en Android en la Hypatia app vía F-Droid.
  • Google Play Protect escaneará aplicaciones en tu teléfono, incluso aquellas que no hayan sido descargadas de Google Play Store. Haz clic en el enlace para obtener más detalles e instrucciones sobre cómo iniciar un escaneo.

💡Comparado con los sistemas operativos de escritorio, el antivirus diseñado para Android tiene una capacidad más limitada; puede escanear todas las aplicaciones instaladas, pero no es capaz de buscar posibles spyware avanzados ocultos en el sistema. Además, es posible que no pueda eliminar el malware que detecte.

• 🧰iOS: No existen escáneres de malware completos para iOS. La seguridad integrada en iOS significa que las aplicaciones no pueden escanear otras aplicaciones instaladas. Varios proveedores de antivirus tienen aplicaciones para iOS, pero suelen tener otras funciones, como bloquear sitios web de phishing o verificar si el teléfono está actualizado.

Consejos y habilidades para utilizar antivirus listos para usar para detectar Malware

Uno de los primeros pasos que puedes tomar al buscar malware es instalar un programa antivirus y permitir que realice un escaneo en el sistema. Después de que el escaneo esté completo, la mayoría de los programas generarán algún tipo de registro que proporciona información adicional sobre los resultados del escaneo, y recomendamos revisarlo. Si los programas antivirus detectan un archivo potencialmente sospechoso, pueden “ponerlo en cuarentena”, lo que significa que el archivo será bloqueado del resto del sistema operativo para que no pueda abrirse accidentalmente o causar más estragos. Si deseas realizar un análisis adicional de ese archivo, es posible que necesites sacarlo de la cuarentena; consulta la documentación de tu programa antivirus sobre este tema.

Debe tenerse en cuenta que el malware moderno no siempre implica archivos maliciosos. En su lugar, puede implicar scripts legítimos que realizan tareas maliciosas que se hacen persistentes de alguna manera. Las aplicaciones antivirus escanearán dichas tareas, por lo tanto, en los registros que proporcionen, ten en cuenta que no solo esperes “archivos”.

Debes ser consciente de las limitaciones de los programas antivirus y por qué no son una cura total para el malware. Los diferentes programas antivirus utilizan diferentes motores de detección. Algunos motores detectarán algunos tipos de virus y otros malware, pero ningún motor es 100% efectivo.

Por esta razón, en caso de que tengas una muestra, puede que prefieras subir archivos potencialmente sospechosos a VirusTotal, que verifica el archivo utilizando una serie de motores disponibles comercialmente y proporciona otra información que puede ayudarte a determinar si un archivo es malicioso. Ten en cuenta que si envías un archivo a VirusTotal, permanecerá en el sitio web y podrá ser descargado (y buscado) por cualquier persona con una cuenta de pago en el sitio. Por lo tanto, si estás tratando con archivos que contienen información potencialmente sensible o no deseas que se haga público el hecho de que este archivo está siendo analizado, es mejor generar un hash del archivo² y buscarlo en VirusTotal en su lugar. Finalmente, recuerda que VirusTotal solo utiliza motores estáticos y, por lo tanto, su detección puede ser menos efectiva que la de un antivirus que se ejecuta en un sistema en vivo. Revisa el Subtema 8 sobre Detección basada en muestras para obtener más información sobre esta habilidad. Para obtener más información sobre las habilidades de VirusTotal, completa la actividad en el Capítulo 7 de la Guía de Campo para Respuesta a Incidentes para la Sociedad Civil y Medios.

Si bien los motores antivirus modernos intentan buscar comportamientos similares al malware y bloquear ejecutables que cumplan con este criterio, esas pruebas son todavía relativamente rudimentarias. Los antivirus principalmente reconocen malware basándose en los IoCs que se les han proporcionado; por lo tanto, rara vez detectan malware nuevo o menos conocido.

Además, los atacantes suelen probar su malware con programas antivirus conocidos y modificarlo para que no sea fácilmente detectado, por ejemplo, mediante ofuscación, codificación, compresión y encriptación. Algunos malware intentarán desactivar los programas antivirus o agregarse a una lista de excepciones para no ser escaneados. Otro malware puede engañar a los usuarios para que los desactiven. Por esta razón, recomendamos instalar un nuevo programa antivirus en un sistema potencialmente comprometido y ejecutar un escaneo con él. Puedes desinstalar el programa después.

Cuando encuentres malware o adware en la computadora de alguien, incluidos los casos en que se trate de malware o adware genérico, es útil trabajar con el propietario del dispositivo para entender cómo el malware pudo haber sido instalado en el dispositivo (descrito en el Subtema 10) y luego eliminar la infección (descrito en el Subtema 11). Comprender cómo se instaló el malware puede señalar la falta de controles, conciencia sobre comportamientos riesgosos o incluso cuestiones de cadena de suministro (por ejemplo, dispositivos enviados preinstalados con programas potencialmente no deseados) que deben discutirse y abordarse.

Triage/Listas de Verificación para verificar si faltan protecciones

Todos los sistemas operativos modernos utilizan alguna forma de protección integrada o los llamados “jardines vallados” (como tiendas de aplicaciones o Smart Screen) que restringen a los usuarios ejecutar archivos que el sistema operativo considera seguros. Al verificar si estas protecciones se han desactivado, eliminado o puesto en estado de error, obtendrás una valiosa indicación de triage de que es posible que se hayan producido mayores compromisos. Si alguna de esas protecciones no está funcionando, no necesariamente significa que hayan sido desactivadas por malware; un usuario podría haberlas desactivado manualmente para ejecutar cierto software o podrían haber sido objetivo de un ataque de ingeniería social que los convenció de desactivar algunas de esas características. Si vuelves a habilitar esas protecciones, es probable que detengas la ejecución de una gran cantidad de malware o restrinjas el daño que puede causar a un sistema.

Una cosa que puedes hacer en todos los sistemas es verificar todos los navegadores web que están instalados y ver si tienen alguna nueva extensión que no reconozcas. Si tienen dichas extensiones, realiza una búsqueda en la web para ver qué hacen, si podrían ser potencialmente maliciosas y, si son potencialmente maliciosas, qué tipo de malware podría haberlas instalado.³

Para todos los dispositivos, recomendamos consultar esta lista de verificación rápida de triage.

Windows

Revisa el Centro de Seguridad Windows Defender (o echa un vistazo rápido en Windows Security/Security), que te permite echar un vistazo rápido a varios ajustes de seguridad de Windows, incluyendo si Windows Defender está actualmente en ejecución. Ten en cuenta que las funciones antivirus de Windows Defender podrían desactivarse automáticamente si instalas un antivirus de terceros. Este es un comportamiento esperado. En cualquier caso, un programa malicioso puede haber logrado agregarse a una lista de excepciones (lista de permitidos) instruyendo a la herramienta antimalware que no lo verifique. Puedes verificar que no haya excepciones no deseadas en Windows Defender siguiendo estas instrucciones y otros productos antimalware de terceros pueden ofrecer la misma funcionalidad. El panel de configuración te permitirá verificar el estado de varias otras protecciones integradas, como Protección basada en Reputación, Aislamiento Central, y Arranque Seguro, entre otros.

Windows utiliza Smart App Control (anteriormente llamado SmartScreen antes de Windows 11, que ahora es la versión basada en web del producto integrado en el navegador Edge) como un mecanismo para verificar la reputación de los ejecutables antes de ejecutarlos. Revisa Smart App Control (Win 11) en Windows en Configuración de Seguridad para ver si ha sido desactivado. Busca la configuración de Smart Screen en versiones anteriores de Windows.

Mac OS

• macOS tiene varios mecanismos cuyo objetivo es detener la ejecución de malware. Aun así, un autor malintencionado podría encontrar formas de evitarlos. Lee sobre las diferentes protecciones que existen en macOS. Esta guía avanzada proporciona una visión detallada de las protecciones de macOS y de las bases de datos que utilizan. Los usuarios avanzados podrían revisar esas bases de datos para detectar actividad inusual, aunque se trata de un trabajo forense en profundidad que va más allá del alcance de esta ruta de aprendizaje.
• Uno de los mecanismos antimalware más importantes en macOS se llama Gatekeeper. Todos los sistemas macOS deben tener Gatekeeper habilitado, especialmente para dispositivos que ejecutan datos sensibles. Sin embargo, ha habido casos en los que el malware deshabilitó las protecciones Gatekeeper para poder ejecutar más códigos maliciosos en sistemas macOS. Los usuarios pueden haber sido objetivo de ataques de ingeniería social que los persuadieron a desactivar esta función. Puedes ejecutar “spctl –status” en la Terminal de macOS para ver si Gatekeeper, su medida estándar contra malware, está habilitada o deshabilitada.⁴ Si Gatekeeper está deshabilitado, asegúrate de activarlo (esto detendrá la ejecución de la mayoría del malware) e investiga, tal vez verificando el historial de la línea de comandos, cómo pudo haber sucedido esto.

iOS

• iOS admite la carga de perfiles personalizados. Por lo general, se usan para conectarse a redes corporativas o universitarias, pero un atacante podría usarlos para interceptar tu tráfico. Ve a la configuración de tu dispositivo iOS y verifica si se ha instalado algún perfil. Si algún perfil parece sospechoso y el usuario no recuerda haberlo instalado, podría ser un indicio de actividad maliciosa. En este caso, es bueno documentar todo lo que puedas encontrar sobre este perfil, tomar capturas de pantalla y luego eliminarlo.
• iOS también tiene Atajos, que normalmente se utilizan para automatizar determinadas funciones del dispositivo, como comprimir imágenes o convertir texto. La aplicación suele ser bastante buena para describir lo que hacen los atajos en un lenguaje sencillo (aunque algunos atajos te permiten ejecutar JavaScript personalizado). Al igual que con los perfiles, si ves algún atajo que parezca sospechoso (ten en cuenta que cada versión de iOS podría instalar algunos nuevos, por lo que es mejor informarse sobre ellos también), documentarlos a través de capturas de pantalla y luego elimínalos. En general, es increíblemente difícil que el malware instale perfiles o atajos personalizados; es mucho más fácil para un atacante cargarlos a través de la ingeniería social o teniendo acceso breve a un dispositivo desbloqueado.
• Considera la seguridad de la cuenta de iCloud de los usuarios, ya que el compromiso de esta cuenta puede dar acceso a datos significativos del dispositivo iOS. Realiza una revisión de la seguridad de la cuenta de Apple ID y realiza cambios: por ejemplo cambios de contraseña, autenticación en dos factores (2FA), eliminación de acceso de aplicaciones y cierre de sesión en dispositivos si es necesario. El Safety Check de Apple contiene una función de revisión que podría ayudarte con esto.
• En ocasiones, los atacantes envían mensajes de texto o iMessages con enlaces maliciosos a personas objetivo. Si se hace clic, este enlace podría contener un malware o una carga útil de ingeniería social. Es una buena idea revisar los iMessages y mensajes de texto recientes para ver si alguno contiene enlaces sospechosos u otro contenido.
• Para obtener más información sobre los conceptos básicos de triage de iOS, revisa el capítulo 12 de la guía de campo.
• Algunos atacantes intentan agregar un nuevo dispositivo que controlan en la lista de dispositivos enlazados en el mensajero de una persona objetivo, como WhatsApp o Signal. De esa manera, todos los mensajes que la persona objetivo enviaría y recibiría también se copiarían en el dispositivo del atacante. Este ataque generalmente es causado por un atacante que tiene acceso físico directo en lugar de malware, pero verificando dispositivos enlazados no reconocidos en WhatsApp, Signal, Telegram, y otras mensajerías también deberían ser una parte clave del proceso de triage.

Android

• Para Android, revisa el capítulo 8 de la guía de campo, que muestra cómo puedes hacer un triage de aplicaciones potencialmente sospechosas observando los diversos permisos (como acceso a tus fotos, cámara o micrófono) que están solicitando.
• Revisa las aplicaciones que tienen un control adicional sobre el dispositivo al revisar las aplicaciones relacionadas y habilitadas bajo Aplicaciones de Administrador del Dispositivo en la configuración de Android. El usuario debería saber qué aplicaciones se les ha otorgado estos privilegios, normalmente son aplicaciones corporativas o aplicaciones oficiales de prevención de robo de dispositivos que permiten el borrado remoto. En caso de que se hayan otorgado permisos de administrador a aplicaciones no reconocidas, desactívalas e investiga más a fondo.
• Instalación desde Fuentes Desconocidas es otro permiso de Android que puede otorgarse a una aplicación para permitirle instalar otras aplicaciones. Esto elude el “jardín vallado” de protección de las tiendas de aplicaciones oficiales como Google Play Store o Galaxy Store. En algunos casos esto puede ser deseable, como en el caso de la tienda de aplicaciones de código abierto F-Droid. Sin embargo, si descubres que se ha otorgado este permiso a Bluetooth, un navegador, un mensajero instantáneo, una aplicación de archivos o una aplicación de envío/transmisión, esto indica que el propietario del dispositivo ha instalado aplicaciones desde fuentes de aplicaciones no seguras y se requerirán investigaciones adicionales.
• En ocasiones, los atacantes envían mensajes de texto con enlaces maliciosos a personas objetivo. Si se hace clic, este enlace podría contener un malware o una carga útil de ingeniería social. Es una buena idea revisar los mensajes de texto recientes para ver si alguno contiene enlaces sospechosos u otro contenido.
• Verifica la Información de la Aplicación si es posible desinstalar la aplicación. Si no es así, se trata de una aplicación preinstalada. Esto además podría ser un problema (algunos teléfonos más baratos tienen malware preinstalado), pero excluye la determinación de un objetivo y también es mucho menos probable en teléfonos más caros.
• Verifica si Google Play Protect está activado.
• Algunos atacantes intentan agregar un nuevo dispositivo que controlan en la lista de dispositivos enlazados en el mensajero de una persona objetivo, como WhatsApp o Signal. De esa manera, todos los mensajes que la persona objetivo enviaría y recibiría también se copiarían en el dispositivo del atacante. Este ataque generalmente es causado por un atacante que tiene acceso físico directo en lugar de malware, pero verificando dispositivos enlazados no reconocidos en WhatsApp, Signal, Telegram, y otras mensajerías también deberían ser una parte clave del proceso de triage.

Vale la pena señalar que las configuraciones de seguridad varían entre las diferentes versiones de iOS y Android. Las versiones más recientes de iOS, por ejemplo, requieren que los perfiles estén firmados digitalmente, lo que debería dificultar que los atacantes los aprovechen. De manera similar, muchas actualizaciones de software cambian la forma en que los sistemas lidian con los permisos o las notificaciones. Una buena regla general es que las versiones sucesivas de iOS y Android tienden a tener requisitos de seguridad más estrictos en lo que respecta a automatizaciones, aplicaciones y permisos.

Práctica

Windows y macOS

1. Ventanas: revisa a través del Centro de seguridad de Windows Defender. ¿Notas algo sospechoso?
2. Mac OS: usa la línea de comando para verificar si Gatekeeper está habilitado.

Android e iOS

1. Revisa varias de tus aplicaciones y busca qué permisos tienen. ¿Hay alguna aplicación que no reconoces o alguna que solicita demasiados permisos? En Android: ¿Alguna de esas aplicaciones que no reconoces está preinstalada?
2. Sólo iOS: revisa tu dispositivo en busca de atajos y perfiles instalados que no reconoces
3. Utiliza un motor de búsqueda para encontrar el texto completo de un mensaje de texto que hayas recibido y que pueda parecer extraño o sospechoso. Si no tienes mensajes de texto extraños o sospechosos, busca un mensaje estándar de tu operador de red. ¿Cuánta información puedes encontrar en línea sobre el número que envió este mensaje y sobre el mensaje en sí?

Verificación de habilidades

Android e iOS

1. Android: Lee toda la Documentación de Android sobre permisos. No es necesario que entiendas el código fuente, el objetivo es simplemente obtener una comprensión general sobre cómo funcionan los permisos.
   Piensa en qué podría hacer una aplicación maliciosa y qué datos podría extraer con los permisos descritos en la especificación de Android, y también en qué medidas toma el sistema operativo para minimizar el riesgo de que las aplicaciones abusen de los permisos. Elabora una lista de cinco a diez acciones que una aplicación maliciosa con amplios permisos del sistema podría realizar, y anota dos o tres situaciones indeseables que las prácticas recomendadas de permisos de aplicaciones podrían mitigar.
   Si estás trabajando con un colega o mentor, discute la lista que compilaste con ellos y pídeles que verifiquen si has entendido correctamente los permisos de la aplicación, cómo podrían abusar de estos permisos y las mitigaciones de Android que evitan que esto suceda.
2. iOS: Lee toda la descripción del Modo de Bloqueo de iOS, una configuración especial para personas en alto riesgo de ataques dirigidos, especialmente a través de spyware mercenario. Lista algunas respuestas a las siguientes preguntas. Ten en cuenta que no hay respuestas exactamente correctas o incorrectas a esas preguntas, ya que el Modo de Bloqueo, al igual que otros mecanismos de seguridad, busca un equilibrio entre seguridad y usabilidad. Algunas de esas preguntas requieren un conocimiento más profundo de ataques previos contra iOS (animamos a los aprendices a estudiar el tema “jailbreak” ) y podrían requerir una pequeña investigación adicional.
   1. ¿Por qué el Modo de Bloqueo bloquea la mayoría de los archivos adjuntos en Apple Messages? ¿Por qué no los bloquea en aplicaciones como WhatsApp?
   2. ¿Se te ocurre alguna razón por la cual el Modo de Bloqueo restringe ciertas funciones de navegación web?
   3. El Modo de Bloqueo, una vez habilitado, no permite la instalación de perfiles personalizados. ¿Por qué crees que los perfiles que se instalaron antes de que el usuario activara el Modo de Bloqueo todavía están permitidos para operar?

Si estás trabajando con un compañero o mentor, discute tus respuestas a las preguntas anteriores con ellos y pídeles que verifiquen si has entendido correctamente el Modo de Bloqueo.

Recursos Educativos

Notas