ABP_Invitados

B.An9aMo$
ASBANTEC
M@lwar3_
Taller Análisis de
Malware
Agenda
1. Introducción al Malware 3. Análisis Estático de Malware

● Qué es el malware ● Análisis de código fuente

● Historia y evolución del malware ● Desensamblado y descompilación
● Tipos comunes de malware ● Identificación de indicadores de compromiso (IOCs)
● Herramientas de análisis estático

2. Recolección de Muestras de Malware

4. Análisis Dinámico de Malware
● Número mágico de archivos
● Métodos para adquirir muestras de ● Configuración de entornos de análisis seguros
malware de manera segura ● Ejecución de malware en entornos controlados
● Herramientas y técnicas de recolección ● Monitoreo y captura de actividades maliciosas
● Consideraciones éticas y legales ● Análisis de comportamiento y extracción de IOCs
dinámicos

5. Medidas de protección contra Malware

1
Introducción al Malware
¿Que es el malware?
El malware, o software malicioso, es un
término genérico que se refiere a cualquier tipo
de software diseñado específicamente para
dañar, acceder de manera no autorizada o
tomar el control de sistemas informáticos y
dispositivos.
El término "malware" es una combinación de
las palabras "malicious" (malicioso) y
"software" (software). Este tipo de software
malicioso puede tener diversas formas y
objetivos, y se utiliza con frecuencia para
realizar actividades perjudiciales sin el
conocimiento o el consentimiento del
propietario del sistema
¿Qué es el Análisis de Malware?

Análisis de malware es la inspección de los componentes principales y el código fuente de un

malware para comprender su comportamiento, origen y acciones previstas, con el objetivo de
mitigar sus amenazas potenciales.
 Estadísticas clave de malware
● Cada día se detectan 560.000 nuevos programas maliciosos.
● En la actualidad existen más de mil millones de programas maliciosos.
● Cada minuto, cuatro empresas son víctimas de ataques de ransomware.
● Los troyanos representan el 58% de todo el malware informático.

https://dataprot.net/statistics/malware-statistics/

uente: A Not-So-Common Cold: Malware Statistics in 2023

Historia y evolución del malware
Tipos comunes de malware
Tipos comunes de malware
Virus
Un virus informático es un tipo de software
malicioso que, al ejecutarse, replica su
código al modificar otros programas
informáticos. Se propaga principalmente a
través de archivos ejecutables y requiere la
intervención del usuario para infectar un
sistema.
Tipos comunes de malware
Gusanos
A diferencia de los virus, los gusanos se
propagan sin la intervención del usuario,
explotando vulnerabilidades en el software.
Pueden replicarse en grandes cantidades y
consumir recursos, ralentizando o incluso
inutilizando sistemas y redes.
Tipos comunes de malware
Trojanos (Troyanos)
Los troyanos se disfrazan como software
legítimo pero actúan de forma encubierta para
conceder acceso al sistema a los atacantes, o
para introducir otros tipos de malware.
Tipos comunes de malware
Spyware
Este malware está diseñado para espiar al
usuario, recopilando información sin su
conocimiento. Puede monitorizar la actividad
en línea, registrar pulsaciones de teclado o
acceder a archivos personales.
Tipos comunes de malware
Adware
Aunque no siempre se considera malicioso,
el adware muestra publicidad no deseada al
usuario. Puede ser molesto, pero algunas
variantes también poseen capacidades de
spyware.
Tipos comunes de malware
Ransomware
Este tipo de malware cifra los archivos del
usuario y demanda un rescate para
desbloquearlos. En los últimos años, ha
ganado notoriedad debido a sus ataques a
grandes empresas e infraestructuras críticas.
Tipos comunes de malware
Rootkits
Actúan a nivel de sistema, escondiéndose y
otorgando acceso completo al atacante. Son
especialmente peligrosos debido a su capacidad
para ocultarse de la detección.

En el contexto de la informática, “root” se refiere

al usuario o cuenta de administrador que tiene
control total del sistema operativo, mientras que
“kit” se refiere a un paquete de herramientas que
se utilizan para realizar una tarea específica.

Por lo tanto, un rootkit es un conjunto de

herramientas que se utilizan para obtener control
de un sistema operativo.
Tipos comunes de malware
Bots y Botnets
Un bot es un software automatizado que
realiza tareas específicas, mientras que una
botnet es una red de dispositivos infectados
que actúa de forma coordinada, usualmente
bajo el control de un atacante.
Tipos comunes de malware
Keyloggers
Estos registran cada pulsación de teclado del
usuario, siendo una herramienta común para
robar contraseñas e información sensible.
Tipos comunes de malware
RAM Scrapers
Especializados en robar datos directamente de la memoria RAM, suelen ser usados para obtener
información de tarjetas de crédito en sistemas punto de venta.
Métodos de propagación
Correos electrónicos y enlaces maliciosos
Los correos electrónicos no deseados o phishing son una táctica comúnmente utilizada. Los
atacantes envían correos disfrazados de comunicaciones legítimas, persuadiendo a los usuarios
para que hagan clic en enlaces o descarguen archivos adjuntos infectados con malware.

Descargas de software no confiable

La descarga de software desde fuentes no oficiales o sitios web de dudosa reputación es una vía
común de infección. Estos programas pueden estar adulterados o disfrazados para ocultar su
naturaleza maliciosa.
Métodos de propagación
Vulnerabilidades en el software
Los atacantes buscan y explotan fallos en el software, especialmente en sistemas operativos y
aplicaciones populares, para infiltrar tipos de malware. Las actualizaciones de seguridad suelen
solucionar estas vulnerabilidades, pero los usuarios que no actualizan regularmente su software
quedan expuestos.

Redes sociales y phishing

Las redes sociales han dado lugar a nuevas formas de engaño. Los atacantes pueden crear
perfiles falsos, publicar enlaces maliciosos o enviar mensajes directos con contenido
comprometido.
Métodos de propagación
Dispositivos USB y medios extraíbles
El malware puede propagarse a través de dispositivos USB, tarjetas SD y otros medios extraíbles.
Simplemente conectando un dispositivo infectado a una computadora puede iniciar la infección.

Redes no seguras y puntos de acceso público

Conectar dispositivos a redes WiFi públicas o no protegidas puede exponerlos a ataques. Las
redes comprometidas pueden ser utilizadas para distribuir malware o realizar ataques de
intermediario.

Publicidad maliciosa (malvertising)

Aunque no es tan común, algunos anuncios en línea se diseñan para distribuir malware. Al hacer
clic en estos anuncios, los usuarios pueden ser redirigidos a sitios web maliciosos que buscan
infectar sus dispositivos.
Impacto en individuos y empresas

Robo de información
Pérdida económica Daño a la reputación
personal y corporativa

Costos de recuperación Interrupción de las

y reparación operaciones
Zanubis
Fuente: kaspersky
Fuente: kaspersky
Fuente: kaspersky
Fuente: kaspersky
Fuente: kaspersky
Fuente: kaspersky
Fuente: kaspersky
Fuente: kaspersky
Pegasus
Pegasus

Pegasus es una solución de

ciberinteligencia líder en el mundo que
permite hacer cumplir la ley y agencias de
inteligencia para extraer de forma remota
y encubierta inteligencia valiosa de
prácticamente cualquier dispositivo móvil.
2
Recolección de Muestras de
Malware
Métodos para adquirir muestras de malware de manera segura

● Entorno controlado: Utiliza un entorno controlado y aislado, como una máquina virtual, para ejecutar
y analizar el malware. Esto ayuda a prevenir la propagación del malware a sistemas en producción.

● Desconexión de red: Realiza la adquisición de muestras en un entorno sin conexión a la red para
evitar la comunicación no deseada con servidores de comando y control u otros puntos de salida.

● Utilizar servicios de sandbox: Emplea servicios de sandbox en línea o herramientas especializadas

que permitan ejecutar el malware de manera aislada y recolectar información sobre su
comportamiento sin afectar el sistema principal.

● Honeypots: Configura honeypots, que son sistemas diseñados para atraer y atrapar malware. Los
honeypots simulan vulnerabilidades y atraen a los atacantes, permitiendo la recolección segura de
muestras
Métodos para adquirir muestras de malware de manera segura

● Captura de tráfico: Utiliza herramientas de captura de tráfico para analizar las

comunicaciones entre el malware y sus servidores de comando y control. Esto puede
proporcionar información adicional sobre la actividad del malware.

● Análisis estático: Realiza un análisis estático del código del malware sin ejecutarlo. Examina
el código fuente, las cadenas de texto y otros atributos sin poner en peligro la seguridad de
tu sistema.

● Hashing y firma digital: Utiliza hash y firma digital para verificar la integridad de las muestras.
Asegúrate de que las muestras adquiridas sean auténticas y no hayan sido modificadas
inadvertidamente.
Métodos para adquirir muestras de malware de manera segura

● Colaboración con proveedores de seguridad: Colabora con proveedores de seguridad y

comunidades de investigación de amenazas para compartir y obtener muestras de manera
segura. Esto puede ayudar a la comunidad a mejorar la detección y mitigación de amenazas.

● Políticas de seguridad: Establece políticas y procedimientos internos para la adquisición

segura de muestras de malware. Asegúrate de que todos los miembros del equipo estén
capacitados y sigan prácticas seguras.

● Limpieza adecuada: Después de la adquisición y el análisis, realiza una limpieza adecuada

del entorno utilizado para evitar cualquier riesgo residual.
Consideraciones éticas

Daño a Usuarios Inocentes: Desarrollar o distribuir malware puede causar daño a usuarios inocentes al
comprometer su privacidad, robar información personal o dañar sus sistemas.

Violación de la Privacidad: Muchos tipos de malware están diseñados para recopilar información personal
sin el conocimiento o consentimiento del usuario, lo que viola principios éticos de privacidad.

Abuso de Tecnología: Desarrollar malware puede considerarse un abuso de habilidades técnicas y

conocimientos informáticos para fines maliciosos en lugar de constructivos.

Daño Económico: El malware puede tener efectos económicos significativos al causar pérdidas financieras
a individuos y organizaciones.

Responsabilidad Profesional: Para los profesionales de la informática, participar en actividades

relacionadas con malware puede ser incompatible con los códigos éticos de sus respectivas profesiones.
Consideraciones legales

Violación de Leyes de Ciberseguridad: Desarrollar, distribuir o utilizar malware puede violar leyes de
ciberseguridad, que están destinadas a proteger sistemas informáticos y datos.

Acceso no Autorizado: La mayoría de los países tienen leyes que prohíben el acceso no autorizado a sistemas
informáticos, lo que incluye la instalación de malware.

Robo de Datos: La obtención de datos personales o empresariales a través de malware puede estar sujeta a leyes
de protección de datos y privacidad.

Daño a la Propiedad Intelectual: Algunos tipos de malware pueden dañar o robar propiedad intelectual, lo que
puede resultar en acciones legales por parte de las empresas afectadas.

Leyes de Fraude: El uso de malware con el propósito de fraude puede violar leyes específicas relacionadas con el
fraude y el robo de identidad.

Convenciones Internacionales: Existen convenciones internacionales que abordan la ciberseguridad, y el desarrollo

o uso de malware puede entrar en conflicto con estos acuerdos.
QuickHash:

https://www.quickhash-gui.org/
Magic Number
● En sistemas informáticos y sistemas operativos, el "número mágico" hace
referencia a una secuencia específica de bytes al principio de un archivo que
identifica su tipo o formato.
Archivos comprimidos

Tipo Archivo Extensión Dígitos Hexadecimal Dígitos Ascii

Bzip .bz 42 5a BZ

Compress .Z 1f 9d ..

gzip format .gz 1f 8b ..

pkzip format .zip 50 4b 03 04 PK..

Archivos ejecutables

Tipo Archivo Extensión Dígitos Hexadecimal Dígitos Ascii

MS-DOS, OS/2 or MS 4d 5a MZ
Windows
Unix elf 7f 45 4c 46 .ELF
HxD:

https://mh-nexus.de/en/hxd/
3
Análisis Estático de
Malware
Análisis de Malware Estático

En el análisis de malware estático, los expertos en seguridad analizan un

programa de malware sin ejecutar su código. El objetivo es identificar las familias
de malware, cómo funciona el malware y sus capacidades.

Como no hay ejecución de código, el análisis de malware estático no requiere un

entorno en vivo. Sin embargo, esto puede hacer que los analistas pierdan
información crítica sobre el malware que solo se puede descubrir viéndolo en
funcionamiento.
Análisis de Malware Estático
Rápido y Directo
Análisis estático es sencillo porque los expertos solo tienen que evaluar las
propiedades de la muestra de malware, como metadatos, cadenas, estructura y
código.

Como no necesitan ejecutar el código, los analistas pueden identificar

rápidamente la funcionalidad y las capacidades del malware. También se puede
automatizar utilizando herramientas como desensambladores, descompiladores y
depuradores para analizar rápidamente grandes cantidades de muestras de
malware.
Análisis de Malware Estático
Basado en Firma

El análisis de malware estático utiliza un enfoque de detección basado en firmas, que compara la huella
digital del código de muestra contra una base de datos de firmas maliciosas conocidas. Cada malware
tiene una huella digital única que lo identifica de manera única. Esto podría ser un hash criptográfico, un
patrón binario o una cadena de datos.

Los programas antivirus funcionan de la misma manera. Buscan malware revisando las huellas digitales
de firmas de malware conocidas y marcan el archivo como malware si un escaneo encuentra huellas
coincidentes.

Si bien el enfoque de análisis de malware basado en firmas es bueno para detectar firmas de malware
conocidas, no es confiable cuando se trata de malware nuevo o modificado.

El método también puede no detectar muestras de malware programadas para activarse solo bajo ci
Análisis de Malware Estático
Técnicas Utilizadas
El análisis de malware estático utiliza diferentes técnicas para comprender la
naturaleza de una amenaza. Un enfoque es comparar la huella digital del binario
de malware con las bases de datos disponibles de firmas maliciosas.

Un técnico también puede usar un desmontador o depurador para realizar

ingeniería inversa del binario para examinar su código. Alternativamente, algunos
analistas realizan análisis de malware estático extrayendo metadatos de cadena
de muestras. Al hacerlo, revela detalles como comandos, nombres de archivos,
mensajes, llamadas a API, claves de registro, URL y otros COI.
Ghidra

https://ghidra-sre.org/
X64dbg

https://x64dbg.com/
IDA Pro

https://hex-rays.com/ida-pro/
BinText

https://www.majorgeeks.com/files/details/bintext.html
Explorer Suite

https://ntcore.com/?page_id=388
PEview

http://wjradburn.com/software/
 Herramientas para el
análisis de malware en
Android
Koodous

https://koodous.com/
Jadx

https://github.com/skylot/jadx
Quark-Engine

https://github.com/quark-engine/quark-engine
APKLab

https://apklab.surendrajat.xyz/docs/user-guide/getting-started/
Dexcalibur

https://github.com/FrenchYeti/dexcalibur
Medusa

https://github.com/Ch0pin/medusa
4
Análisis Dinámico de
Malware
Análisis Dinámico de Malware
Análisis dinámico de malware implica ejecutar un código de malware dentro de un
entorno controlado y monitoreando cómo interactúa con el sistema. Tal análisis
permite a los analistas descubrir las verdaderas intenciones y la capacidad de
evadir la detección de malware.

Este enfoque proporciona un informe más profundo y preciso, pero el proceso

puede llevar más tiempo. También requiere herramientas especializadas, y existe
el riesgo de infectar el entorno de análisis con el malware.
Análisis Dinámico de Malware
Requiere una Sandbox
Para ejecutar el malware de forma
segura y observar sus actividades, los
analistas de seguridad necesitan un
entorno de prueba cerrado (malware
sandbox) donde el malware pueda
ejecutarse sin infectar todo el sistema o
red.
Análisis Dinámico de Malware
Integral y Preciso
El análisis dinámico es considerado más preciso y
completo que el análisis estático porque implica un
análisis de comportamiento profundo.

Al ver que el archivo sospechoso ejecuta cada uno

de sus comandos, los analistas pueden obtener
una visibilidad profunda de la lógica, la
funcionalidad y los indicadores de compromiso de
las malware. En otras palabras, muestra cosas que
son más difíciles de decir a partir de un análisis
estático, como para qué fue programado el
malware, cómo se comunica y su mecanismo de
evasión.
Análisis Dinámico de Malware
Basado en el Comportamiento
Mientras que el análisis estático utiliza la detección
basada en firmas, el análisis dinámico utiliza un
enfoque de detección basado en el comportamiento.
El Malware en rápida evolución o nuevos tipos de
malware pueden ser difíciles de detectar utilizando el
enfoque basado en firmas. Algunas formas de
malware también pueden osfuscar su firma, haciendo
que el análisis estático sea ineficaz.

Dado que el análisis dinámico utiliza el enfoque de

detección basado en el comportamiento, garantiza
que los analistas de seguridad puedan identificar y
comprender amenazas nuevas y desconocidas.
Análisis Dinámico de Malware
Técnicas Utilizadas
● Monitoreo de actividad
● Análisis de tráfico de red
● Análisis dinámico de código
● Análisis de memoria
VirusTotal

https://www.virustotal.com/gui/home/upload
Hybrid Analysis

https://www.hybrid-analysis.com/
Any.Run

https://any.run/
Joe Sandbox

https://www.joesandbox.com
Tria.ge

https://tria.ge/dashboard
FileScan

https://www.filescan.io/scan
Caso Any.Run
ANY. RUN
Es un sandbox interactivo de análisis de malware. Todos los especialistas en ciberseguridad
pueden utilizar la plataforma, desde estudiantes hasta expertos. El servicio detecta, analiza y
supervisa las amenazas de ciberseguridad. Una interfaz fácil de usar permite realizar
investigaciones efectivas y cualitativas.
ANY. RUN
Fue fundada en 2016, desde entonces, ha ocupado una posición de liderazgo entre las
plataformas que detectan programas maliciosos. 150k análisis de malware funcionan con el
servicio todos los días. Y muchos usuarios se benefician de los resultados de la investigación de la
plataforma. Grandes empresas de finanzas, salud, comercio y muchos otros sectores utilizan
ANY. RUN y mantienen sus datos seguros.

El servicio muestra todos los procesos en tiempo real. Y un analista puede notar todas las
operaciones maliciosas antes de la versión final del informe.
Dashboard

Hay un mapa fijo de programas maliciosos descargados en tiempo real en la página principal. Los
5 países con más muestras de malware están aquí. El volumen total de IOC y el tiempo de
análisis en el servicio se sitúan en el medio. Debajo de eso, tenemos el registro de cambios que le
brinda información sobre las actualizaciones del sitio. A la derecha puedes encontrar las
estadísticas de las últimas 24 horas: puedes ver una muestra interesante, el número de tareas que
se están ejecutando en este momento, la cantidad total de envíos y la proporción de tareas.
 Profile
Una de las etiquetas del menú funcional te lleva a la ventana de perfil. Todos los detalles sobre su
actividad en el servicio están allí:

● Toda la información del perfil;

● Descripción general de su API y límites;
● Cambiar las configuraciones de OpenVPN;
● Gestión del trabajo en equipo;
● Información sobre sus pagos;
● Alterar la configuración y la interfaz predeterminadas.
Presentaciones públicas

Ahora ANY. RUN proporciona una amplia base de datos con más de 2 millones de muestras.

ANY. RUN es un servicio para el análisis profundo de malware, además de eso, es una excelente
plataforma para la educación. La ventana "Tareas públicas" es el lugar donde los usuarios
comparten sus investigaciones. Ayuda a investigar muestras y recolectar IOC. Un informe
detallado le ayudará a encontrar rápidamente la información necesaria y exportarla.
Presentaciones públicas

Hay un sistema de filtro en los envíos públicos por código hash, un tipo de ejecución del objeto
analizado (URL o archivo), un veredicto, extensiones, etiquetas especificadas. En la parte de
contexto único, puede rellenar información sobre el tipo de hash, el tipo de dominio, el tipo de
dirección IP, el tipo de ataque Mitre y el tipo de SID de Suricata. Es posible configurar los
componentes por uno o varios parámetros. Tiene la oportunidad de utilizar el servicio para la
inteligencia de código abierto, OSINT. Si tiene un IOC potencialmente infectado, debe filtrar y
encontrar tareas con ejemplos similares.
Veredicto

Después del análisis, cada tarea obtiene un "Veredicto" del nivel de amenaza de la muestra.
También puede filtrar tareas mediante el estado.

Hay tres tipos de veredictos:

● "Malintencionado": se detecta actividad maliciosa;

● "Sospechoso": se detectó actividad sospechosa y existe la posibilidad de que el archivo sea
malicioso, pero no se ha demostrado;
● "No se detectaron amenazas": ANY. RUN no ha detectado ninguna actividad maliciosa o
sospechosa.
Si hace clic en una tarea
pública, se abre en la
siguiente etiqueta. Los
resultados del análisis se
ven inmediatamente, así
como los análisis visuales
en forma de vídeo o de
captura de pantalla.
Los informes de análisis son
convenientes: la información
más importante está en la
parte superior, por lo que no
se perderá nada. Un informe
contiene el veredicto final,
un resumen de los
indicadores de
compromisos, el gráfico de
comportamiento del proceso,
etc.
Cambio de configuración

También puede volver a ejecutar

una tarea y ver el proceso
personalmente. Con los planes
Searcher o Hunter, obtienes una
funcionalidad adicional: cambia las
configuraciones necesarias y ve
cómo actúa el malware en
máquinas virtuales con diferentes
sistemas operativos. Al mismo
tiempo, no es necesario descargar
un archivo sospechoso en su
computadora y ponerlo en riesgo.
Se puede utilizar diferentes
opciones para la configuración
flexible de un sistema virtual. Es
posible guardar los ajustes como
una configuración de forma
predeterminada si lo necesita.
Se puede ver Windows 10, idioma
España, y aumentamos el tiempo
de duración del proceso hasta 170
segundos en lugar de los 60
segundos estándar. También
observamos el proxy HTTPS
MITM.
Ventana de tareas

La ventana de tareas
le proporciona toda la
información disponible
sobre la tarea actual
(ya sea en curso o
terminada).
Ventana de tareas

Al hacer clic en el botón "Gráfico de

procesos", se abre el gráfico donde
se muestran todos los procesos
convenientemente. En todos los
procesos se presentan indicadores
que dan una idea de la actividad del
proceso específico. Si desea saber
más sobre un proceso en particular,
simplemente haga clic en él y
aparecerá la ventana "Detalles del
proceso".
Ventana de tareas

La función "Informe de texto"

exporta información sobre todas
las actividades de la tarea en
forma de archivo HTML. Tenga
en cuenta que puede excluir
bloques del informe haciendo clic
en el icono del "ojo" en la esquina
superior derecha de este bloque.
Ventana de tareas

A la derecha de la interfaz de análisis, se

muestra el árbol de procesos. Obtendrá una
estructura lógica del proceso y toda la
información necesaria sobre los procesos
en una sola página. Además de eso, si hace
clic en el proceso, se abre la ventana
'Detalles del proceso'.
Un caso de uso de ANY. RUN

De vez en cuando, nos enfrentamos a muestras que tienen actividad sospechosa o maliciosa.
Desafortunadamente, los sistemas no pueden identificar a qué familias de malware pertenecen. Para
averiguarlo, es necesario realizar ingeniería inversa. Pero requiere mucho tiempo y recursos. ANY. RUN
tiene una función de filtro útil para que este proceso sea más rápido y fácil.

Por ejemplo:

https://app.any.run/tasks/c862a5eb-ae30-40ae-86d1-0744c664533b
Se detecta la actividad sospechosa, pero no se identifica la familia de malware porque la carga
útil no se ha descargado. Una de las razones puede ser que el servidor de Comando y Control
ya está caído.
Vamos a copiar la primera
dirección IP a la que hacía
referencia el ejemplo
104.28.21.40. A continuación,
péguelo en el filtro de búsqueda
de la pestaña Envíos públicos.
Ahora verá las tareas
relacionadas con la
dirección IP. Hay una
tarea similar identificada
como malware Qbot.

Esta función le ahorrará tiempo y recursos.

Gestión de equipos

Con la gestión de equipos, puede trabajar como un equipo completo en una muestra en tiempo real,
tener un historial común de tareas y realizar un seguimiento de las tareas que lanzan sus empleados. Y
es muy conveniente para capacitar al nuevo personal. Además, el líder puede administrar las
suscripciones de su equipo.
Una empresa podría comprar varias licencias y distribuirlas a sus empleados. Si uno deja de estar
disponible, su licencia puede retirarse de la cuenta de esa persona y reasignarse a otra. Una excelente
manera de administrar equipos que cambian dinámicamente.
Crear o unirse a un equipo está disponible para los suscriptores del plan de pago Enterprise.

Un equipo tiene su propio historial de tareas que se muestra en el lado izquierdo de la pantalla.
Dependiendo de la configuración establecida por el líder, las tareas pueden ser:

● Todas las tareas de los participantes están disponibles para los miembros del equipo;
● Solo las tareas del líder están disponibles para los miembros del equipo;
● Los miembros del equipo pueden verse entre sí, pero solo las tareas del líder están disponibles en
el historial del equipo a través de enlaces.
El análisis de grupos le permite observar el trabajo de su departamento y capacitar a analistas de
malware junior. Además, la gestión de equipos es una solución perfecta para conocer la productividad
de tus especialistas. Aquí puedes gestionar equipos grandes y dinámicos sobre la marcha.
Rastreador de malware

ANY. RUN no es solo una

herramienta interactiva para el
análisis de malware. Es un
servicio para el intercambio de
datos de malware. Malware
Trends Tracker muestra
estadísticas de malware
cargado según sus tipos
durante un período
determinado: todo el tiempo, un
mes, 2 semanas o los últimos 7
días.
Haga clic en una celda con un nombre de malware para ver información sobre esta familia maliciosa:

● Descripción del malware;

● Historial de malware;
● Video con ejecución típica;
● Lista de IOC con las últimas 20 direcciones IP;
● Hashes;
● Nombres de dominio.
Sandbox interactivo ANY. RUN permite realizar un análisis estático y dinámico de programas maliciosos.

Tiene 4 tipos de planes que satisfacen las demandas de los usuarios:

● Community,
● Searcher,
● Hunter y
● Enterprise.

ANY. RUN es un servicio interactivo y fácil de usar. Obtienes los primeros resultados justo después de
iniciar una tarea. También puede ver las acciones del malware en tiempo real, cambiar la configuración
del sistema y obtener un informe detallado al final de la investigación.
5
Medidas de protección
contra el malware
EDR
La detección y respuesta de endpoints (EDR) es una solución diseñada para
detectar e investigar ciberamenazas en dispositivos endpoint como PC,
portátiles o servidores. A diferencia del software antivirus, EDR no solo
detecta las amenazas cibernéticas escaneando archivos en busca de
firmas de virus, sino también observando el comportamiento de los
dispositivos finales. Cuando se detecta un comportamiento sospechoso, la
herramienta alerta al equipo de seguridad de TI y sugiere acciones
correctivas. La herramienta EDR también puede proporcionar respuestas de
mitigación automatizadas, como el aislamiento de terminales.

La EDR incluye:

● Monitoreo de endpoints y registro de eventos

● Búsqueda de datos, investigación y caza de amenazas.
● Detección de actividad sospechosa
● La capacidad de sugerir acciones de remediación.
● Respuesta de mitigación automatizada
XDR
La detección y respuesta extendidas (XDR) es la evolución de la solución EDR. XDR
extiende el alcance de la detección más allá de los puntos finales: brinda detección,
análisis y respuesta en múltiples fuentes de datos. XDR recopila datos y analiza el
comportamiento de todas las capas y aplicaciones de TI. Además de los puntos finales,
esto incluye componentes de red y servicios en la nube. De esta manera, XDR crea
una visión holística de la seguridad de TI y las posibles amenazas cibernéticas, lo que
simplifica las actividades de investigación y respuesta.

XDR incluye:

● El seguimiento de fuentes de datos de diferentes dominios.

● Búsqueda de datos, investigación y búsqueda de amenazas en múltiples
dominios
● Análisis de eventos orientado a amenazas
● Detección de actividad sospechosa
● La capacidad de sugerir acciones de remediación.
● Respuesta de mitigación automatizada mejorada
SIEM
A Security information and event management (SIEM) is a solution that allows
organisations to centralise, correlate and analyse data across the IT network to
detect security issues. The main capabilities of the SIEM cover log management
and centralisation, security event detection, and reporting and search
capabilities. It enables analysts to examine log and event data, and also allows
them to track and log security data for compliance and audit purposes.

A SIEM solution enables IT security teams to:

● Collect and correlate log data

● Use data to identify, categorise, and analyse incidents and events
● Consolidate multi-domain data in a central platform
● Generate alerts and reports
● Support incident response
● Store log data for compliance and audit purposes
SOAR
La orquestación, automatización y respuesta de seguridad (SOAR) es
una solución que complementa y respalda las plataformas SIEM.
SOAR tiene como objetivo enriquecer los datos de eventos,
simplificar la identificación de incidentes críticos y automatizar las
acciones de respuesta a eventos o desencadenantes específicos. El
objetivo es intensificar las amenazas sólo cuando se requiere la
intervención humana.

Las soluciones SOAR permiten a los equipos de seguridad de TI:

● Recopile información sobre amenazas a la seguridad de

diversas fuentes y póngalas a disposición de forma
centralizada.
● Automatizar su reacción ante amenazas a la seguridad.
● Minimizar la intervención humana
MDR
La detección y respuesta administradas (MDR) es un servicio que incluye
monitoreo y análisis de seguridad, así como un elemento de respuesta a
amenazas. Aunque el software es importante aquí, la clave para un servicio
MDR exitoso es contar con analistas altamente capacitados a bordo. Esta
suele ser la diferencia entre el éxito y el fracaso.

MDR incluye:

● Analistas de seguridad TI
● Procesos
● Herramientas de seguridad informática
● Monitoreo continuo de seguridad
● Caza de amenazas
● Priorización de amenazas y alertas
● Análisis de seguridad
● Acciones de respuesta de seguridad
SOC
The security operations centre (SOC) is a central control centre
designed to protect organisations’ IT infrastructure. The SOC is
responsible for monitoring security-relevant systems. It also
analyses and qualifies threats, as well as initialising and supporting
incident response actions. SOC analysts typically work together
with cyber-security experts from other areas in coordinated
processes using specialised tools.

A typical SOC includes:

● A central control centre

● IT security analysts
● Processes
● IT security tools
● Various IT security services
 Mobile Verification Toolkit

https://docs.mvt.re/en/latest/
Muchas Gracias