Malware: Del Disco a la Memoria

El malware ha evolucionado considerablemente a lo largo de los años, y uno de los aspectos más críticos que ha cambiado es la forma en que interactúa con el sistema operativo. Tradicionalmente, los malware basados en disco se confiaban en archivos maliciosos escritos en el disco duro del sistema comprometido, lo que facilitaba la detección mediante la inspección de archivos y la analítica forense. Sin embargo, con el tiempo, los malware en memoria han ganado prominencia debido a su capacidad para evadir la detección y complicar la investigación forense. Esta transición de la infección a través del disco a la ejecución directa en memoria representa un cambio fundamental en las tácticas de los atacantes.

Malware Basado en Disco

El malware basado en disco es un tipo de malware que depende de la escritura de archivos maliciosos en el sistema de archivos del sistema operativo. Estos archivos pueden estar en diversas ubicaciones: desde la carpeta de inicio automático hasta directorios temporales, dependiendo de las técnicas de persistencia que el malware utilice. Estos son algunos de los tipos más comunes de malware basado en disco:

Tipos de Malware Basado en Disco:

Troyanos: Son programas maliciosos que a menudo se disfrazan de aplicaciones legítimas y requieren que el usuario los ejecute. Una vez ejecutados, estos troyanos pueden escribir archivos maliciosos en el disco, como backdoors o rootkits.
Ransomware: Este tipo de malware encripta los archivos de la víctima y los deja en el disco, pidiendo un rescate para restaurarlos.
Spyware: Aunque a menudo opera en segundo plano, el spyware puede escribir archivos en el disco para almacenar registros de actividad de los usuarios o datos robados.
Virus: Un virus puede adjuntarse a archivos legítimos en el sistema y propagarse a través de ellos, por lo que es necesario interactuar con los archivos en disco para llevar a cabo su función.

Cómo Funciona el Malware Basado en Disco:

El malware basado en disco generalmente necesita escribir archivos en el sistema para ser persistente. Estos archivos pueden incluir ejecutables maliciosos, scripts o archivos de configuración.
Los archivos pueden estar ocultos en ubicaciones comunes, como la carpeta AppData, o configurarse para ejecutarse al iniciar el sistema mediante modificaciones en el registro de Windows o mediante el uso de tareas programadas.
El principal problema de detección es que los antivirus y los sistemas de detección de intrusos (IDS) pueden escanear los archivos en disco en busca de firmas maliciosas y comportamientos anómalos. Sin embargo, el malware basado en disco aún se puede eludir mediante técnicas como la ofuscación de código o el cifrado.

Ventajas del Malware Basado en Disco:

Persistencia: Al escribir en el disco, el malware tiene una persistencia a largo plazo. Incluso después de un reinicio, los archivos maliciosos permanecerán en el sistema a menos que sean eliminados.
Facilidad de distribución: El malware puede ser distribuido fácilmente a través de archivos adjuntos en correos electrónicos, descargas de sitios web maliciosos o medios extraíbles.

Malware en Memoria: La Nueva Frontera de la Evasión

A medida que los mecanismos de detección han mejorado, los atacantes han comenzado a mover su actividad maliciosa fuera del disco y directamente a la memoria RAM del sistema. El malware en memoria no deja rastros en el disco y, por lo tanto, es más difícil de detectar mediante los métodos tradicionales de análisis de archivos. Esto ha sido una evolución natural, dada la dificultad de los antivirus para detectar y mitigar las amenazas basadas en memoria, y su capacidad de evadir herramientas forenses.

Tipos de Malware en Memoria:

Shellcodes: Un shellcode es un pequeño fragmento de código que se ejecuta directamente en la memoria, a menudo inyectado en un proceso legítimo. Puede ser usado para abrir una reverse shell o ejecutar comandos maliciosos sin dejar rastro en el disco.
Malware de Inyección de Código: Algunos tipos de malware inyectan código directamente en los procesos en ejecución de la memoria, como los procesos explorer.exe o svchost.exe, sin escribir nada en el disco.
Rootkits en Memoria: Estos tipos de malware se cargan directamente en la memoria y ocultan su presencia, incluso de las herramientas de análisis de memoria y de los antivirus.
Fileless Malware: Este tipo de malware no utiliza archivos en disco, sino que se ejecuta directamente en la memoria, a menudo aprovechando scripts como PowerShell o WMI (Windows Management Instrumentation).

Cómo Funciona el Malware en Memoria:

Ejecución en memoria: El malware en memoria se carga directamente en la memoria RAM sin dejar archivos en el disco. Esto permite que el malware opere de forma más sigilosa, evitando la detección mediante escaneos de disco.
Inyección de código: Una técnica común es inyectar código malicioso en procesos legítimos. Este código se ejecuta directamente en la memoria, a menudo sin interacción directa con el sistema de archivos. Técnicas como Process Hollowing o Reflective DLL Injection permiten cargar código malicioso sin dejar rastros.
Evasión de Antivirus: Al ejecutarse solo en memoria y no dejar archivos, este tipo de malware es más difícil de detectar por los sistemas antivirus, ya que las herramientas de escaneo de archivos no pueden ver lo que está ocurriendo directamente en la memoria del sistema.

Ventajas del Malware en Memoria:

Evasión de la detección: Dado que no hay archivos escritos en el disco, las herramientas tradicionales de detección de malware basadas en el análisis de archivos no pueden detectar este tipo de amenazas.
Rápido y eficiente: El malware en memoria puede ejecutarse rápidamente, sin la latencia asociada con la lectura/escritura de archivos en disco.
Dificultad para la forensia: Los analistas forenses tienen dificultades para analizar malware en memoria debido a la volatilidad de la RAM. Esto hace que las evidencias sean mucho más difíciles de recuperar después de un reinicio del sistema.

Comparación: Malware Basado en Disco vs Malware en Memoria

Característica

Malware Basado en Disco

Malware en Memoria

Persistencia

El malware persiste entre reinicios escribiendo en el disco.

El malware desaparece después de reiniciar el sistema.

Detección

Puede ser detectado por antivirus y herramientas de análisis de archivos.

Más difícil de detectar debido a que no deja archivos en el disco.

Evasión de Detección

Dependiendo de la obfuscación y técnicas, puede ser detectado fácilmente.

Utiliza técnicas avanzadas de evasión, como la inyección de código.

Distribución

Suele distribuirse a través de archivos maliciosos (ej. emails, descargas).

Se distribuye a través de exploits o inyecciones en procesos.

Técnicas Comunes

Ransomware, virus, troyanos, spyware.

Shellcodes, fileless malware, rootkits en memoria, inyección de código.

PreviousNuestro primer "Malware"NextWindows Internals

Last updated 5 months ago

Malware Basado en Disco

Tipos de Malware Basado en Disco:

Troyanos: Son programas maliciosos que a menudo se disfrazan de aplicaciones legítimas y requieren que el usuario los ejecute. Una vez ejecutados, estos troyanos pueden escribir archivos maliciosos en el disco, como backdoors o rootkits.

Ransomware: Este tipo de malware encripta los archivos de la víctima y los deja en el disco, pidiendo un rescate para restaurarlos.

Spyware: Aunque a menudo opera en segundo plano, el spyware puede escribir archivos en el disco para almacenar registros de actividad de los usuarios o datos robados.

Virus: Un virus puede adjuntarse a archivos legítimos en el sistema y propagarse a través de ellos, por lo que es necesario interactuar con los archivos en disco para llevar a cabo su función.

Cómo Funciona el Malware Basado en Disco:

El malware basado en disco generalmente necesita escribir archivos en el sistema para ser persistente. Estos archivos pueden incluir ejecutables maliciosos, scripts o archivos de configuración.

Los archivos pueden estar ocultos en ubicaciones comunes, como la carpeta AppData, o configurarse para ejecutarse al iniciar el sistema mediante modificaciones en el registro de Windows o mediante el uso de tareas programadas.

El principal problema de detección es que los antivirus y los sistemas de detección de intrusos (IDS) pueden escanear los archivos en disco en busca de firmas maliciosas y comportamientos anómalos. Sin embargo, el malware basado en disco aún se puede eludir mediante técnicas como la ofuscación de código o el cifrado.

Ventajas del Malware Basado en Disco:

Persistencia: Al escribir en el disco, el malware tiene una persistencia a largo plazo. Incluso después de un reinicio, los archivos maliciosos permanecerán en el sistema a menos que sean eliminados.

Facilidad de distribución: El malware puede ser distribuido fácilmente a través de archivos adjuntos en correos electrónicos, descargas de sitios web maliciosos o medios extraíbles.

Malware en Memoria: La Nueva Frontera de la Evasión

Tipos de Malware en Memoria:

Shellcodes: Un shellcode es un pequeño fragmento de código que se ejecuta directamente en la memoria, a menudo inyectado en un proceso legítimo. Puede ser usado para abrir una reverse shell o ejecutar comandos maliciosos sin dejar rastro en el disco.

Malware de Inyección de Código: Algunos tipos de malware inyectan código directamente en los procesos en ejecución de la memoria, como los procesos explorer.exe o svchost.exe, sin escribir nada en el disco.

Rootkits en Memoria: Estos tipos de malware se cargan directamente en la memoria y ocultan su presencia, incluso de las herramientas de análisis de memoria y de los antivirus.

Fileless Malware: Este tipo de malware no utiliza archivos en disco, sino que se ejecuta directamente en la memoria, a menudo aprovechando scripts como PowerShell o WMI (Windows Management Instrumentation).

Cómo Funciona el Malware en Memoria:

Ejecución en memoria: El malware en memoria se carga directamente en la memoria RAM sin dejar archivos en el disco. Esto permite que el malware opere de forma más sigilosa, evitando la detección mediante escaneos de disco.

Inyección de código: Una técnica común es inyectar código malicioso en procesos legítimos. Este código se ejecuta directamente en la memoria, a menudo sin interacción directa con el sistema de archivos. Técnicas como Process Hollowing o Reflective DLL Injection permiten cargar código malicioso sin dejar rastros.

Evasión de Antivirus: Al ejecutarse solo en memoria y no dejar archivos, este tipo de malware es más difícil de detectar por los sistemas antivirus, ya que las herramientas de escaneo de archivos no pueden ver lo que está ocurriendo directamente en la memoria del sistema.

Ventajas del Malware en Memoria:

Evasión de la detección: Dado que no hay archivos escritos en el disco, las herramientas tradicionales de detección de malware basadas en el análisis de archivos no pueden detectar este tipo de amenazas.

Rápido y eficiente: El malware en memoria puede ejecutarse rápidamente, sin la latencia asociada con la lectura/escritura de archivos en disco.

Dificultad para la forensia: Los analistas forenses tienen dificultades para analizar malware en memoria debido a la volatilidad de la RAM. Esto hace que las evidencias sean mucho más difíciles de recuperar después de un reinicio del sistema.

Comparación: Malware Basado en Disco vs Malware en Memoria

Característica

Malware Basado en Disco

Malware en Memoria

Persistencia

El malware persiste entre reinicios escribiendo en el disco.

El malware desaparece después de reiniciar el sistema.

Detección

Puede ser detectado por antivirus y herramientas de análisis de archivos.

Más difícil de detectar debido a que no deja archivos en el disco.

Evasión de Detección

Dependiendo de la obfuscación y técnicas, puede ser detectado fácilmente.

Utiliza técnicas avanzadas de evasión, como la inyección de código.

Distribución

Suele distribuirse a través de archivos maliciosos (ej. emails, descargas).

Se distribuye a través de exploits o inyecciones en procesos.

Técnicas Comunes

Ransomware, virus, troyanos, spyware.

Shellcodes, fileless malware, rootkits en memoria, inyección de código.