Actividad II: Análisis de Malware

Carlos Alberto Jimenez Wilches

Ana María Mesa Ospina

Fernando Andres Monterrosa Lorduy

Yessith Ricardo Restrepo de Arcos

Docente: Diego Osorio Reina

Fundación Universitaria De La Rioja

Especialización En Seguridad Informática

Facultad De Ingeniería

Bogotá-Colombia

31 De Marzo De 2025
 Resumen

El objetivo de esta práctica es construir un laboratorio seguro para analizar muestras de

malware y poder validarlas de manera controlada. Para hacerlo, se tiene que configurar una
máquina virtual con Windows, asegurando de aislarla bien para evitar cualquier riesgo en el
sistema. Primero, se prepara el entorno con las herramientas necesarias, junto con tomas de un
snapshot base, en caso de que el proceso no salga completamente bien, adicional se desactivar el
antivirus y luego la introducción de la muestra, para realizar las validaciones pertinentes.

El análisis se centrará en observar el comportamiento del malware en el disco, procesos,

registro y red. Además, con la herramienta Pafish se verificará la verosimilitud del entorno y si el
malware utiliza técnicas de ofuscación, modifica registros, crea archivos o inicia nuevos
procesos. Adicional la identificación de algún IOC relevante.

Palabras clave: Malware, antivirus, IOC, red, registro, ofuscación.

Desarrollo

Se realiza la instalación de la máquina virtual con Windows 10, esta puede ser en
cualquiera de las presentaciones y se realiza la descarga dentro de la página oficial de Microsoft.

Figura 1. Escenario

A esta máquina le colocamos el FlareVm que es un entorno seguro en el que podemos

realizar análisis de malware, está ya viene preconfigurada con herramientas y utilidades que
permiten un mayor entendimiento de la actividad a realizar.
 Figura 2. Instalación de FlareVM

Figura 3. Validación de FlareVM

Después de realizar la instalación de Flare VM, comenzamos con la configuración dentro

de la máquina. Para asegurar un entorno controlado y libre de interferencias, deshabilitamos
tanto el antivirus como el firewall. Además, configuramos la máquina en una red interna para
proceder con la validación correspondiente. Esto se hace con el fin de evitar cualquier riesgo o
conflicto con la máquina de uso diario.
 Figura 4. Deshabilitación de protección de la máquina

Con el proceso de configuración y preparación completo, iniciamos con la descarga y

ejecución del malware para continuar con nuestras pruebas. En este caso, utilizaremos el
WannaCry, un tipo de ransomware conocido por su capacidad para secuestrar los datos de las
víctimas, cifrando archivos y exigiendo un rescate para su liberación.

El WannaCry se propagó de manera masiva en 2017, afectando a miles de usuarios. Este

ransomware aprovecha la vulnerabilidad EternalBlue, permitiendo que el malware se propague
rápidamente entre sistemas vulnerables sin necesidad de interacción del usuario, lo que facilita
la distribución masiva del ataque. (Mohiuddin Ahmed, 2024).

Figura 5. Descarga de WannaCry

Una vez descomprimido el archivo que contiene el documento, procedemos a ejecutarlo.

Para validar que el proceso ha comenzado correctamente, podemos usar la herramienta System
Informer. En ella, podremos verificar si el malware ya está en ejecución, ya que aparecerá en la
lista de procesos activos, lo que nos confirma que el ataque se ha iniciado correctamente.
 Figura 6. Operaciones a nivel de procesos

Al finalizar la ejecución del proceso, aparecerá en pantalla el mensaje 'Oops, your files
have been encrypted', lo que indica que el malware se ha ejecutado con éxito en el sistema.
Además, el malware crea carpetas adicionales en el escritorio, lo que sirve como otra señal de
que el ataque ha sido completado y está en curso.

Figura 7. Ejecución del Malware

Además, podemos utilizar Process Monitor para monitorear todas las acciones que el
malware está llevando a cabo en el sistema. Esta herramienta nos permite validar en tiempo real
qué procesos se están ejecutando, los archivos a los que se está teniendo acceso o que están
siendo modificados, y qué cambios está realizando en el sistema. De esta manera, podemos
confirmar que el malware está afectando de manera activa el sistema, generando alteraciones en
los archivos y ejecutando procesos relacionados con el ataque.

Figura 8. Operaciones a nivel de registro

Se descargó la herramienta Wireshark, para examinar las conexiones de red y detectar

posibles comportamientos anómalos. Durante el análisis, se observó que varias direcciones IP
intentaban comunicarse hacia el exterior. Al validar a detalle los paquetes de red, se identificó
que uno de ellos estaba utilizando la dirección [Link], que corresponde a una
dirección de multicast.

Adicional a ello contaba con protocolo SSDP que se emplea comúnmente para la
detección y anuncio de servicios en redes locales, pero su uso por una dirección externa e
inusual, junto con la actividad de red sospechosa, indicó un comportamiento que podría estar
asociado con actividades maliciosas, como un intento de propagación del malware o una
comunicación con un servidor de comando y control.
 Figura 9. Operaciones a nivel de red

Al validar la dirección IP [Link] en una central de reputación como Virus

Total, se encontró que está registrada como maliciosa. La base de datos indicó que esta dirección
ha sido asociada con ataques de Denegación de Servicio Distribuida (DDoS), lo que concreta la
sospecha de que el tráfico observado podría estar relacionado con actividades maliciosas. Este
hallazgo sugiere que la IP podría estar involucrada en la propagación de malware o en la
ejecución de ataques cibernéticos, lo que hace aún más relevante la validación realizada.

Figura 10. Análisis de IP

 Además, empieza a realizar modificaciones en diferentes archivos a nivel de disco que ya
posee el equipo, así como la creación de nuevos archivos. Entre estos se incluyen las notas
relacionadas con el rescate de la información, las cuales detallan procedimientos y estrategias
para recuperar y proteger los datos almacenados.

Figura 11. Operaciones a nivel de disco

Preguntas

• Verificar con pafish la verosimilitud del entorno. ¿Qué concluyes de los resultados
arrojados?
Los resultados obtenidos con Pafish indican que el entorno analizado es una máquina virtual
alojada en VirtualBox.
Se han detectado múltiples evidencias de virtualización, como claves de registro asociadas a
VirtualBox, la presencia de archivos y servicios específicos, así como una dirección MAC que
coincide con los rangos utilizados por esta plataforma.
Por otro lado, no se han encontrado rastros de VMware ni QEMU, lo que descarta que la
máquina esté virtualizada con otras tecnologías para poder tener un análisis adicional del
malware.
 Figura 12. Procesos de Pafish

• ¿La muestra hace uso de alguna tecnología de ofuscación?

Sí, WannaCry hace uso de algunas técnicas de ofuscación para dificultar su detección y
análisis.
Una de las estrategias identificadas es la ofuscación de código a través de la utilización de
técnicas de cifrado y empaquetado. El malware está diseñado para ocultar documentos
mediante el uso de código cifrado o técnicas de compresión que evitan que el código
malicioso sea fácilmente reconocido por los programas antivirus o durante un análisis
estático, interactúa con los documentos lo que dificulta la detección y análisis a través de
métodos tradicionales.

• ¿Modifica algún registro?

Sí, durante el proceso de validación y análisis de seguridad realizados, hemos identificado
que varios registros del sistema han sido modificados. Entre las modificaciones más
relevantes, se encuentran las siguientes claves del registro de Windows.
La herramienta Regshot permite realizar una comparación entre dos instantáneas del
registro de Windows. Esta herramienta es útil para identificar qué llaves o valores han sido
modificados, agregados o eliminados entre una captura inicial y una posterior, por lo que
pudimos monitorizar y observar las llaves del registro que fueron modificadas durante el
proceso.
 Figura 13. Herramienta Regshot

Después de ejecutar los 2 shots en la herramienta, se nos habilita la opción compare, que nos
generara un archivo ya sea en txt o html, donde nos indicara las llaves, registros y todos los
procesos que han sido eliminados, modificados o agregados, a continuación observamos las
llaves identificadas.

Figura 14. Llaves eliminadas

Las llaves que elimina hacen referencia a

• Configuración de Directivas de Grupo: Afectación en políticas del sistema.
• Informes de errores de Windows: Eliminar o finalizar procesos importantes.
• Datos de búsqueda y Jump Lists: Eliminar rastros en el sistema.
 Figura 15. Llaves agregadas

Las llaves que agrega hacen referencia a

• Informes de errores de Windows: Se usa para validación y depuración de errores.
• Servicios de Shadow Copy: Intentan desactivar VSS para evitar que el usuario
restaure archivos encriptados.
• Información de sesión del Explorador de Windows: El Malware está manipulando
sesiones.
• Windows Script & Windows Script Host: Realiza ejecución de scripts maliciosos.
• VirtualStore: Intento de evasión de restricciones.
• WannaCry / WanaCryptor: Hace referencia a que el sistema está infectado.
 Figura 16. Registros modificados

• ¿Cómo se llama el proceso iniciado por el malware?

Debido a que WannaCry es un ransomware que genera múltiples procesos maliciosos para
llevar a cabo su ataque. Logramos identificar el [Link], que la función
principal de este es mostrar una nota de rescate, esta le informa a la víctima sobre el
cifrado realizado y en algunas ocasiones el posible pago que hay que generar para poder
recuperarla.
 El ejecutable [Link] se aloja en el directorio C:\Users\vbox\ sin
embargo, en algunas ocasiones también puede estar localizado en C:\ProgramData\ o en
la carpeta Temp suele activarse automáticamente después de que los archivos han sido
cifrados, con el fin de que la víctima vea el documento.

Figura 17. Procesos creados por el Malware

• ¿Qué aproximación seguirías si necesitases analizar el código?

Para analizar el código, se hizo uso de IDA Pro que es una herramienta potente de
desensamblado. Primero, se carga el binario en IDA, que automáticamente realizó un
análisis inicial y generó el código en ensamblador. Después de esto, se validan las
funciones identificadas y el flujo de ejecución del programa, navegando entre las
diferentes partes del código desensamblado para entender su comportamiento.
Adicional a ello se revisan las cadenas de texto y otros recursos detectados por IDA, lo que
me permitió identificar posibles áreas de interés. Este proceso me ayudó a comprender la
estructura interna del programa y a identificar patrones de comportamiento relevantes.
Figura 18. IDA
• ¿Crea o modifica algún archivo?
La carpeta en C:\Users\vboxuser\Documents\WindowsPowerShell con archivos creados y
modificados por WannaCry, lo que indica que el sistema ha sido infectado. Se observa el
archivo @[email protected], que contiene la nota de rescate con instrucciones para
pagar y recuperar los archivos cifrados. También está presente @[email protected], un
ejecutable que los atacantes proporcionan para el descifrado de los archivos o pago del
rescate. Además, el archivo Microsoft.PowerShell_profile.[Link] muestra la extensión.
WNCRY, lo que confirma que ha sido cifrado por el ransomware. Esto evidencia que
WannaCry ha modificado el sistema, cifrando archivos y dejando rastros de su actividad
maliciosa. Adicionalmente encontramos que algunos archivos que teníamos de prueba en el
equipo fueron ocultados o eliminados.

Figura 19. Archivos creados por el malware

• ¿Serías capaz de extraer algún IOC característico y relevante?

Sí, es posible extraer varios IOCs característicos y relevantes del malware WannaCry.
Algunos de los IOCs importantes incluyen las direcciones IP o en algunos casos los
dominios utilizados por el malware para la comunicación con sus servidores de comando
y control. En este caso es la IP [Link].
Además, los hashes de archivo de los binarios maliciosos, como el del archivo
[Link], el cual es un documento crucial para identificar copias del malware. Otra
 característica relevante son las cadenas de texto que aparecen en el código como las
claves de registro modificadas durante la infección, como se mostró con anterioridad.
Cabe resaltar la vulnerabilidad explotada en el protocolo SMB mediante el exploit
EternalBlue es otro indicador clave, ya que es la puerta de entrada utilizada por el
malware para propagarse en archivos o través de la red.

Conclusiones

• Los ransomware son altamente eficiente ya que cuando se ejecutan correctamente, logra
el cifrado de los archivos de la víctima y muestra el mensaje de rescate en pantalla. Este
comportamiento confirma que el malware ha sido exitoso en su ejecución y ha cumplido
su propósito principal de secuestro de datos.
• La aparición del mensaje "Oops, your files have been encrypted" y la creación de carpetas
en el escritorio son indicadores visibles que nos ayudan a la identificación y la
confirmación de la presencia del malware en el sistema, por lo que facilita la detección
temprana del ataque.
• Se resalta la necesidad urgente de implementar medidas preventivas, como el parcheo de
vulnerabilidades y la capacitación en buenas prácticas de ciberseguridad para evitar la
propagación de malware y la pérdida de datos sensibles. Además de validaciones
regulares y el uso de software antivirus confiable para mitigar los riesgos asociados con
este tipo de amenazas

Referencias

Ransomware Evolution .(2024). (CRC Press): Mohiuddin Ahmed.