INTRODUCCIÓN

Durante la séptima semana del curso Análisis Forense Informático, se ejecutaron múltiples
ejercicios prácticos orientados a comprender cómo funciona el malware y de qué manera puede
propagarse, ejecutarse y analizarse dentro de un entorno controlado. Para lograrlo, se preparó un
laboratorio virtualizado con configuraciones específicas que simulan un entorno realista de ataque
y defensa cibernética, permitiendo ejecutar distintas técnicas maliciosas bajo observación forense.

Previo a la realización de las prácticas, se instalaron y prepararon diversas herramientas de

análisis y simulación, como Wireshark, Burp Suite, Python, Process Explorer, ProcMon, y
navegadores como Firefox o Chrome. También se incluyó la posibilidad de utilizar servicios
externos como VirusTotal para el análisis de malware, y herramientas de creación de instaladores
como InnoSetup, especialmente útiles en simulaciones de empaquetado malicioso.
 INSTANT MESSENGER APPLICATIONS
 Objetivo: Simular la entrega de un payload a través de un enlace acortado en un IM.

Crea el script [Link]: Pega el contenido:

Hazlo ejecutable: chmod +x [Link].
2. CREA EL ENLACE CORTO: 3. EN LA VM WINDOWS (VÍCTIMA): o La idea es que la víctima intentaría
descargar y ejecutar esto. Como es un .sh,
 V E A B I T. LY Y A C O R TA L A U R L D E o Abre el cliente de mensajería (o simúlalo). en Windows no haría nada directamente
T U PAY L O A D ( E J : o Recibe el enlace [Link] sin WSL o Cygwin.
H T T P : / / 1 9 2 . 1 6 8 . 1 9 . 1 4 9 / PAY L O A D . B (que te enviaste desde Kali o escribiste o Para el propósito del ejercicio,
AT ) . O B T E N D R Á S U N E N L A C E manualmente). adaptaremos el payload para Windows:
COMO HTTPS://[Link]/EODGNJO.
BROWSER AND EMAIL SOFTWARE BUGS

Objetivo: Simular el robo de credenciales de un formulario mediante

JavaScript malicioso que auto-envía el formulario a un sitio controlado por el
atacante.

En la VM Windows (Víctima):
Crea un archivo llamado
login_steal.html con el siguiente
contenido:(Nota: El action
apunta a
[Link]
. No necesitamos que este sitio
exista realmente para observar
el intento de envío con Burp
Suite).
2. Configura Burp Suite (en Kali o Windows, donde
vayas a usar el navegador):
o Abre Burp Suite. Ve a la pestaña "Proxy" ->
"Options". Anota la dirección y puerto del listener (ej:
[Link]:8080).
o Configura el navegador de la VM Windows para usar
Burp Suite como proxy:
 En Firefox: Opciones > General >
Configuración de red > Configuración... >
Configuración manual de proxy: HTTP Proxy
[Link], Puerto 8080. Marca "Usar este proxy
para todos los protocolos".
 En Chrome/Edge (usa la configuración de
proxy del sistema): Configuración de Windows
> Red e Internet > Proxy > Usar un servidor
proxy > Activar. Dirección [Link], Puerto
8080.
o En Burp Suite, ve a la pestaña "Proxy" -> "Intercept"
y asegúrate de que "Intercept is on".
3. Ejecuta el ataque:
o En la VM Windows, abre el archivo login_steal.html
con el navegador configurado con el proxy.
o La página se cargará, y después de 1 segundo, el
JavaScript intentará enviar el formulario.
4. Análisis (en Burp Suite):
o Burp Suite interceptará la petición POST.
o Examina la petición:
 Host: [Link]
 Path: /[Link]
 En el cuerpo de la petición POST, verás los
datos: user=testuser&pass=fakepassword.
o Puedes hacer clic en "Forward" en Burp para dejar
pasar la petición (fallará si [Link] no existe) o
"Drop" para descartarla.
o También puedes usar Wireshark para ver el tráfico
HTTP si no usas Burp, pero Burp es mejor para
inspeccionar HTTP.
 INTERNET RELAY CHAT
Objetivo: Simular el uso de un canal IRC para la comunicación de un bot (Comando y Control -
C2).

o Instalar irssi en Kali (si no está):

o sudo apt update
o sudo apt install irssi
o Simular el "Bot" conectándose al servidor IRC:
 Abre una terminal en Kali y ejecuta:
 irssi -c [Link] -n boteducativo_victim
 c [Link]: Conectar al servidor [Link].
 n boteducativo_victim: Nickname del bot. Usa un
nick único.
 p 6667: Puerto estándar de IRC (no encriptado).
 Una vez conectado, el bot se unirá a un canal (el canal
de C2): En la ventana de irssi (donde dice [status]),
escribe: (Reemplaza XYZ con algo único para evitar
colisiones. Ej: #canal_c2_secreto_12345)..
/join #canal_c2_secreto_XYZ
4. Enviar "comandos" (mensajes) del
Botmaster al Bot:
o En la ventana de irssi del
botmaster, estando en el canal
#canal_c2_secreto_XYZ,
escribe un mensaje. Este
mensaje simula un comando. O
simplemente:
o !descargar_y_ejecutar
<[Link]
.exe>
o !ping
o Observa la ventana de irssi del
bot (boteducativo_victim).
Deberías ver el mensaje
enviado por botmaster_edu.
o Un bot real estaría programado
para parsear estos mensajes y
ejecutar acciones basadas en
ellos. Para este ejercicio, solo
estamos simulando l
5. análisis (con Wireshark):
o Inicia Wireshark en tu Kali VM
antes de conectar los clientes
IRC.
o Filtra por el puerto de IRC:
[Link] == 6697.
o Observarás:
 Conexiones TCP al
servidor [Link].
 Comandos IRC como
NICK, USER, JOIN.
 Mensajes PRIVMSG
(mensajes privados o de
canal) que contienen tus
"comandos" en texto plano
(ya que el puerto 6667 es
no encriptado). Si usaras
SSL/TLS (puerto 6697), el
contenido estaría cifrado.
NETBIOS

Objetivo: Identificar y acceder a recursos compartidos mal

protegidos (sin contraseña) en una red usando NetBIOS/SMB
o Configurar un recurso compartido inseguro en
la VM Windows (Víctima):
 Crea una carpeta, por ejemplo, C:\\\\
CompartidoInseguro.
 Pon algunos archivos de prueba dentro.
 Haz clic derecho en la carpeta >
Propiedades > pestaña "Compartir" >
"Uso compartido avanzado...".
 Marca "Compartir esta carpeta".
 Haz clic en "Permisos".
 Asegúrate de que el grupo "Todos" (o
"Everyone") tenga permisos de "Control
total" o al menos "Leer". Crucialmente,
no establezcas una contraseña
específica para este recurso
compartido simple (para simular la
mala configuración).
 Anota el nombre del recurso compartido
(por defecto será el nombre de la carpeta,
ej: CompartidoInseguro).
 Asegúrate de que la "Detección de redes"
y el "Uso compartido de archivos e
impresoras" estén activados en la
configuración de red de Windows (Centro
de redes y recursos compartidos >
Cambiar configuración de uso compartido
avanzado).
3. Análisis (con Wireshark):
o Captura el tráfico en Kali o
Windows.
o Filtra por nbns (NetBIOS Name
Service), nbss (NetBIOS
Session Service), o smb o smb2.
o Verás las consultas de nbtscan.
o Verás el establecimiento de la
sesión SMB, la negociación de
dialectos, el listado de recursos
y la transferencia de archivos.
REMOVABLE DEVICES

Objetivo: Simular la ejecución automática

de un payload desde un dispositivo USB
mediante [Link].
Preparar el "payload" (en tu máquina
anfitriona o Kali):

Para simular, podemos usar la calculadora o

crear un simple .bat convertido a .exe.

Crea [Link]:

Plain Text

Copiar

@echo off echo PAYLOAD EJECUTADO! >

%USERPROFILE%\\Desktop\\
autorun_triggered.txt start [Link]

 (Opcional, más realista) Convertir

[Link] a [Link]:
o Usa una herramienta como "Bat To
Exe Converter" (busca en Google,
hay varias gratuitas). Descárgala en
tu máquina anfitriona.
o Convierte [Link] a [Link].
Durante esta práctica se ejecutó exitosamente una simulación de programa falso con el
objetivo de demostrar cómo un archivo aparentemente inofensivo puede ocultar un
comportamiento malicioso. Se emuló un escenario donde, al abrir un archivo aparentemente
legítimo, se ejecuta en segundo plano un código que compromete el sistema.

Ejecución de la práctica:
 Se creó un script con una macro VBA utilizando la función AutoOpen(), que se activa
automáticamente al abrir un archivo.
 Dentro de esta macro se utilizó la instrucción Shell("[Link]", vbhide), la cual ejecuta
silenciosamente la calculadora de Windows como prueba de ejecución encubierta.
 La macro fue diseñada para parecer parte de un documento legítimo, logrando así una
ejecución encubierta sin que el usuario sospechara.

Evidencia:
En la terminal de Kali Linux se observa claramente la ejecución del código VBA, con la macro
definida correctamente. Este comportamiento reproduce con fidelidad el escenario descrito en
el ejercicio, comprobando que el script malicioso fue ejecutado automáticamente al abrir el
archivo.

Defensa recomendada:
 Restringir la instalación de software únicamente desde fuentes o repositorios autorizados.
 Utilizar antivirus con monitoreo de comportamiento para detectar y bloquear actividades
sospechosas como la ejecución automática de scripts o macros maliciosas.
LINKS AND ATTACHEMENTS IN EMAILS
Deshabilitar Macros por Defecto
¿Cómo se implementa?
 En el equipo local:
1. Abre Word > Archivo > Opciones.
2. Ir a Centro de confianza > Configuración del
Centro de confianza.
3. Ve a Configuración de macros y selecciona:
 "Deshabilitar todas las macros con
notificación" o
 "Deshabilitar todas las macros sin
notificación" (más estricto).
 UNTRUSTED SITES AND FREEWARE SOFTWARE
Esta simulación demuestra los riesgos de descargar software desde fuentes
no confiables. El objetivo es observar cómo se establece una conexión y se
transfiere un archivo ejecutable desde un servidor local, simulando un sitio
potencialmente malicioso.

Procedimiento:
Se creó un archivo falso fake_installer.exe con contenido simulado:
 bash
 CopiarEditar
Hecho "este es un instalador simulado" > fake_installer.exe
Se sirvió el archivo usando Python:
 bash
 CopiarEditar
 python3 -m [Link] 8000
Desde la misma máquina (localhost), se descargó con:
 bash
 CopiarEditar
 wget [Link] -O
~/Descargas/fake_installer.exe
Se usó Wireshark para capturar el tráfico en la interfaz Loopback: lo
y se aplicó el filtro http.
Resultados
 Se observó el tráfico HTTP GET y la respuesta
HTTP/1.1 200 OK correspondiente al archivo .exe.
 Se evidenció cómo incluso conexiones locales pueden
ser monitoreadas, demostrando la visibilidad del tráfico
al descargar archivos sospechosos.
 SHRINK-WRAPPED SOFTWARE ALTERADO POR EMPLEADO DESLEAL

Objetivo de la simulación:
Demostrar cómo un atacante con acceso interno, como un empleado desleal, puede alterar un instalador legítimo agregando
un script malicioso que se ejecute junto a la aplicación esperada. Este tipo de técnica se enfoca en la modificación previa a la
distribución, muchas veces difícil de detectar si no hay controles de integridad.

Procedimiento realizado:
Creación del contenido legítimo y del contenido malicioso:
Se creó un archivo llamado original_installer.exe que en realidad era un texto plano simulado como instalador. Se utilizó el
siguiente comando desde Kali Linux:

bash
CopiarEditar
echo "Simulador de instalador legítimo" > original_installer.exe
 Luego, se creó un archivo PowerShell malicioso (malicious.ps1) que contenía:

powershell
CopiarEditar
Write-Output 'Este es un script malicioso simulado'
 Este simula un script que podría ser usado para espiar, modificar registros o abrir puertas traseras.
Resultado:
o Al ejecutarse el script, se imprimió correctamente el mensaje
"Este es un script malicioso simulado", lo cual demuestra que fue
ejecutado silenciosamente, sin abrir ninguna advertencia visible
(en ejecución real podría ser algo mucho más grave).

Análisis de impacto:
Este tipo de ataque es extremadamente peligroso por varias razones:
 Engaña al usuario: Al incluir un ejecutable aparentemente legítimo,
se genera confianza.
 Difícil detección visual: Los usuarios finales no suelen verificar el
contenido de los paquetes comprimidos antes de ejecutar.
 Uso común en cadenas de suministro: Esta técnica es usada en
ataques conocidos como supply chain attacks, donde software
alterado es distribuido desde fuentes aparentemente confiables.
 DESCARGA DE JUEGOS Y SCREENSAVERS

Objetivo del ejercicio

Simular una amenaza basada en la descarga y ejecución de un archivo .scr, que actúa como un archivo ejecutable disfrazado de protector
de pantalla, con el fin de observar su comportamiento y demostrar cómo un atacante podría aprovechar esta técnica para ejecutar código
en el sistema de la víctima.

Descripción técnica
Archivos .scr han sido tradicionalmente utilizados en Windows como protectores de pantalla, pero en realidad se comportan igual que
un .exe. Esta propiedad es aprovechada por atacantes para camuflar malware.

Pasos realizados
En Kali Linux: generación del payload
Creación del script simulado:
Se generó un archivo de tipo ejecutable renombrado con extensión .scr, que simula una actividad maliciosa básica:

bash
CopiarEditar
echo 'echo Simulación de screensaver malicioso ejecutado' > [Link]
chmod +x [Link]
Verificación del archivo:
El archivo fue colocado en la carpeta personal de Kali Linux
y su contenido fue verificado como un script shell básico.

Levantamiento de un servidor HTTP:

Se inició un servidor para exponer el archivo .scr:

bash
CopiarEditar
python3 -m [Link] 8000

Acceso desde navegador:

En el navegador (Kali o desde VM Windows), se accedió a:
cpp
CopiarEditar
[Link]

Y se vio listado el archivo [Link] listo para descarga.

 CONCLUSIONES

 A lo largo de las prácticas, se evidenció cómo archivos comunes como .bat, .docm, .scr, e incluso instaladores .exe pueden ser
manipulados para ejecutar código malicioso sin levantar sospechas. Esta capacidad de disfraz permite que muchos usuarios
caigan fácilmente en trampas si no cuentan con el conocimiento o las defensas adecuadas.

 El uso de enlaces acortados enviados por mensajería instantánea o correo electrónico, acompañado de texto persuasivo,
demostró lo sencillo que es inducir al usuario a descargar y ejecutar archivos maliciosos. El comportamiento humano sigue
siendo un punto crítico de vulnerabilidad.

 El uso de Wireshark, Burp Suite, Process Explorer y otros recursos permitió monitorear las actividades del sistema, identificar
comunicaciones externas y confirmar la ejecución de payloads. Estas herramientas son esenciales en la detección temprana
de incidentes de seguridad.

 En muchos casos, las simulaciones solo fueron posibles gracias a configuraciones permisivas, como el uso de carpetas
compartidas sin autenticación o la ejecución automática desde dispositivos USB. La seguridad no puede depender únicamente
de la configuración predeterminada del sistema.

 Cada ejercicio no solo mostró cómo se realiza un ataque, sino también cómo puede rastrearse su origen, cómo se manifiesta
en el sistema y qué evidencias quedan. Este enfoque fortalece la preparación para responder a incidentes reales con mayor
eficacia.