Análisis de Malware en Windows
IntermedioWINDOWS
Investigación de un sistema Windows comprometido por malware
Objetivo
Identificar y analizar el malware presente en el sistema, determinar su comportamiento y alcance
1. Información del Sistema
Recopilar información básica del sistema comprometido
vol.py -f memoria.raw windows.info
vol.py -f memoria.raw windows.pslist
vol.py -f memoria.raw windows.netstat
- windows.info nos proporciona información general del sistema
- pslist muestra los procesos activos
- netstat revela conexiones de red activas
2. Análisis de Procesos
Identificar procesos sospechosos
vol.py -f memoria.raw windows.pstree
vol.py -f memoria.raw windows.cmdline
vol.py -f memoria.raw windows.handles
- pstree muestra la jerarquía de procesos
- cmdline revela los argumentos de línea de comandos
- handles muestra los recursos utilizados por los procesos
Conclusiones
- Identificación de procesos maliciosos
- Determinación del vector de infección
- Evaluación del impacto en el sistema
Herramientas Utilizadas
Volatility3Process ExplorerWireshark
Detección de Rootkit en Linux
AvanzadoLINUX
Investigación de un servidor Linux comprometido por un rootkit
Objetivo
Detectar y analizar un rootkit en un servidor Linux
1. Verificación de Integridad
Comprobar la integridad del sistema
vol.py -f memoria.raw linux.check_syscall
vol.py -f memoria.raw linux.check_afinfo
vol.py -f memoria.raw linux.check_modules
- check_syscall verifica la tabla de llamadas al sistema
- check_afinfo analiza los filtros de red
- check_modules examina los módulos del kernel
Conclusiones
- Identificación de hooks maliciosos
- Determinación del tipo de rootkit
- Evaluación de la persistencia
Herramientas Utilizadas
Volatility3rkhunterchkrootkit
Análisis Forense en MacOS
IntermedioMAC
Investigación de un sistema MacOS comprometido
Objetivo
Realizar un análisis forense completo de un sistema MacOS
1. Información del Sistema
Recopilar información básica del sistema
vol.py -f memoria.raw mac.info
vol.py -f memoria.raw mac.pslist
vol.py -f memoria.raw mac.netstat
- mac.info proporciona información del sistema
- pslist muestra procesos activos
- netstat revela conexiones de red
Conclusiones
- Identificación de procesos maliciosos
- Análisis de actividad de red
- Evaluación de la seguridad del sistema
Herramientas Utilizadas
Volatility3Activity MonitorConsole
Investigación de Fuga de Datos
AvanzadoWINDOWS
Análisis de una posible fuga de datos en un sistema Windows
Objetivo
Investigar una posible fuga de datos sensibles
1. Análisis de Memoria
Buscar indicios de fuga de datos
vol.py -f memoria.raw windows.memmap
vol.py -f memoria.raw windows.dumpfiles
vol.py -f memoria.raw windows.filescan
- memmap muestra el mapeo de memoria
- dumpfiles extrae archivos de memoria
- filescan busca archivos en memoria
Conclusiones
- Identificación de archivos sensibles
- Determinación del método de fuga
- Evaluación del impacto
Herramientas Utilizadas
Volatility3FTK ImagerAutopsy
Análisis de Ataque Ransomware
AvanzadoWINDOWS
Investigación de un sistema afectado por ransomware
Objetivo
Analizar el impacto y comportamiento del ransomware
1. Análisis de Procesos
Identificar procesos relacionados con el ransomware
vol.py -f memoria.raw windows.pslist
vol.py -f memoria.raw windows.pstree
vol.py -f memoria.raw windows.cmdline
- pslist muestra procesos activos
- pstree revela la jerarquía de procesos
- cmdline muestra argumentos de línea de comandos
Conclusiones
- Identificación del ransomware
- Determinación del método de infección
- Evaluación de archivos afectados
Herramientas Utilizadas
Volatility3Process MonitorProcess Explorer
Investigación de Acceso No Autorizado
IntermedioLINUX
Análisis de un intento de acceso no autorizado en Linux
Objetivo
Investigar intentos de acceso no autorizado
1. Análisis de Autenticación
Examinar registros de autenticación
vol.py -f memoria.raw linux.bash
vol.py -f memoria.raw linux.check_syscall
vol.py -f memoria.raw linux.psaux
- bash muestra historial de comandos
- check_syscall verifica llamadas al sistema
- psaux muestra procesos con argumentos completos
Conclusiones
- Identificación de intentos de acceso
- Determinación del método de ataque
- Evaluación de la seguridad
Herramientas Utilizadas
Volatility3lastauth.log
Análisis de Botnet
AvanzadoWINDOWS
Investigación de un sistema comprometido como parte de una botnet
Objetivo
Analizar la participación del sistema en una botnet
1. Análisis de Red
Examinar actividad de red sospechosa
vol.py -f memoria.raw windows.netstat
vol.py -f memoria.raw windows.netscan
vol.py -f memoria.raw windows.sockets
- netstat muestra conexiones activas
- netscan revela conexiones de red
- sockets muestra sockets abiertos
Conclusiones
- Identificación de conexiones maliciosas
- Determinación del tipo de botnet
- Evaluación del alcance
Herramientas Utilizadas
Volatility3WiresharkNetstat
Investigación de Persistencia
AvanzadoWINDOWS
Análisis de mecanismos de persistencia en Windows
Objetivo
Identificar mecanismos de persistencia maliciosos
1. Análisis de Registro
Examinar entradas del registro
vol.py -f memoria.raw windows.hivelist
vol.py -f memoria.raw windows.printkey
vol.py -f memoria.raw windows.registry
- hivelist muestra hives del registro
- printkey muestra valores del registro
- registry analiza el registro completo
Conclusiones
- Identificación de mecanismos de persistencia
- Determinación del método de infección
- Evaluación de la persistencia
Herramientas Utilizadas
Volatility3RegeditAutoruns
Análisis de Keylogger
IntermedioWINDOWS
Investigación de un keylogger en un sistema Windows
Objetivo
Detectar y analizar un keylogger
1. Análisis de Procesos
Identificar procesos relacionados con el keylogger
vol.py -f memoria.raw windows.pslist
vol.py -f memoria.raw windows.handles
vol.py -f memoria.raw windows.memmap
- pslist muestra procesos activos
- handles revela recursos utilizados
- memmap muestra mapeo de memoria
Conclusiones
- Identificación del keylogger
- Determinación del método de captura
- Evaluación de datos comprometidos
Herramientas Utilizadas
Volatility3Process MonitorProcess Explorer
Investigación de Backdoor
AvanzadoLINUX
Análisis de un backdoor en un sistema Linux
Objetivo
Detectar y analizar un backdoor
1. Análisis de Red
Examinar conexiones sospechosas
vol.py -f memoria.raw linux.netstat
vol.py -f memoria.raw linux.psaux
vol.py -f memoria.raw linux.check_syscall
- netstat muestra conexiones de red
- psaux revela procesos con argumentos
- check_syscall verifica llamadas al sistema
Conclusiones
- Identificación del backdoor
- Determinación del método de acceso
- Evaluación de la seguridad
Herramientas Utilizadas
Volatility3netstatlsof
Análisis de Malware en Red
AvanzadoWINDOWS
Investigación de malware que se propaga en red
Objetivo
Analizar la propagación de malware en red
1. Análisis de Red
Examinar actividad de red maliciosa
vol.py -f memoria.raw windows.netscan
vol.py -f memoria.raw windows.sockets
vol.py -f memoria.raw windows.connections
- netscan muestra conexiones de red
- sockets revela sockets abiertos
- connections muestra conexiones activas
Conclusiones
- Identificación de propagación
- Determinación del método de infección
- Evaluación del alcance
Herramientas Utilizadas
Volatility3WiresharkNetwork Monitor
Investigación de Credenciales Robadas
AvanzadoWINDOWS
Análisis de robo de credenciales en Windows
Objetivo
Investigar el robo de credenciales
1. Análisis de Memoria
Buscar credenciales en memoria
vol.py -f memoria.raw windows.mimikatz
vol.py -f memoria.raw windows.hashdump
vol.py -f memoria.raw windows.lsadump
- mimikatz extrae credenciales
- hashdump muestra hashes de contraseñas
- lsadump revela secretos LSA
Conclusiones
- Identificación de credenciales comprometidas
- Determinación del método de robo
- Evaluación del impacto
Herramientas Utilizadas
Volatility3MimikatzCredential Manager
Análisis de Malware en MacOS
IntermedioMAC
Investigación de malware en sistema MacOS
Objetivo
Analizar malware en sistema MacOS
1. Análisis de Procesos
Identificar procesos maliciosos
vol.py -f memoria.raw mac.pslist
vol.py -f memoria.raw mac.pstree
vol.py -f memoria.raw mac.malfind
- pslist muestra procesos activos
- pstree revela jerarquía de procesos
- malfind busca código malicioso
Conclusiones
- Identificación del malware
- Determinación del comportamiento
- Evaluación del impacto
Herramientas Utilizadas
Volatility3Activity MonitorConsole
Investigación de Ataque DDoS
AvanzadoLINUX
Análisis de participación en ataques DDoS
Objetivo
Investigar participación en ataques DDoS
1. Análisis de Red
Examinar tráfico de red sospechoso
vol.py -f memoria.raw linux.netstat
vol.py -f memoria.raw linux.psaux
vol.py -f memoria.raw linux.sockets
- netstat muestra conexiones de red
- psaux revela procesos con argumentos
- sockets muestra sockets abiertos
Conclusiones
- Identificación de tráfico malicioso
- Determinación del tipo de ataque
- Evaluación del impacto
Herramientas Utilizadas
Volatility3tcpdumpWireshark
Análisis de Malware Persistente
AvanzadoWINDOWS
Investigación de malware con persistencia en Windows
Objetivo
Analizar malware con mecanismos de persistencia
1. Análisis de Registro
Examinar mecanismos de persistencia
vol.py -f memoria.raw windows.hivelist
vol.py -f memoria.raw windows.printkey
vol.py -f memoria.raw windows.registry
- hivelist muestra hives del registro
- printkey revela valores del registro
- registry analiza el registro completo
Conclusiones
- Identificación de mecanismos de persistencia
- Determinación del método de infección
- Evaluación de la persistencia
Herramientas Utilizadas
Volatility3AutorunsRegedit
Investigación de Malware en Red
AvanzadoWINDOWS
Análisis de malware que se propaga en red
Objetivo
Analizar la propagación de malware en red
1. Análisis de Red
Examinar actividad de red maliciosa
vol.py -f memoria.raw windows.netscan
vol.py -f memoria.raw windows.sockets
vol.py -f memoria.raw windows.connections
- netscan muestra conexiones de red
- sockets revela sockets abiertos
- connections muestra conexiones activas
Conclusiones
- Identificación de propagación
- Determinación del método de infección
- Evaluación del alcance
Herramientas Utilizadas
Volatility3WiresharkNetwork Monitor
Análisis de Malware en Linux
IntermedioLINUX
Investigación de malware en sistema Linux
Objetivo
Analizar malware en sistema Linux
1. Análisis de Procesos
Identificar procesos maliciosos
vol.py -f memoria.raw linux.pslist
vol.py -f memoria.raw linux.pstree
vol.py -f memoria.raw linux.malfind
- pslist muestra procesos activos
- pstree revela jerarquía de procesos
- malfind busca código malicioso
Conclusiones
- Identificación del malware
- Determinación del comportamiento
- Evaluación del impacto
Herramientas Utilizadas
Volatility3pstop
Investigación de Ataque de Red
AvanzadoLINUX
Análisis de ataque de red en sistema Linux
Objetivo
Investigar ataque de red
1. Análisis de Red
Examinar actividad de red maliciosa
vol.py -f memoria.raw linux.netstat
vol.py -f memoria.raw linux.psaux
vol.py -f memoria.raw linux.sockets
- netstat muestra conexiones de red
- psaux revela procesos con argumentos
- sockets muestra sockets abiertos
Conclusiones
- Identificación del ataque
- Determinación del método
- Evaluación del impacto
Herramientas Utilizadas
Volatility3tcpdumpWireshark
Análisis de Malware en Windows
IntermedioWINDOWS
Investigación de malware en sistema Windows
Objetivo
Analizar malware en sistema Windows
1. Análisis de Procesos
Identificar procesos maliciosos
vol.py -f memoria.raw windows.pslist
vol.py -f memoria.raw windows.pstree
vol.py -f memoria.raw windows.malfind
- pslist muestra procesos activos
- pstree revela jerarquía de procesos
- malfind busca código malicioso
Conclusiones
- Identificación del malware
- Determinación del comportamiento
- Evaluación del impacto
Herramientas Utilizadas
Volatility3Process ExplorerProcess Monitor
Investigación de Malware en Red
AvanzadoWINDOWS
Análisis de malware que se propaga en red
Objetivo
Analizar la propagación de malware en red
1. Análisis de Red
Examinar actividad de red maliciosa
vol.py -f memoria.raw windows.netscan
vol.py -f memoria.raw windows.sockets
vol.py -f memoria.raw windows.connections
- netscan muestra conexiones de red
- sockets revela sockets abiertos
- connections muestra conexiones activas
Conclusiones
- Identificación de propagación
- Determinación del método de infección
- Evaluación del alcance
Herramientas Utilizadas
Volatility3WiresharkNetwork Monitor
Análisis Básico de Windows
BasicoWINDOWS
Introducción al análisis forense en Windows
Objetivo
Realizar un análisis básico de un sistema Windows
1. Información del Sistema
Obtener información básica del sistema
vol.py -f memoria.raw windows.info
vol.py -f memoria.raw windows.pslist
vol.py -f memoria.raw windows.netstat
- windows.info muestra información general del sistema
- pslist lista los procesos activos
- netstat muestra conexiones de red
Conclusiones
- Comprensión básica del sistema
- Identificación de procesos normales
- Reconocimiento de conexiones de red
Herramientas Utilizadas
Volatility3Task Manager
Análisis Básico de Linux
BasicoLINUX
Introducción al análisis forense en Linux
Objetivo
Realizar un análisis básico de un sistema Linux
1. Información del Sistema
Obtener información básica del sistema
vol.py -f memoria.raw linux.info
vol.py -f memoria.raw linux.pslist
vol.py -f memoria.raw linux.netstat
- linux.info muestra información general del sistema
- pslist lista los procesos activos
- netstat muestra conexiones de red
Conclusiones
- Comprensión básica del sistema
- Identificación de procesos normales
- Reconocimiento de conexiones de red
Herramientas Utilizadas
Volatility3psnetstat
Análisis Básico de MacOS
BasicoMAC
Introducción al análisis forense en MacOS
Objetivo
Realizar un análisis básico de un sistema MacOS
1. Información del Sistema
Obtener información básica del sistema
vol.py -f memoria.raw mac.info
vol.py -f memoria.raw mac.pslist
vol.py -f memoria.raw mac.netstat
- mac.info muestra información general del sistema
- pslist lista los procesos activos
- netstat muestra conexiones de red
Conclusiones
- Comprensión básica del sistema
- Identificación de procesos normales
- Reconocimiento de conexiones de red
Herramientas Utilizadas
Volatility3Activity Monitor
Investigación de Troyano
AvanzadoWINDOWS
Análisis de un troyano en sistema Windows
Objetivo
Detectar y analizar un troyano
1. Análisis de Procesos
Identificar procesos relacionados con el troyano
vol.py -f memoria.raw windows.pslist
vol.py -f memoria.raw windows.pstree
vol.py -f memoria.raw windows.malfind
- pslist muestra procesos activos
- pstree revela jerarquía de procesos
- malfind busca código malicioso
Conclusiones
- Identificación del troyano
- Determinación del método de infección
- Evaluación del impacto
Herramientas Utilizadas
Volatility3Process MonitorProcess Explorer
Análisis de Spyware
IntermedioWINDOWS
Investigación de spyware en sistema Windows
Objetivo
Detectar y analizar spyware
1. Análisis de Procesos
Identificar procesos relacionados con el spyware
vol.py -f memoria.raw windows.pslist
vol.py -f memoria.raw windows.handles
vol.py -f memoria.raw windows.memmap
- pslist muestra procesos activos
- handles revela recursos utilizados
- memmap muestra mapeo de memoria
Conclusiones
- Identificación del spyware
- Determinación del método de recolección
- Evaluación de datos comprometidos
Herramientas Utilizadas
Volatility3Process MonitorProcess Explorer
Investigación de Adware
IntermedioWINDOWS
Análisis de adware en sistema Windows
Objetivo
Detectar y analizar adware
1. Análisis de Procesos
Identificar procesos relacionados con el adware
vol.py -f memoria.raw windows.pslist
vol.py -f memoria.raw windows.pstree
vol.py -f memoria.raw windows.cmdline
- pslist muestra procesos activos
- pstree revela jerarquía de procesos
- cmdline muestra argumentos de línea de comandos
Conclusiones
- Identificación del adware
- Determinación del método de infección
- Evaluación del impacto
Herramientas Utilizadas
Volatility3Process MonitorProcess Explorer
Análisis de Worm
AvanzadoWINDOWS
Investigación de un worm en sistema Windows
Objetivo
Detectar y analizar un worm
1. Análisis de Red
Examinar actividad de red maliciosa
vol.py -f memoria.raw windows.netscan
vol.py -f memoria.raw windows.sockets
vol.py -f memoria.raw windows.connections
- netscan muestra conexiones de red
- sockets revela sockets abiertos
- connections muestra conexiones activas
Conclusiones
- Identificación del worm
- Determinación del método de propagación
- Evaluación del alcance
Herramientas Utilizadas
Volatility3WiresharkNetwork Monitor
Investigación de Virus
AvanzadoWINDOWS
Análisis de un virus en sistema Windows
Objetivo
Detectar y analizar un virus
1. Análisis de Procesos
Identificar procesos relacionados con el virus
vol.py -f memoria.raw windows.pslist
vol.py -f memoria.raw windows.pstree
vol.py -f memoria.raw windows.malfind
- pslist muestra procesos activos
- pstree revela jerarquía de procesos
- malfind busca código malicioso
Conclusiones
- Identificación del virus
- Determinación del método de infección
- Evaluación del impacto
Herramientas Utilizadas
Volatility3Process MonitorProcess Explorer
Análisis de Malware en Red
AvanzadoWINDOWS
Investigación de malware que se propaga en red
Objetivo
Analizar la propagación de malware en red
1. Análisis de Red
Examinar actividad de red maliciosa
vol.py -f memoria.raw windows.netscan
vol.py -f memoria.raw windows.sockets
vol.py -f memoria.raw windows.connections
- netscan muestra conexiones de red
- sockets revela sockets abiertos
- connections muestra conexiones activas
Conclusiones
- Identificación de propagación
- Determinación del método de infección
- Evaluación del alcance
Herramientas Utilizadas
Volatility3WiresharkNetwork Monitor
Investigación de Malware en Red
AvanzadoWINDOWS
Análisis de malware que se propaga en red
Objetivo
Analizar la propagación de malware en red
1. Análisis de Red
Examinar actividad de red maliciosa
vol.py -f memoria.raw windows.netscan
vol.py -f memoria.raw windows.sockets
vol.py -f memoria.raw windows.connections
- netscan muestra conexiones de red
- sockets revela sockets abiertos
- connections muestra conexiones activas
Conclusiones
- Identificación de propagación
- Determinación del método de infección
- Evaluación del alcance
Herramientas Utilizadas
Volatility3WiresharkNetwork Monitor