Capturar y analizar el tráfico de red que genera un archivo sospechoso es una de las técnicas más reveladoras dentro del análisis dinámico de malware. A diferencia del análisis estático, aquí se ejecuta el software malicioso en un entorno controlado para observar su comportamiento real en la red, lo que permite identificar conexiones, protocolos y direcciones IP que podrían ser indicadores de compromiso.
¿Cómo preparar el entorno para capturar tráfico malicioso?
Antes de ejecutar cualquier muestra sospechosa, es fundamental trabajar dentro de una máquina virtual aislada. Esto garantiza que el malware no afecte tu sistema principal y que todo el tráfico generado quede contenido en un ambiente seguro.
El paso inicial consiste en tomar el archivo previamente extraído durante el análisis estático y guardarlo con una extensión ejecutable. En este caso, el archivo array2 se renombra como koi.exe [01:00], lo que permite ejecutarlo directamente y observar qué tipo de comunicaciones de red produce.
Con el ejecutable listo, se abre Wireshark, la herramienta protagonista de esta fase. Wireshark es un sniffer de red, es decir, un programa diseñado para interceptar y mostrar todo el tráfico que pasa por tu interfaz de red [01:27]. Dado que necesita acceso completo a los paquetes de red, debe ejecutarse como administrador.
¿Qué es Wireshark y cómo se usa para analizar malware?
Wireshark captura paquetes de red en tiempo real y los presenta de forma organizada para su análisis. Su nombre proviene del icono azul con forma de aleta de tiburón que aparece en la interfaz [01:42].
El flujo de trabajo es directo:
- Iniciar la captura de paquetes presionando el botón azul en la barra superior.
- Ejecutar el archivo sospechoso (
koi.exe) haciendo doble clic [01:55].
- Esperar un tiempo prudente para que el malware realice sus acciones de red.
- Detener la captura con el botón rojo junto al botón de inicio [02:22].
Una vez detenida la captura, comienza la parte analítica. Dentro del menú Estadísticas > Conversaciones [02:30] se pueden observar todas las direcciones IP con las que el ejecutable intentó comunicarse. Aquí se evalúan varios indicadores:
- La cantidad de bytes enviados y recibidos.
- La duración de los paquetes intercambiados.
- Las direcciones IP de destino y si corresponden a servidores conocidos o sospechosos.
¿Cómo filtrar conexiones TCP sospechosas?
Otro recurso clave es el uso de filtros en Wireshark. Escribir tcp en la barra de filtros [02:57] permite aislar únicamente las conexiones que utilizan el protocolo TCP. Esto cobra especial relevancia cuando, durante el análisis estático previo, ya se había identificado que el malware intentaba establecer una conexión TCP [03:03].
Comprender las fases del protocolo TCP, como el proceso de three-way handshake, resulta esencial para distinguir entre tráfico legítimo y comunicaciones maliciosas. La tarea del analista consiste precisamente en determinar cuáles conexiones son benignas y cuáles representan actividad maliciosa [02:47].
¿Por qué el análisis dinámico complementa al análisis estático?
El análisis dinámico requiere la ejecución real del software malicioso [03:22], lo que lo diferencia fundamentalmente del análisis estático donde solo se examina el código sin ejecutarlo. Esta ejecución controlada revela comportamientos que no siempre son visibles en el código fuente: conexiones a servidores de comando y control, exfiltración de datos o descargas de componentes adicionales.
Wireshark es solo una de las muchas herramientas disponibles para este tipo de análisis. Dominar su uso representa un paso sólido para quienes buscan desarrollar una carrera como analista de malware, combinando conocimientos de protocolos de red, seguridad informática y análisis forense.
Si te interesa profundizar en las diferencias entre análisis básico y avanzado, o conocer más herramientas especializadas, comparte en los comentarios qué aspecto del análisis de malware te genera más curiosidad.
