Identificar un archivo malicioso de forma inequívoca es el primer paso en cualquier análisis de malware. Los hashes funcionan como huellas digitales únicas que permiten etiquetar, compartir y rastrear muestras sin necesidad de distribuir el archivo original. A continuación se explica cómo obtenerlos y por qué son fundamentales en una investigación.
¿Para qué sirve el hash en el análisis de malware?
El hash cumple dos propósitos principales dentro del flujo de trabajo forense [0:18].
- Etiquetado del archivo: cada archivo posee un hash único. Cualquier cambio, por mínimo que sea, genera un valor completamente diferente. Esto permite distinguir variantes de una misma familia de malware.
- Búsqueda de inteligencia existente: con solo copiar el hash y pegarlo en un buscador o en plataformas especializadas, es posible encontrar análisis previos, indicadores de compromiso y reportes de otros investigadores sin necesidad de cargar la muestra en una sandbox [0:52].
Esta capacidad de compartir un identificador en lugar del binario agiliza la colaboración entre equipos de seguridad y facilita el rastreo de grupos criminales.
¿Cómo preparar la muestra en la máquina virtual?
Todo el proceso ocurre dentro de una máquina virtual con VirtualBox y una versión reciente de Windows [1:13]. La muestra llega comprimida y protegida con contraseña, por lo que es necesario seguir estos pasos:
- Descargar el archivo del reto y ubicarlo en la carpeta de descargas.
- Usar Seven Zip para descomprimirlo, ya que el descompresor nativo de Windows no maneja correctamente archivos protegidos [1:35].
- Ingresar la contraseña proporcionada en los recursos de la clase (en este caso, infected).
Una vez extraído, el binario malicioso queda listo para ser analizado.
¿Qué información revela PeID sobre el binario?
Para una primera inspección se utiliza PeID, un programa que identifica con qué lenguaje y para qué arquitectura fue compilado un ejecutable [2:09]. Se puede abrir arrastrando el archivo sobre la ventana del programa o mediante el menú Archivo > Abrir.
Al cargar la muestra, PeID reveló datos clave [2:40]:
- El malware está escrito en .NET / C#.
- Fue compilado para la arquitectura Windows 32 bits (x86).
- Muestra el entry point y la versión del linker.
Esta información sobre la arquitectura es relevante porque determina en qué entornos puede ejecutarse la muestra. Un binario de 32 bits se comporta de forma distinta a uno de 64 bits, y eso influye en las herramientas que se usarán más adelante.
¿Cómo obtener el hash con CFF Explorer?
CFF Explorer es otra herramienta esencial en el análisis estático de ejecutables portables (PE files) [3:13]. Su instalación es sencilla y, al abrir el binario, despliega a la izquierda todos los encabezados del formato PE.
Lo más práctico es que CFF Explorer calcula automáticamente los hashes del archivo sin necesidad de recurrir a la línea de comandos [3:40]. Solo hay que:
- Abrir el programa y cargar el ejecutable malicioso.
- Ubicar la sección donde se muestran los valores de hash.
- Copiar el hash y guardarlo en las notas del análisis.
Para documentar los hallazgos se puede utilizar cualquier herramienta, desde Notion hasta un simple bloc de notas [3:05]. Lo importante es mantener un registro ordenado que incluya hashes, lenguaje de desarrollo, arquitectura y cualquier otro dato relevante.
¿Por qué buscar información antes de ejecutar el malware?
Antes de diseccionar encabezados o ejecutar la muestra en un entorno controlado, conviene rastrear el hash en fuentes abiertas [4:05]. Cuando se trata de un grupo criminal conocido, es probable que otros analistas ya hayan publicado reportes, reglas de detección o indicadores de compromiso asociados.
Este paso de recopilación de inteligencia de amenazas (threat intelligence) ahorra tiempo y aporta contexto valioso que guía el resto del análisis. En la siguiente sesión se abordará precisamente cómo convertir ese hash en información accionable.
¿Ya obtuviste el hash de tu muestra? Comparte en los comentarios qué herramienta te resultó más práctica.
