Obtención y Uso de Hashes para Análisis de Malware

Clase 9 de 18Curso de Introducción al Análisis de Malware

Clase anteriorSiguiente clase

Resumen

¿Qué es un hash y por qué es importante?

Los hashes son un elemento fundamental en la identificación de archivos dentro del análisis de seguridad informática. Un hash es un identificador único para cada archivo, comparable a una huella digital. Su importancia radica en que permite identificar de forma precisa un archivo, incluso si hay varios que pueden parecer similares pero difieren en pequeños detalles.

  • Identificación única: Cada archivo tiene su propio hash, lo que lo distingue incluso entre archivos que pueden parecer iguales a simple vista.
  • Compartición de muestras: Los hashes son útiles al compartir muestras de malware sin necesidad de enviar el archivo completo, facilitando así la comunicación y el análisis colaborativo.

Los hashes permiten, además, buscar instantáneamente en Internet si alguien ya ha analizado un archivo en particular, obteniendo información valiosa sobre su origen y comportamiento sin necesidad de un análisis exhaustivo.

¿Cómo obtener los hashes de un archivo?

Para extraer los hashes de un archivo malicioso, es recomendable utilizar herramientas especializadas y el entorno apropiado. En el ámbito profesional, se suelen usar máquinas virtuales para llevar a cabo este tipo de análisis de manera segura y controlada.

Preparación del entorno

  1. Configura una máquina virtual: Utiliza plataformas como VirtualBox para trabajar en un ambiente seguro.
  2. Descarga el archivo malicioso: Preferiblemente desde una ubicación controlada dentro de la máquina virtual. Se encontrará comprimido para asegurar su integridad y protección durante la transferencia.
  3. Descompresión del archivo: Usa software como 7-zip para descomprimir, ya que podría estar protegido con contraseña. La contraseña se proporciona junto con el material de trabajo, generalmente es infected.

Herramientas recomendadas

  • PID: Un programa que facilita el análisis inicial del binario. Permite observar lenguajes de programación utilizados y la arquitectura del software.
  • CFF Explorer: Excelente para examinar encabezados y obtener los hashes necesarios sin necesidad de cálculos manuales. Ofrece una interfaz fácil de usar para arrastrar y soltar el archivo y obtener información detallada del mismo.

¿Qué información recoge PID del archivo?

PID es una herramienta útil para realizar un análisis inicial del archivo en cuestión. Provee información crucial como:

  • Lenguaje de programación: Identifica si está escrito en .NET, C#, u otros.
  • Punto de entrada y versión del Linker: Datos técnicos que ayudan a entender la estructura y el desarrollo del archivo.
  • Arquitectura del sistema: Informa si el archivo está diseñado para Windows 32 o 64 bits.

Toda esta información debe ser documentada meticulosamente, bien sea en herramientas como Notion o simplemente en un bloc de notas, para futuras referencias o reportes detallados.

¿Cómo instala y usa el programa CFF Explorer?

Para usuarios que deben instalar CFF Explorer, el proceso es directo:

  1. Ejecuta el instalador: Doble clic y sigue las instrucciones (siguiente, siguiente) hasta completar la instalación.
  2. Abrir el archivo malicioso: Puedes arrastrar el archivo directamente al programa o usar la opción de abrir archivo desde el menú.

CFF Explorer no solo proporciona el hash de manera automática, sino que también muestra una variedad de encabezados e información relevante que facilita el análisis de malware sin requerir que el analista lo haga manualmente, ahorrando tiempo en el proceso.

Con estos pasos y herramientas, los profesionales pueden recopilar y gestionar información crítica sobre archivos potencialmente maliciosos de una manera sistemática y eficiente. ¡Continúa explorando y aprendiendo! El campo de la seguridad informática siempre tiene algo nuevo que ofrecer.