Análisis de malware
¿Qué es Análisis de malware?
Análisis de malwareEstudio estructurado de una muestra maliciosa para comprender su funcionamiento, origen, indicadores de compromiso e impacto sobre los sistemas afectados.
El análisis de malware combina técnicas estáticas, dinámicas y de comportamiento. El análisis estático inspecciona cadenas, imports, cabeceras y desensamblado sin ejecutar el binario (PE-bear, CFF Explorer, capa, YARA). El análisis dinámico ejecuta la muestra en una sandbox aislada (Cuckoo, ANY.RUN, Joe Sandbox, FLARE-VM) y registra árboles de procesos, balizas de red, cambios en el Registro y archivos creados. Los análisis profundos pasan a depuración y reversing con IDA Pro, Ghidra o x64dbg, mientras que el triaje automatizado emplea YARA, Capa y hashing por similitud ssdeep. Los resultados alimentan IoC, mapeos ATT&CK, reglas de detección y guías de remediación.
● Ejemplos
- 01
Detonar un .docm sospechoso en una sandbox Cuckoo y extraer URLs C2 del tráfico de red.
- 02
Realizar ingeniería inversa de un loader en Ghidra para identificar la rutina de hashing de API y la carga descifrada.
● Preguntas frecuentes
¿Qué es Análisis de malware?
Estudio estructurado de una muestra maliciosa para comprender su funcionamiento, origen, indicadores de compromiso e impacto sobre los sistemas afectados. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Análisis de malware?
Estudio estructurado de una muestra maliciosa para comprender su funcionamiento, origen, indicadores de compromiso e impacto sobre los sistemas afectados.
¿Cómo defenderse de Análisis de malware?
Las defensas contra Análisis de malware combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Análisis de malware?
Nombres alternativos comunes: Ingeniería inversa de malware, Análisis de muestras.