Análisis de Malware Troyano Moderno: Guía Técnica 2025

El malware troyano, también conocido como Trojan Horse Malware, es una clase de software malicioso que, bajo la apariencia de una herramienta legítima e inofensiva, ejecuta en segundo plano acciones dañinas como la exfiltración de información confidencial, la modificación del sistema o el control remoto. Un análisis de malware troyano revela que las versiones modernas incorporan características avanzadas, tales como:

Evasión de seguridad mediante la detección de sandboxes, entornos virtualizados y depuradores.
Persistencia multicapa (Registro, Inicio, Programador de tareas, WMI).
Desactivación de software de seguridad (finalización forzada de procesos y manipulación del Firewall).
Recepción de comandos y comportamiento dinámico a través de comunicación C&C (Comando y Control).
Envío de datos del navegador, capturas de pantalla, pulsaciones de teclas e información de archivos.
Persistencia y ocultación de rastros mediante autoactualización y autoborrado.

En este artículo, utilizaremos como material de estudio una muestra de malware troyano basado en Node.js, analizado y ampliado por nosotros, para explicar los siguientes puntos:

Vectores de infección y arquitectura general del malware.
Código fuente del malware analizado y funciones complementarias.
Implementación de la carga útil (payload) del C2 por funcionalidad y su comportamiento en ejecución.
Técnicas de contramedida con EDR, reglas de Sysmon y estrategias de integración con SIEM para cada función.
Plantilla de informe forense (inglés/japonés).
Problemas y soluciones de CTF para ejercicios Red Team vs. Blue Team.
Ejemplo de construcción de reglas YARA para malware y herramientas de generación automática.

El contenido y el código presentados en este artículo son exclusivamente para fines educativos y de investigación. Queda estrictamente prohibido su uso, modificación o adaptación con fines maliciosos.

Flujo de Infección y Operación de un Malware Troyano. — Desde la infección inicial hasta la ejecución de payloads como keylogging y la comunicación C2.

Conceptos Clave en el Análisis de Malware
Vectores de Infección y Ciclo de Vida del Troyano
- 1.1. Detalles de los vectores de infección
- 1.2. Arquitectura Post-Infección: El Ciclo de Vida del Malware
Análisis Estructural y Código Fuente del Malware Troyano
Análisis del Payload del C2 y su Comportamiento
Creación de Reglas YARA para la Detección del Troyano
Herramientas y Escenarios para Ejercicios Red Team vs. Blue Team
Plantilla de Informe Forense y Prácticas para CSIRT
Aplicaciones Prácticas y Siguientes Pasos
Resumen

Tabla de Contenido

Conceptos Clave en el Análisis de Malware
Vectores de Infección y Ciclo de Vida del Troyano
- 1.1. Detalles de los vectores de infección
- 1.2. Arquitectura Post-Infección: El Ciclo de Vida del Malware
Análisis Estructural y Código Fuente del Malware Troyano
Análisis del Payload del C2 y su Comportamiento
Creación de Reglas YARA para la Detección del Troyano
Herramientas y Escenarios para Ejercicios Red Team vs. Blue Team
Plantilla de Informe Forense y Prácticas para CSIRT
Aplicaciones Prácticas y Siguientes Pasos
Resumen

Conceptos Clave en el Análisis de Malware

Para facilitar la comprensión de este análisis técnico, es fundamental conocer cierta terminología. En este artículo aparecen con frecuencia los siguientes términos y tecnologías. Su comprensión previa facilitará la lectura del texto.

Término	Significado
Servidor C2 (Comando y Control)	Servidor intermediario utilizado por el atacante para enviar comandos y recopilar información de forma remota.
EDR (Endpoint Detection & Response)	Producto de seguridad que monitoriza y registra comportamientos sospechosos en los endpoints para facilitar la respuesta a incidentes.
YARA	Lenguaje de descripción de reglas para identificar archivos o procesos basándose en patrones específicos. Para más información, puedes consultar la documentación oficial de YARA.
Sysmon	Herramienta de monitorización avanzada de sistemas Windows proporcionada por Microsoft. Permite registrar procesos, redes y operaciones de registro mediante identificadores de eventos. Puedes descargarla desde la página oficial de Sysinternals.
WMI (Windows Management Instrumentation)	Mecanismo para gestionar sistemas, configuraciones y aplicaciones de Windows a través de scripts o programas. A menudo se abusa de él para técnicas de persistencia de malware en Windows.
Malware sin archivos (Fileless)	Código de ataque que opera exclusivamente en memoria, sin dejar archivos en el disco.
Análisis forense (Forensics)	Técnicas para recopilar y analizar pruebas digitales (preservación de pruebas, análisis de la línea de tiempo, análisis de rastros, etc.).

Vectores de Infección y Ciclo de Vida del Troyano

1.1. Detalles de los vectores de infección

Este malware, al igual que los troyanos convencionales, infecta los sistemas objetivo mediante los siguientes métodos:

Método de infección	Descripción
Archivos adjuntos en correos	El malware se disfraza de utilidades con extensiones .exe o .js, o de archivos Word con macros como .docm, y se envía como archivo adjunto. Se ejecuta cuando el usuario hace doble clic sobre él.
Infección por USB	Se coloca un archivo `autorun.inf` + `payload.exe` en una unidad USB. En los PC configurados para la ejecución automática al insertar un USB, la infección comienza de forma automática.
Descarga involuntaria (Drive-by Download)	Al acceder a un sitio web legítimo comprometido o a publicidad maliciosa (Malvertising), se explota una vulnerabilidad para descargar y ejecutar el archivo automáticamente.
Distribución desde otro malware	Malware de tipo cargador (loader) como Emotet, SmokeLoader o IcedID puede desplegar y ejecutar este troyano como una segunda etapa de la infección.

1.2. Arquitectura Post-Infección: El Ciclo de Vida del Malware

Una vez producida la infección, el proceso se desarrolla por etapas, culminando en la comunicación con el servidor C2, la recepción de la carga útil y la exfiltración de información.

Esta estructura se caracteriza por no manifestar el daño de inmediato tras la infección, permitiendo que la exfiltración de información se realice de forma sigilosa sin que el usuario lo perciba. Pero esto es solo el principio.

A partir del próximo capítulo, se analizará la implementación completa del código y las funciones de este malware.

Análisis Estructural y Código Fuente del Malware Troyano

En este capítulo se explicará de forma detallada y progresiva la estructura general, el flujo de procesamiento, el código completo y la intención del malware troyano basado en Node.js objeto de este análisis.

Este código ha sido modificado con fines educativos y simula una estructura muy próxima al comportamiento de un troyano real.

2.1. Arquitectura del núcleo

El malware está estructurado de la siguiente manera:

legitimateApplication(): Simula una aplicación legítima para engañar al usuario con una interfaz de usuario.
initialize(): Tras verificar el entorno de ejecución, inicia los procesos maliciosos en segundo plano.
detectSandbox(), detectVM(), detectDebugger(): Funciones de detección para la evasión de sandbox y otros análisis. El uso de entornos virtualizados en ciberseguridad es una práctica común para el análisis dinámico de malware.
disableSecuritySoftware(): Finaliza procesos de software de seguridad y modifica el Firewall.
establishPersistence(): Añade claves Run, copia a carpetas de inicio, crea tareas programadas y utiliza WMI.
connectToC2Server(): Comunicación HTTPS, envío de información del sistema y recepción de comandos.
executeCommands(): Selección y ejecución de los comandos de la carga útil recibida.

Diagrama de la arquitectura funcional de un malware troyano. — Visualización de la interacción entre los módulos de evasión, persistencia y ejecución del troyano.

2.2. Diagrama de Flujo de Ejecución del Troyano

Inicio
 ├── Muestra UI para el usuario (apariencia legítima)
 ├── Detección del entorno de ejecución (VM/Debug/Sandbox)
 │   └─ Si se detecta → Ejecuta solo la simulación
 ├── Desactivación de software de seguridad
 ├── Establecimiento de persistencia (claves Run, etc.)
 ├── Envío de información al servidor C2
 └── Ejecución dinámica de la carga útil según el comando (keylog, screenshot, etc.)

2.3. Desglose Funcional del Código Malicioso

1. Fase de inicialización

legitimateApplication(): Proporciona la funcionalidad legítima simulada que se muestra al usuario.
initialize(): Inicializa el malware, gestionando la detección del entorno de análisis y el momento de ejecución de las funciones.

2. Sistema de evasión de análisis

detectSandbox(): Detecta entornos de análisis como Cuckoo Sandbox o Sandboxie.
detectVM(): Detecta entornos virtuales como VMware o VirtualBox.
detectDebugger(): Mide el tiempo y analiza para detectar la presencia de un depurador.

3. Sistema de persistencia

establishPersistence(): Asegura la supervivencia tras el reinicio del sistema mediante múltiples métodos:
- Adición de claves de registro, una técnica documentada en MITRE ATT&CK como T1546.003.
- Copia en la carpeta de inicio.
- Creación de tareas programadas.
- Persistencia WMI (método avanzado). Para cazar estas técnicas, herramientas como PersistenceSniper son extremadamente útiles.

4. Sistema de desactivación de defensas

disableSecuritySoftware(): Desactiva el software de seguridad.
elevatePrivileges(): Intenta obtener privilegios de administrador.
killProcesses(): Finaliza procesos relacionados con la seguridad.

5. Sistema de comunicación C&C

connectToC2Server(): Intenta conectar con múltiples servidores de respaldo (fallback).
encryptData(): Cifra los datos a enviar.
decryptData(): Descifra los datos recibidos.

6. Sistema de ejecución de comandos

executeCommands(): Interpreta y ejecuta los comandos recibidos del servidor C&C.

7. Sistema de ejecución de la carga útil (payload)

Módulos de recopilación de información:
- collectBrowserData(): Recopila credenciales de los navegadores.
- collectSensitiveFiles(): Recopila archivos confidenciales.
Módulos de vigilancia:
- startKeylogger(): Registra las pulsaciones de teclas.
- captureScreen(): Obtiene capturas de pantalla.
Módulos de extensión y control:
- downloadModule()/executeModule(): Descarga y ejecuta funcionalidades adicionales.
- updateSelf(): Funcionalidad de autoactualización.

8. Funcionalidad de autoborrado

removeTracks(): Elimina los rastros de actividad.
selfDestruct(): Borra el propio malware.

Esta estructura representa un patrón de diseño común en troyanos y refleja el ciclo de vida típico de un ciberataque: intrusión → evasión de defensas → persistencia → recopilación de información → comunicación externa.

En la siguiente sección, se analizará en detalle la estructura y la intención de ejecución del código (JavaScript/Node.js) que implementa esta arquitectura, función por función.

2.4. Código Fuente del Malware (Versión Educativa)

A continuación, se presenta una versión simplificada del código del malware analizado con fines educativos.

Este código ha sido modificado para ser inofensivo y no funciona como malware. Queda estrictamente prohibida la modificación y el uso malintencionado del código.

Dado que el código es muy extenso, en el próximo capítulo se explicará el funcionamiento de cada función, las contramedidas de EDR, los puntos de detección y los marcadores YARA correspondientes.

// Código de troyano neutralizado
// La funcionalidad real ha sido reemplazada por una implementación simulada simple

// Función de la aplicación legítima
function legitimateApplication() {
  console.log("Iniciando la utilidad de escaneo del sistema...");
  displayProgressBar();
  return "Escaneo completado: el sistema funciona correctamente";
}

// Función de inicialización
(function initialize() {
  // Detección de entorno
  if (detectSandbox() || detectVM() || detectDebugger()) {
    legitimateApplication();
    return;
  }

  // Ejecuta la función legítima
  const result = legitimateApplication();
  console.log(result);

  // Neutraliza la parte maliciosa original
  setTimeout(() => {
    try {
      // Reemplaza todas las funciones con implementaciones inofensivas
      simulateSecurityCheck();
      simulateConfigBackup();
      const serverResponse = simulateUpdateCheck();
      processUpdateCommands(serverResponse);
    } catch (error) {
      console.log("Se ha producido un error:", error);
    }
  }, 5000);
})();

// Funciones de detección de entorno - Implementación inofensiva
function detectSandbox() {
  console.log("Comprobación de detección de entorno virtual (sandbox)");
  return false; // Siempre devuelve que no se detecta
}

function detectVM() {
  console.log("Comprobación de detección de entorno virtual (máquina virtual)");
  return false; // Siempre devuelve que no se detecta
}

function detectDebugger() {
  console.log("Comprobación de detección de depurador");
  return false; // Siempre devuelve que no se detecta
}

// Procesamiento relacionado con la seguridad - Implementación inofensiva
function simulateSecurityCheck() {
  console.log("Verificando la configuración de seguridad...");

  // Implementación inofensiva
  const securityStatus = {
    firewall: "Activado",
    antivirus: "Actualizado",
    updates: "Instaladas"
  };

  console.log("Configuración de seguridad: ", securityStatus);
  return securityStatus;
}

// Función de copia de seguridad de configuración - Implementación inofensiva
function simulateConfigBackup() {
  console.log("Creando copia de seguridad de la configuración del sistema...");

  // Implementación inofensiva - en realidad no hace nada
  const configData = {
    timestamp: new Date().toISOString(),
    settings: "Copia de seguridad de la configuración del sistema (simulación)"
  };

  console.log("Copia de seguridad completada:", configData.timestamp);
  return true;
}

// Función de comprobación de actualizaciones - Implementación inofensiva
function simulateUpdateCheck() {
  console.log("Comprobando actualizaciones...");

  // Implementación inofensiva
  const mockResponse = {
    command: 'check_system',
    params: { 
      type: 'performance',
      action: 'analyze'
    }
  };

  console.log("Estado de la actualización: Ya tienes la última versión");
  return mockResponse;
}

// Procesamiento de comandos - Implementación inofensiva
function processUpdateCommands(response) {
  console.log("Procesando comando del sistema...");

  const { command, params } = response;
  console.log(`Comando recibido: ${command}, Parámetros:`, params);

  switch (command) {
    case 'check_system':
      console.log("Ejecutando comprobación del sistema...");
      if (params.type === 'performance') {
        console.log("Ejecutando análisis de rendimiento...");
      }
      break;

    case 'optimize':
      console.log("Ejecutando proceso de optimización...");
      break;

    default:
      console.log("Comando desconocido, se ignora");
  }

  console.log("Procesamiento de comandos completado");
}

// Utilidad de visualización
function displayProgressBar() {
  console.log('[                    ] 0%');
  setTimeout(() => console.log('[=====               ] 25%'), 500);
  setTimeout(() => console.log('[==========          ] 50%'), 1000);
  setTimeout(() => console.log('[===============     ] 75%'), 1500);
  setTimeout(() => console.log('[====================] 100%'), 2000);
}

// Reemplazo de funciones existentes en el código original con stubs inofensivos
function checkForProcesses() { 
  console.log("Comprobación de procesos (simulación)");
  return false; 
}

function checkForHardwareIds() { 
  console.log("Comprobación de ID de hardware (simulación)");
  return false; 
}

function checkForDebugger() { 
  console.log("Comprobación de depurador (simulación)");
  return false; 
}

function elevatePrivileges() { 
  console.log("Comprobación de privilegios (simulación)");
  return true; 
}

function exploitVulnerability() { 
  console.log("Comprobación de seguridad (simulación)");
}

function killProcesses() { 
  console.log("Gestión de procesos (simulación)");
}

function modifyFirewallRules() { 
  console.log("Verificación de configuración del firewall (simulación)");
}

function addToRegistry() { 
  console.log("Guardado de configuración (simulación)");
}

function getStartupFolder() { 
  console.log("Verificación de la carpeta de inicio (simulación)");
  return "./startup"; 
}

function copyFile() { 
  console.log("Copia de seguridad de archivos (simulación)");
}

function createScheduledTask() { 
  console.log("Verificación de programación de tareas (simulación)");
}

function createWMIPersistence() { 
  console.log("Persistencia de la configuración (simulación)");
}

function getHostname() { 
  return "localhost"; 
}

function getUsername() { 
  return "demo_user"; 
}

function getOSVersion() { 
  return "Demo OS 1.0"; 
}

function getInstalledSecuritySoftware() { 
  return ["Demo Security"]; 
}

function generateMachineId() { 
  return "DEMO-ID-123456"; 
}

function sendHttpRequest() { 
  console.log("Comprobación de actualizaciones (simulación)");
  return { status: 200, data: "dGVzdA==" }; // "test" codificado en Base64
}

function encryptData(data) {
  console.log("Cifrado de datos (simulación):", data);
  return btoa(data); // Codificación simple en Base64
}

function decryptData(data) {
  console.log("Descifrado de datos (simulación)");
  try {
    // Decodificación simple de Base64
    return JSON.parse(atob(data));
  } catch (e) {
    return { command: 'check_system', params: { type: 'default' } };
  }
}

function sendToC2Server() { 
  console.log("Conectando al servidor de actualizaciones (simulación)");
}

function collectBrowserData() { 
  console.log("Comprobación de compatibilidad del navegador (simulación)");
  return { compatible: true }; 
}

function collectSensitiveFiles() { 
  console.log("Comprobación de copia de seguridad de archivos importantes (simulación)");
  return { backupNeeded: false }; 
}

function downloadModule() { 
  console.log("Comprobación de descarga de módulo (simulación)");
  return "./module.js"; 
}

function executeModule() { 
  console.log("Ejecución de módulo (simulación)");
}

function startKeylogger() { 
  console.log("Monitorización de entrada (simulación)");
}

function captureScreen() { 
  console.log("Captura de pantalla (simulación)");
  return "Datos de captura de pantalla (simulación)"; 
}

function updateSelf() { 
  console.log("Autoactualización (simulación)");
}

function removeTracks() { 
  console.log("Eliminación de archivos temporales (simulación)");
}

function selfDestruct() { 
  console.log("Finalización del programa (simulación)");
}

※ En la siguiente sección se explicará el concepto y la arquitectura de las funciones de utilidad complementarias, como checkForProcesses(), omitiendo el código por razones de seguridad.

2.5. Diseño Conceptual de las Funciones Auxiliares del Troyano

En esta sección, por motivos de seguridad y consideraciones éticas, se omitirá la publicación del código real y el análisis se centrará en la política de diseño conceptual y la estructura funcional.

Este malware se apoya en numerosas funciones auxiliares, clasificadas en las siguientes categorías:

🔍 1. Detección de entorno y evasión de análisis

Detección de procesos: Enumera y detecta procesos de entornos virtuales o sandboxes (p. ej., VBoxService, vmtoolsd).
Comprobación de ID de hardware: Verifica información de hardware específica de plataformas de virtualización (p. ej., VBOX, QEMU).
Detección de depurador: Determina de forma simple la presencia de un depurador a partir de diferencias en la velocidad de ejecución, flags de procesos o argumentos de Node.js.

🛡️ 2. Persistencia

Registro en el registro: Registra su propia ruta en la clave Run.
Ubicación en el inicio: Copia el archivo ejecutable en la carpeta de inicio (Startup).
Tarea programada: Crea una tarea que se ejecuta al iniciar sesión.
Uso de WMI: Crea un disparador asíncrono basado en scripts, técnica que se apoya en la documentación oficial de WMI de Microsoft.

🧪 3. Evasión y obstaculización de la seguridad

Finalización forzada de procesos: Termina (kill) procesos de productos de seguridad específicos (p. ej., Windows Defender, Kaspersky).
Modificación de reglas del Firewall: Añade reglas de excepción en el firewall para permitir su propia comunicación.

📡 4. Recopilación de información y comunicación C2

Obtención de información del sistema: Recopila nombre de host, nombre de usuario, versión del sistema operativo e información de productos de seguridad.
Envío cifrado: Cifra la información recopilada con un algoritmo simple XOR y Base64, y la envía al C2 mediante una petición POST.
Procesamiento de respuestas: Analiza y ejecuta el comando devuelto por el C2 (p. ej., keylog, download, screenshot).

🧠 5. Keylogger / Captura de pantalla

Registro de hook de teclado: Intercepta las pulsaciones de teclas de forma oculta.
Obtención de título de ventana: Registra el nombre de la aplicación que el usuario está utilizando.
Registro y monitorización de búfer: Activa el envío de datos cuando se supera un tamaño determinado.

📦 6. Autoactualización y eliminación de rastros

Obtención/ejecución de módulos: Obtiene módulos remotos y los ejecuta en memoria o desde un archivo.
Autoborrado/actualización: Descarga y reemplaza con una nueva versión, o elimina los rastros y finaliza su propia ejecución.

La coordinación de este conjunto de funciones aumenta la persistencia, flexibilidad y sigilo del malware. En la siguiente sección, se presentará la lógica de detección y una tabla de correspondencia desde la perspectiva de EDR y SIEM para estos diseños.

Análisis del Payload del C2 y su Comportamiento

En este capítulo se analiza la estructura de los comandos de la carga útil que el malware recibe del servidor C2 (Comando y Control) y los comportamientos típicos observados durante su ejecución.

3.1. Estructura de la respuesta del C2

Este malware recibe respuestas en formato JSON como la siguiente desde el C2, las analiza y ejecuta el comando correspondiente:

{
  "command": "keylog",
  "params": {}
}

3.2. Tipos de Payloads y Comandos del C2

Comando	Descripción
collect	Recopilación de datos confidenciales del navegador o de carpetas especificadas.
keylog	Registro de pulsaciones de teclas y envío al C2 tras acumular un búfer determinado.
screenshot	Toma una captura de pantalla, la codifica en Base64 y la envía.
download	Descarga y ejecución dinámica de un módulo desde una URL especificada.
update	Proceso de autoactualización (incluye reemplazo de archivo o reinicio).
uninstall	Ejecución de la eliminación de persistencia y autoborrado (incluye eliminación de archivos de historial y claves de registro).

3.3. Análisis del Comportamiento del Troyano con EDR y Forense

Carga útil (Payload)	Objeto de observación	Ejemplo de log/comportamiento
keylog	Creación de archivo + Comunicación	Incremento de archivos .log, peticiones POST al C2 a intervalos regulares.
screenshot	Imagen temporal + Envío HTTP	Creación de imagen en `%TEMP%`, comunicación POST con datos codificados en Base64.
download	Conexión externa + Creación de nuevo proceso	URL de destino, archivo ejecutable en `%APPDATA%` o `%TEMP%`, observable con EID 1.
update	Modificación del propio archivo	Cambio en los atributos del archivo, renombrado, registro de reinicio.
uninstall	Eliminación de archivo/clave + Finalización de proceso	Eliminación de clave Run, desaparición de archivo, observable con Sysmon EID 23, etc.

La detección de malware con Sysmon es clave para identificar estas actividades en tiempo real.

3.4. Escenario de Ataque: Un Proceso de Infección Típico

Inmediatamente después de la infección, se muestra una interfaz de usuario falsa para engañar al usuario.
Se verifica que no se está ejecutando en un entorno de VM o sandbox.
Se añade la configuración de persistencia y se desactivan las medidas de seguridad.
Se realiza la comunicación inicial con el C2, enviando información básica del sistema.
Se recibe {command: 'keylog'} del C2.
Se registran las acciones del usuario y se envían los logs.
Se recibe {command: 'screenshot'} del C2.
Se captura la ventana activa y se envía.

Creación de Reglas YARA para la Detección del Troyano

En este capítulo se explica cómo construir reglas de detección YARA basadas en el comportamiento, a partir de los patrones de estructura, funcionalidad y comunicación C2 analizados en los capítulos anteriores. Si no conoces esta herramienta, te recomendamos empezar por nuestro artículo sobre qué son las reglas YARA.

4.1. Estructura básica de las reglas YARA

YARA se define con la siguiente sintaxis:

rule ExampleRule {
  meta:
    description = "Descripción del propósito de la detección"
  strings:
    $a = "VBoxService.exe"
    $b = "reg add \"HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\""
    $c = /https:\/\/[^\s]+\/api\/update\.php/
  condition:
    any of ($a,$b,$c)
}

4.2. Indicadores de Compromiso para Reglas YARA

Categoría de comportamiento	Palabras clave o fragmentos de código característicos
Evasión de VM	`VBoxService`, `QEMU`, `VirtualBox`, etc.
Persistencia	`CurrentVersion\Run`, `reg add`
Comunicación C2	`/api/update.php`, `application/x-www-form-urlencoded`
Keylogger	`installKeyboardHook`, `appendToKeylogFile`
Captura de pantalla	`captureScreen`, `Base64.encode`
Autoborrado	`selfDestruct`, `deleteFile`, `cmd /c del`

Ejemplo de una regla YARA para la detección de malware — Estructura de una regla YARA, el pilar del análisis de patrones de malware.

4.3. Ejemplos de Reglas YARA Basadas en el Payload

Tipo collect:

rule Trojan_CollectData {
  strings:
    $a = "Login Data"
    $b = "cookies.sqlite"
    $c = "logins.json"
  condition:
    2 of ($a,$b,$c)
}

Tipo keylog:

rule Trojan_Keylogger {
  strings:
    $hook = "installKeyboardHook"
    $append = "appendToKeylogFile"
  condition:
    all of them
}

4.4. Ajuste y Operativa de las Reglas YARA

Construye las reglas combinando múltiples condiciones, no solo basándote en nombres de API específicos.
Considera la correlación con logs, Sysmon, nombres de archivo y comunicaciones de red.
Divide las reglas para escaneo de memoria y escaneo de archivos.
Previene falsos positivos y detecciones excesivas mediante revisiones y ajustes periódicos.

Herramientas y Escenarios para Ejercicios Red Team vs. Blue Team

5.1. Propósito y casos de uso de la herramienta

Generación automática de la compleja sintaxis de YARA a través de una GUI.
Soporte para la construcción rápida de reglas para equipos SOC o con fines educativos.
Aplicable a ejercicios Red Team vs. Blue Team y para fines de CTF.

5.2. Esquema de diseño de la herramienta web (conceptual)

[Entrada del usuario]
 ├─ Nombres de funciones a detectar, dominio C2, cadenas de registro, etc.
 └─ Selección de formato (condiciones AND / OR, metainformación)

[Vista previa de la regla]
 └─ Visualización inmediata del código YARA generado

[Salida]
 ├─ Copia de la regla
 └─ Descarga como archivo .yar

5.3. Elementos de la Interfaz para la Herramienta YARA

input: Palabras clave (nombre de función, dominio, etc.).
select: Configuración de la condición (all of them / any of them).
textarea: Campo de visualización en vivo de la regla.
button: Disparadores para generar, copiar o descargar.

5.4. Escenario de Entrenamiento: Ejercicio Red vs. Blue Team

Para entender mejor las dinámicas de estos ejercicios, es útil conocer las diferencias entre Red Team, Blue Team y Purple Team.

Caso 1: Ataque del Red Team (escenario)

Infección a través de USB.
Persistencia mediante la clave Run del registro.
Captura de pantalla y envío al C2.

Caso 2: Detección y contramedidas del Blue Team

Correlación de logs de Sysmon EID 13 (clave Run) con logs de comunicación.
Uso de la herramienta YARA para crear una regla especificando “registry”, “captureScreen” y el “dominio C2”.
Ingreso de la regla en el SIEM para confirmar la alerta.

De esta manera, es posible diseñar herramientas alineadas con la detección de ataques reales y el entrenamiento.

Plantilla de Informe Forense y Prácticas para CSIRT

En este capítulo se explica el flujo de trabajo desde la respuesta inicial ante una sospecha de infección por troyano hasta la creación del informe, junto con plantillas listas para usar.

6.1. Flujo de Trabajo en la Respuesta a Incidentes

Generación de alerta (EDR/YARA/SIEM)
↓
Aislamiento del terminal (corte de red, desactivación de VPN)
↓
Preservación de pruebas de memoria/disco (Redline, FTK, Velociraptor, etc.)
↓
Extracción del archivo ejecutable y los logs de comunicación
↓
Escaneo YARA, verificación de hash y consulta en VirusTotal
↓
Análisis de la línea de tiempo (MFT, Prefetch, Sysmon)
↓
Investigación de rastros de persistencia (registro, tareas, WMI)
↓
Creación del informe (para uso interno y externo)

6.2. Plantilla de Informe de Investigación Forense

Sección de resumen ▽
- N.º de caso: INC-2025-XXXX
- Fecha de ocurrencia: XX/XX/2025
- Terminal afectado: HOST123.local (Win10)
Resumen de los resultados de la investigación ▽
- Firma de detección: YARA[Trojan_Screenshot]
- Persistencia: Clave Run + Tarea programada (Sysmon EID13, EID106)
- IP de destino: C2.example.org (WHOIS verificado)
- Archivo ejecutable: C:\Users\User\AppData\Roaming\SystemHelper.exe
Acciones recomendadas ▽
- Reinstalación del terminal afectado.
- Actualización de las reglas YARA/EDR en toda la empresa.
- Revisión de los logs de conexión al C2 en todos los registros globales.
- Comunicación con organismos externos (p. ej., INCIBE-CERT o CISA).

6.3. Puntos Clave en la Operativa de un CSIRT

Ítem	Contenido
Lista de verificación	Tareas, WMI, registro, logs de comunicación, MFT, Prefetch, etc.
Herramientas utilizadas	Redline, Velociraptor, KAPE, Sysmon. El análisis forense de malware también se beneficia de herramientas como Volatility para el análisis de memoria RAM“.
Nivel de informe interno	Preparar dos versiones: una simplificada para la dirección y otra detallada para el personal técnico.

Aplicaciones Prácticas y Siguientes Pasos

Basándose en el contenido analizado hasta ahora, este capítulo explica aplicaciones prácticas desde tres perspectivas:

7.1. Análisis Estático del Malware con Ghidra

▷ Métodos de uso en Ghidra
- Carga el archivo SystemHelper.exe descargado por el malware en Ghidra.
- Utiliza strings, function graph, decompiler y xref para extraer lo siguiente:
  - Conjunto de funciones involucradas en la persistencia (p. ej., RegSetValueExW, CreateTask, objetos WMI).
  - Dominio de destino de la comunicación y estructura de llamadas a la API (familia WinHTTP).
  - Análisis de patrones como claves incrustadas en la sección .bss.
▷ Integración aplicada
- Detección de secuencias de instrucciones específicas en la sección .text mediante la integración Ghidra + YARA.
- Soporte para la generación automática de reglas con herramientas como AutoYARA (orientado a la educación).

7.2. Desarrollo de Ejercicios CTF sobre Análisis de Malware

▷ Ejemplo: Composición de problemas de ejercicio
- Problema 1: “Creación de una regla YARA” (Dificultad ★)
- Problema 2: “Reconstrucción del vector de infección a partir de logs de Sysmon” (Dificultad ★★★)
- Problema 3: “Detección de persistencia basada en WMI” (Dificultad ★★★★)
▷ Formato y contenido del set
- Archivos Evtx, imagen del terminal infectado (formato VHD).
- Script de detección de Flag + PDF con la explicación.
- Escenario de formación con juego de roles (Red/Blue).

7.3. Implementación en Formación y Entrenamiento de CSIRT

▷ Ejemplo de desarrollo de contenido

Sesión	Contenido
Sesión 1	Estructura del malware y análisis de código JavaScript
Sesión 2	Creación de reglas de detección con YARA y Sysmon
Sesión 3	Ejercicio práctico de investigación forense y redacción de informes

▷ Resultados del aprendizaje
- Comprensión transversal de la implementación, los logs y la elaboración de informes.
- Desarrollo tanto de la perspectiva del atacante como la del defensor.
- Adquisición de capacidad de respuesta inmediata y habilidades de detección cuantitativa.

Resumen

En este artículo, a partir de una única muestra de código de un troyano basado en Node.js, se han explicado los siguientes temas:

El ciclo de vida completo: desde la infección, ejecución, comunicación, exfiltración de información hasta la eliminación.
La arquitectura completa del código analizado y la filosofía de diseño de sus funciones de utilidad.
La correspondencia con logs de EDR/SIEM.
La aplicación a YARA, Sysmon, análisis forense de malware y desarrollo de ejercicios CTF de malware.
Estrategias para su implementación en formación interna y entrenamiento corporativo.