Tema 7
Clasificar malware ayuda a ordenar el análisis, anticipar comportamientos y comunicar riesgos. Una muestra puede combinar varias funciones, pero entender las categorías principales permite formular mejores hipótesis y priorizar evidencias.
El término malware agrupa muchos tipos de software malicioso. Algunas muestras roban información, otras cifran archivos, otras instalan puertas traseras, otras se propagan solas y otras actúan como primera etapa para descargar componentes adicionales.
La clasificación no debe verse como una etiqueta rígida. En incidentes reales, una misma cadena puede incluir un loader, un troyano de acceso remoto, un módulo de robo de credenciales y finalmente ransomware. La categoría depende del comportamiento observado y del rol que cumple cada componente.
Para un analista, clasificar ayuda a decidir qué buscar primero: persistencia, comunicaciones, cifrado, credenciales, propagación, ocultamiento o descarga de payloads.
Clasificar no es un ejercicio académico. Sirve para orientar el análisis, comunicar impacto y priorizar acciones de contención.
Una forma práctica de clasificar es observar la función principal de la muestra: qué intenta lograr y qué efecto produce sobre el sistema o la víctima.
| Tipo | Objetivo principal | Señales frecuentes |
|---|---|---|
| Troyano | Ejecutar acciones ocultas bajo apariencia legítima | Persistencia, C2, descarga de módulos, robo de datos |
| Ransomware | Extorsionar mediante cifrado o amenaza de filtración | Cifrado masivo, nota de rescate, borrado de copias |
| Spyware | Recolectar información sin consentimiento | Captura de teclas, pantallas, credenciales o navegación |
| Worm | Propagarse automáticamente | Escaneo, explotación remota, copias a recursos compartidos |
| Rootkit | Ocultar presencia y mantener control profundo | Hooks, drivers, manipulación de vistas del sistema |
| Loader | Descargar o ejecutar otros componentes | Comunicación inicial, desempaquetado, ejecución de payload |
Un troyano es malware que se presenta como algo legítimo o se instala mediante engaño, abuso de confianza o cadena de infección. A diferencia de un worm, no necesita propagarse automáticamente; su fortaleza suele estar en la persistencia, el control remoto o la descarga de funciones adicionales.
Los troyanos modernos pueden incluir módulos para robo de credenciales, captura de pantalla, ejecución de comandos, proxy, keylogging, enumeración del sistema o movimiento lateral.
Durante el análisis, un troyano puede dejar señales en múltiples lugares del sistema.
| Área | Indicador | Interpretación posible |
|---|---|---|
| Procesos | Proceso con nombre similar a sistema desde ruta inusual | Intento de camuflaje |
| Persistencia | Run keys, tareas programadas o servicios nuevos | Ejecución automática |
| Red | Beaconing periódico hacia dominios externos | Comunicación C2 |
| Archivos | Componentes en AppData, Temp o rutas de usuario | Instalación sin privilegios elevados |
| Comandos | Ejecución de herramientas del sistema | Living off the land o reconocimiento |
El ransomware busca extorsionar. Tradicionalmente cifra archivos y exige pago para recuperar acceso, pero muchas operaciones modernas combinan cifrado con robo previo de información y amenaza de publicación.
Su impacto suele ser alto porque afecta disponibilidad, continuidad operativa y confianza. En entornos corporativos puede apuntar a servidores, estaciones, recursos compartidos, backups y sistemas críticos.
El análisis dinámico de ransomware requiere cuidado extremo y laboratorio aislado. Sus señales suelen ser intensas y rápidas.
| Señal | Qué indica | Valor defensivo |
|---|---|---|
| Lectura y escritura masiva de archivos | Cifrado o transformación de datos | Crear reglas de comportamiento |
| Cambios de extensión | Marcado de archivos cifrados | Identificar alcance y familia posible |
| Notas de rescate | Comunicación de extorsión | Recolectar IOCs y contexto |
| Eliminación de backups locales | Intento de impedir recuperación | Priorizar contención inmediata |
| Conexiones previas al cifrado | Posible exfiltración o validación | Investigar doble extorsión |
El spyware recolecta información del usuario o del sistema sin consentimiento. Puede capturar credenciales, pulsaciones de teclado, pantallas, formularios, historial de navegación, cookies, tokens, documentos o información de aplicaciones.
Su valor para el atacante está en la información. A veces opera de forma silenciosa durante mucho tiempo, enviando datos de manera gradual para no llamar la atención.
Los stealers son una subcategoría orientada al robo rápido de información valiosa. Suelen buscar credenciales almacenadas, cookies de sesión, billeteras, tokens, datos de navegadores, clientes FTP, VPN o aplicaciones de mensajería.
En análisis, conviene observar:
Un worm se caracteriza por su capacidad de propagarse automáticamente. Puede aprovechar vulnerabilidades, contraseñas débiles, recursos compartidos, dispositivos removibles, correo o servicios expuestos.
La propagación automática aumenta el riesgo operativo porque un único equipo comprometido puede afectar muchos sistemas en poco tiempo.
Para detectar comportamiento de worm, el tráfico y los logs de autenticación suelen ser tan importantes como el archivo en sí.
| Fuente | Señal | Posible significado |
|---|---|---|
| Red | Conexiones a muchas IPs en poco tiempo | Escaneo o propagación |
| Autenticación | Muchos intentos fallidos o accesos inusuales | Prueba de credenciales |
| Archivos compartidos | Copias del mismo ejecutable en varias máquinas | Propagación por shares |
| Procesos | Ejecución remota o herramientas administrativas | Movimiento automatizado |
| Firewall | Patrones repetitivos hacia puertos concretos | Búsqueda de servicio vulnerable |
Un rootkit busca ocultar presencia, mantener control y manipular la visión que el sistema o las herramientas tienen de la realidad. Puede operar en espacio de usuario, kernel, firmware o componentes de arranque, con distintos niveles de profundidad.
Su análisis suele ser más complejo porque el sistema comprometido puede mentir: procesos, archivos, claves o conexiones pueden estar ocultos para herramientas comunes.
Detectar rootkits requiere comparar perspectivas. Si una herramienta pregunta al sistema comprometido, puede recibir una respuesta alterada. Por eso, conviene contrastar desde distintas capas.
En incidentes con sospecha de rootkit, la preservación de evidencia y el análisis forense suelen ser preferibles a una limpieza manual improvisada.
Un loader descarga, desempaqueta o ejecuta otros componentes. Un dropper suele contener uno o más payloads embebidos que escribe o instala en el sistema. Ambos pueden ser la primera etapa de una cadena más amplia.
Su función es abrir la puerta al malware principal o seleccionar qué componente entregar según el entorno. Por eso, una muestra pequeña y aparentemente limitada puede ser crítica.
| Tipo | Cómo entrega payload | Qué buscar |
|---|---|---|
| Loader | Descarga o recupera componentes externos | URLs, C2, memoria ejecutable, ejecución de procesos |
| Dropper | Extrae componentes incluidos en el propio archivo | Recursos, secciones de alta entropía, archivos creados |
| Stager | Ejecuta una etapa mínima que prepara otra mayor | Comunicación inicial, configuración y carga en memoria |
Una backdoor proporciona acceso no autorizado persistente o discreto. Un RAT, o Remote Access Trojan, ofrece capacidades de administración remota maliciosa: ejecutar comandos, transferir archivos, capturar pantalla, manipular procesos o activar módulos.
Indicadores frecuentes:
Una botnet es un conjunto de sistemas comprometidos controlados de forma coordinada. Cada equipo infectado funciona como bot y puede recibir órdenes para enviar spam, realizar fraude, participar en ataques de denegación, minar criptomonedas o distribuir más malware.
Desde el análisis, interesa identificar el mecanismo de control, el protocolo de comunicación, los identificadores del bot, las tareas soportadas y la forma de actualizar módulos.
La respuesta defensiva suele requerir bloqueo de C2, limpieza de endpoints, rotación de credenciales y revisión de persistencia.
El malware fileless intenta reducir artefactos persistentes en disco usando memoria, scripts, herramientas legítimas del sistema o abusos de configuración. El nombre puede ser engañoso: muchas campañas "fileless" dejan algún rastro en logs, registro, tareas, documentos o comandos.
El malware bancario se orienta al robo financiero. Puede capturar credenciales, manipular sesiones, interceptar formularios, redirigir tráfico o modificar contenido mostrado por el navegador.
Señales de interés:
Un wiper busca destruir datos o dejar sistemas inutilizables. A diferencia del ransomware, no necesariamente busca recuperación mediante pago. Su objetivo puede ser sabotaje, interrupción operativa o encubrimiento.
Puede sobrescribir archivos, dañar registros de arranque, eliminar configuraciones, destruir backups locales o afectar sistemas críticos. En respuesta a incidentes, la prioridad es contención, preservación de evidencia y recuperación desde respaldos confiables.
Una familia de malware agrupa muestras relacionadas por código, infraestructura, comportamiento o autoría probable. Una variante es una modificación de una familia. Una campaña es una operación concreta que usa herramientas, infraestructura y objetivos específicos.
Estos términos no son equivalentes:
También podemos clasificar malware por su rol dentro de la cadena de compromiso.
| Etapa | Rol del componente | Ejemplos |
|---|---|---|
| Acceso inicial | Lograr primera ejecución | Documento malicioso, dropper, exploit loader |
| Establecimiento | Persistir y contactar C2 | Troyano, RAT, backdoor |
| Expansión | Reconocer y moverse | Worm, módulos laterales, herramientas abusadas |
| Acción sobre objetivos | Robar, cifrar, destruir o monetizar | Stealer, ransomware, wiper, minero |
| Ocultamiento | Dificultar detección y análisis | Rootkit, packer, técnicas anti-VM |
Cada tipo de malware tiende a producir indicadores distintos. La clasificación ayuda a decidir qué evidencia tiene mayor prioridad.
Las etiquetas son útiles, pero pueden simplificar demasiado. Muchas muestras cambian de comportamiento según configuración, módulos disponibles, conectividad, privilegios o instrucciones recibidas desde C2.
Errores comunes:
Clasificar malware permite transformar una muestra desconocida en un conjunto de preguntas concretas. Si sospechamos ransomware, buscamos cifrado y notas; si sospechamos spyware, buscamos recolección y exfiltración; si sospechamos loader, buscamos el siguiente componente.
En el próximo tema comenzaremos con análisis estático inicial: hashes, strings, firmas, empaquetado y triage, para aprender a extraer información útil antes de ejecutar una muestra.