Tema 9

9. Análisis dinámico: monitoreo de procesos, sistema de archivos, registro y red

El análisis dinámico observa qué hace una muestra cuando se ejecuta en un entorno controlado. Permite ver procesos, archivos, claves de registro, servicios, memoria y comunicaciones que el análisis estático solo puede sugerir.

Objetivo Observar comportamiento real en un laboratorio seguro
Enfoque Procesos, archivos, registro, servicios, memoria y red
Resultado Construir una línea de tiempo con evidencias verificables

9.1 Introducción

El análisis estático permite formular hipótesis; el análisis dinámico ayuda a confirmarlas observando ejecución real. Al correr una muestra en un laboratorio aislado, podemos ver qué procesos crea, qué archivos modifica, qué claves toca, qué servicios instala y qué comunicaciones intenta realizar.

Esta etapa exige más control porque implica ejecutar código potencialmente dañino. Por eso, el laboratorio debe estar preparado antes de iniciar: snapshot limpio, red aislada, herramientas listas y plan de reversión.

El objetivo no es "ver qué pasa" de forma improvisada, sino medir cambios con método para producir conclusiones técnicas útiles.

9.2 Qué aporta el análisis dinámico

El análisis dinámico permite observar comportamiento que puede no ser visible en el archivo en reposo.

  • Archivos creados, modificados, renombrados o eliminados.
  • Procesos hijos, comandos ejecutados e inyección.
  • Claves de registro, tareas programadas o servicios de persistencia.
  • Conexiones de red, consultas DNS y patrones de beaconing.
  • Payloads desempaquetados o descargados durante ejecución.
  • Condiciones de entorno que activan o inhiben comportamiento.
El análisis dinámico no reemplaza al estático. Ambos se complementan: uno sugiere capacidades; el otro muestra acciones observadas.

9.3 Preparación del entorno

Antes de ejecutar una muestra, la preparación debe estar completa. Activar herramientas después de la ejecución puede perder eventos críticos, especialmente aquellos que ocurren en los primeros segundos.

  1. Restaurar snapshot limpio.
  2. Verificar que la red esté aislada o controlada.
  3. Confirmar que no existan carpetas personales compartidas.
  4. Preparar herramientas de monitoreo de procesos, archivos, registro y red.
  5. Registrar hash y ubicación de la muestra.
  6. Definir tiempo de observación y criterios de detención.
  7. Iniciar captura de logs y tráfico antes de ejecutar.

9.4 Modelo antes y después

Una técnica básica consiste en comparar el estado del sistema antes y después de ejecutar la muestra. Esto permite identificar cambios persistentes aunque no se hayan visto en tiempo real.

Elemento Antes Después
Procesos Lista base del sistema limpio Procesos nuevos, finalizados o sospechosos
Archivos Estado de directorios relevantes Creaciones, cambios, renombres o borrados
Registro Claves de inicio, servicios y políticas Persistencia, configuración o debilitamiento
Red Sin tráfico malicioso esperado DNS, conexiones, protocolos y destinos
Servicios y tareas Estado conocido del sistema Instalaciones, cambios o programaciones nuevas

9.5 Monitoreo de procesos

Los procesos muestran la cadena de ejecución. Una muestra puede crear procesos hijos, usar intérpretes, ejecutar herramientas legítimas, inyectar código o finalizar defensas.

Datos importantes:

  • Nombre del proceso y ruta completa.
  • PID y proceso padre.
  • Línea de comandos.
  • Usuario y privilegios.
  • Módulos cargados.
  • Procesos hijos y tiempo de creación.
  • Relación con eventos de archivo, red y registro.
El nombre del proceso dice poco sin ruta y proceso padre. Un nombre legítimo desde una ubicación inusual puede ser una señal importante.

9.6 Árbol de procesos

El árbol de procesos ayuda a entender qué originó cada acción. Si un documento lanza un intérprete, el intérprete descarga un ejecutable y ese ejecutable crea persistencia, la cadena completa es más importante que cada proceso aislado.

Preguntas útiles:

  • Qué proceso inició la muestra.
  • Qué procesos hijos aparecieron.
  • Si se usaron herramientas del sistema para ejecutar comandos.
  • Si hubo procesos suspendidos o inyección.
  • Si el proceso original desapareció después de lanzar otro componente.

9.7 Monitoreo del sistema de archivos

El sistema de archivos revela instalación, persistencia, robo, cifrado o preparación de payloads. No basta con listar archivos al final; conviene observar quién creó qué, cuándo y desde qué proceso.

Evento Interpretación posible Qué registrar
Creación de ejecutable Dropper o componente instalado Ruta, hash, proceso creador
Modificación masiva Cifrado, borrado o transformación Extensiones, volumen, patrón temporal
Lectura de documentos Reconocimiento o exfiltración Tipos de archivo, rutas, proceso responsable
Escritura en inicio Persistencia de usuario Archivo, ubicación y comando asociado
Eliminación de rastros Limpieza o evasión Qué se borra y cuándo

9.8 Rutas de interés

Algunas rutas son especialmente relevantes porque se usan para persistencia, almacenamiento temporal, perfiles de usuario o configuración.

  • Directorios temporales del sistema y del usuario.
  • Carpetas de inicio automático.
  • Perfiles de navegador y clientes de correo.
  • AppData y directorios de aplicaciones.
  • ProgramData y rutas globales de configuración.
  • Recursos compartidos y unidades montadas.
  • Directorios de logs y cachés.

Una ruta debe interpretarse junto con el proceso, el tiempo, los permisos y el tipo de archivo afectado.

9.9 Monitoreo del registro

En Windows, el registro puede mostrar persistencia, configuración, políticas modificadas, servicios, asociaciones de archivo y rastros de ejecución. Es una fuente clave en análisis dinámico.

Áreas comunes de observación:

  • Run y RunOnce para inicio automático.
  • Services para instalación o modificación de servicios.
  • Policies para cambios de restricciones o seguridad.
  • Shell, file associations y handlers.
  • Claves de aplicaciones usadas para guardar configuración.
  • MRU, UserAssist y otros artefactos de ejecución, según el caso.

9.10 Persistencia

Persistencia es la capacidad de sobrevivir reinicios, cierres de sesión o finalización de procesos. El análisis dinámico debe identificar si la muestra intenta volver a ejecutarse.

Mecanismo Señal Qué validar
Clave Run Valor nuevo que apunta a ejecutable o script Usuario afectado y ruta del archivo
Tarea programada Tarea nueva o modificada Disparador, comando y cuenta usada
Servicio Servicio instalado o alterado Binario, tipo de inicio y privilegios
Carpeta de inicio Archivo agregado al startup Extensión, comando y propietario
WMI/eventos Suscripciones o filtros persistentes Comando ejecutado y condición de activación

9.11 Monitoreo de servicios y tareas

Los servicios y tareas programadas pueden ejecutar código con privilegios altos o en momentos específicos. Son mecanismos legítimos, pero también frecuentes en malware.

Durante el análisis, registrar:

  • Nombre, descripción y ruta del servicio o tarea.
  • Comando completo ejecutado.
  • Cuenta o usuario utilizado.
  • Tipo de inicio o disparador.
  • Proceso que creó o modificó el mecanismo.
  • Relación temporal con la ejecución de la muestra.

9.12 Monitoreo de red

El tráfico de red puede revelar C2, descarga de payloads, exfiltración, beaconing o propagación. Debe capturarse desde antes de ejecutar la muestra y preferentemente dentro de una red controlada.

Elemento Qué observar Valor defensivo
DNS Dominios consultados y patrones IOCs, DGA, infraestructura C2
HTTP/HTTPS URLs, cabeceras, métodos, tamaño y frecuencia Descarga, beaconing, exfiltración
TCP/UDP Puertos, destinos, sesiones y reintentos Protocolos usados y comportamiento de red
TLS SNI, certificados, JA3/JA4 si están disponibles Correlación sin descifrar contenido
Escaneo Conexiones repetidas a muchos hosts Propagación o reconocimiento

9.13 Red controlada y simulación

Permitir salida directa a internet puede ser riesgoso. Una muestra puede descargar componentes reales, exfiltrar datos del laboratorio, contactar infraestructura activa o cambiar su comportamiento.

Alternativas más seguras:

  • Ejecutar sin red para observar comportamiento local.
  • Usar red interna con DNS y HTTP simulados.
  • Redirigir consultas a un servidor controlado.
  • Capturar tráfico bloqueando salida externa.
  • Habilitar internet solo para actualizaciones, nunca durante ejecución de muestras desconocidas.
La conectividad debe responder a una pregunta de análisis. Si no aporta evidencia necesaria, conviene mantenerla deshabilitada.

9.14 Análisis de memoria durante ejecución

La memoria puede contener información que no aparece en disco: cadenas descifradas, configuración, payloads desempaquetados, claves, módulos inyectados o buffers de comunicación.

Durante análisis dinámico se puede capturar:

  • Memoria de un proceso específico.
  • Lista de módulos cargados.
  • Regiones con permisos inusuales.
  • Strings generadas en tiempo de ejecución.
  • Payloads desempaquetados antes de ser ejecutados.
  • Artefactos de inyección o hollowing.

9.15 Comportamiento condicionado

Algunas muestras no muestran todo su comportamiento inmediatamente. Pueden esperar tiempo, requerir conectividad, verificar idioma, dominio, usuario, fecha, privilegios, presencia de VM o actividad humana.

Señales de comportamiento condicionado:

  • Sleep o demoras largas antes de actuar.
  • Consultas al entorno virtual o herramientas de análisis.
  • Verificación de procesos, nombres de usuario o dominio.
  • Comportamiento distinto con o sin red.
  • Payload cifrado que solo se activa con respuesta externa.

Si una muestra parece inactiva, no necesariamente es benigna. Puede estar esperando una condición que el laboratorio no reproduce.

9.16 Línea de tiempo

Una línea de tiempo convierte eventos dispersos en una historia técnica. Permite explicar qué ocurrió primero, qué proceso causó cada cambio y cómo se conectan archivos, registro, red y memoria.

Una línea de tiempo útil incluye:

  • Hora de ejecución de la muestra.
  • Procesos creados y finalizados.
  • Archivos escritos o eliminados.
  • Claves modificadas.
  • Conexiones y consultas DNS.
  • Eventos de persistencia.
  • Capturas o dumps relevantes.

9.17 Extracción de IOCs dinámicos

El análisis dinámico permite extraer indicadores que no estaban visibles en el archivo original.

  • Hashes de archivos creados durante ejecución.
  • Rutas de instalación y persistencia.
  • Dominios, IPs, URLs y certificados observados.
  • Nombres de servicios o tareas programadas.
  • Comandos ejecutados y scripts generados.
  • Mutexes, pipes, nombres de ventanas u otros artefactos.

Los IOCs deben documentarse con contexto. Una IP compartida o un dominio comprometido puede tener riesgo de falso positivo si se bloquea sin análisis.

9.18 Capturas y evidencias

Las evidencias deben guardarse antes de restaurar la VM. Una vez restaurado el snapshot, muchos artefactos desaparecen.

Evidencia Formato posible Uso posterior
Tráfico de red PCAP Análisis de protocolos, IOCs y reglas
Eventos de procesos CSV, JSON, logs de herramienta Árbol de ejecución y línea de tiempo
Archivos creados Copias controladas y hashes Análisis de payloads secundarios
Registro Exportaciones o diffs Persistencia y configuración
Memoria Dumps de proceso o sistema Strings, configuración, inyección y desempaquetado

9.19 Interpretación y confianza

No todo evento observado es malicioso. Un sistema operativo genera actividad normal constantemente. El analista debe separar ruido de comportamiento relevante.

Para aumentar confianza:

  • Comparar contra una línea base limpia.
  • Relacionar eventos con el proceso de la muestra.
  • Correlacionar tiempo, ruta, usuario y comando.
  • Repetir ejecución si el resultado es ambiguo.
  • Confirmar hallazgos dinámicos con análisis estático cuando sea posible.
  • Documentar hipótesis y nivel de certeza.

9.20 Riesgos durante el análisis dinámico

La ejecución controlada reduce riesgo, pero no lo elimina. El laboratorio debe evitar fugas hacia redes reales y exposición de datos sensibles.

  • Salida no controlada a internet.
  • Carpetas compartidas con datos reales.
  • Propagación hacia otras máquinas virtuales no previstas.
  • Activación de ransomware sobre archivos de prueba insuficientemente aislados.
  • Descarga de payloads adicionales no capturados.
  • Contaminación del snapshot base.

9.21 Checklist de ejecución controlada

  1. Restaurar snapshot limpio.
  2. Confirmar aislamiento de red y ausencia de carpetas compartidas peligrosas.
  3. Registrar hash, nombre y ubicación de la muestra.
  4. Iniciar monitoreo de procesos, archivos, registro y red.
  5. Ejecutar la muestra con el usuario y contexto definidos.
  6. Observar durante el tiempo planificado.
  7. Guardar logs, PCAP, archivos creados y notas.
  8. Extraer IOCs y construir línea de tiempo.
  9. Restaurar o descartar la VM según el riesgo.

9.22 Errores frecuentes

  • Ejecutar antes de iniciar las herramientas de monitoreo.
  • No verificar el modo de red de la VM.
  • Conservar carpetas compartidas con el anfitrión.
  • Mirar solo el proceso principal e ignorar procesos hijos.
  • No guardar PCAP o logs antes de restaurar el snapshot.
  • Confundir actividad normal del sistema con actividad de la muestra.
  • Concluir que una muestra es benigna porque no hizo nada visible en pocos segundos.

9.23 Qué debes recordar de este tema

  • El análisis dinámico observa comportamiento real en ejecución controlada.
  • Las herramientas deben estar listas antes de ejecutar la muestra.
  • Procesos, archivos, registro, servicios, memoria y red deben correlacionarse en una línea de tiempo.
  • La red debe estar aislada o simulada, no abierta por defecto.
  • Una muestra inactiva puede estar condicionada por entorno, tiempo o conectividad.

9.24 Conclusión

El análisis dinámico permite convertir capacidades probables en comportamiento observado. Bien ejecutado, revela persistencia, comunicación, cambios del sistema y artefactos que pueden usarse para detección y respuesta.

En el próximo tema estudiaremos sandboxes, snapshots, trazabilidad y control de indicadores de compromiso, profundizando en cómo automatizar y ordenar la observación sin perder control del laboratorio.

Volver al índice