Setup de laboratorio de cero a profesional
Esta serie te guía paso a paso en la construcción de un laboratorio de análisis de malware, desde la configuración más básica hasta entornos profesionales con automatización.
No se requiere experiencia previa en análisis de malware. Conocimientos básicos de sistemas operativos (Windows y Linux) son recomendables.
Los artículos están ordenados de menor a mayor complejidad. Cada uno construye sobre el anterior.
Configura tu primer laboratorio de análisis de malware con VirtualBox, FlareVM y REMnux. Guía paso a paso con configuración de red aislada y snapshots.
Guía completa de análisis estático de malware. Triage con strings/FLOSS/pestudio, análisis de PE/ELF headers, detección de packers, extracción de IOCs, YARA rules, y el workflow paso a paso que todo analista debe dominar antes del análisis dinámico.
Guía completa de análisis dinámico de malware. Ejecución controlada en sandbox (ANY.RUN, Joe Sandbox, CAPE), debugging con x64dbg y GDB, monitorización con Procmon/Sysmon/Wireshark, y el workflow de análisis behavioral paso a paso.
Guía paso a paso para instalar y configurar FLARE VM de Mandiant. Requisitos de hardware, instalación en Windows 10/11, herramientas incluidas, personalización, snapshots y mejores prácticas para un laboratorio de análisis de malware productivo.
Guía de REMnux, la distribución Linux de referencia para análisis de malware. Instalación, herramientas incluidas (Ghidra, Volatility, oletools, YARA), workflows de análisis, y cómo complementa a FLARE VM en tu laboratorio.
Comparativa técnica de las principales sandboxes online para análisis de malware. ANY.RUN (interactivo), Joe Sandbox (profundidad), Hybrid Analysis (gratuito), Triage y CAPE. Capacidades, limitaciones, precios y cuándo usar cada uno.
Tutorial práctico de Wireshark aplicado al análisis de tráfico de malware. Filtros para C2, exfiltración y lateral movement. Extracción de archivos de PCAPs, análisis de DNS/HTTP/TLS, y detección de beaconing con tshark.
Guía práctica de herramientas de monitorización para análisis dinámico de malware. Process Monitor para I/O y registro, Process Hacker para procesos y memoria, API Monitor para llamadas a APIs, y los filtros que todo analista necesita.
Tutorial completo de escritura de reglas YARA para detección de malware. Sintaxis, strings (texto, hex, regex), condiciones, metadata, y ejemplos prácticos para detectar ransomware, RATs, packers y documentos maliciosos.
YARA avanzado: módulos PE (imports, sections, timestamps), módulo math (entropía, mean), módulo hash, condiciones complejas con for loops, y técnicas profesionales para escribir reglas robustas con baja tasa de falsos positivos.
Guía de Sigma rules para detección de malware en SIEM. Sintaxis, escritura de reglas, conversión a Splunk/Elastic/Sentinel, repositorio SigmaHQ, y reglas esenciales para ransomware, lateral movement, credential dumping y evasión.
Guía de CAPEv2 (Cuckoo fork), el sandbox de malware self-hosted más potente. Instalación, configuración con KVM, extracción automática de configs de malware, YARA/Sigma integration, y por qué es la opción cuando la privacidad importa.
Guía de seguridad para analistas de malware. Riesgos reales de infección accidental, escape de VM, ejecución accidental, exposición de IOCs, y las reglas de oro que debes seguir para analizar malware sin comprometer tu sistema ni tu organización.
Scripts Python prácticos para automatizar análisis de malware. Parsing de PE/ELF con pefile/lief, extracción de strings e IOCs, cálculo de entropía, integración con VirusTotal API, YARA scanning automatizado, y pipeline de triage completo.
Guía práctica de CAPA de Mandiant para detección automática de capacidades de malware. Cómo funciona, interpretación de resultados, mapeo a MITRE ATT&CK, reglas custom, y integración en pipelines de análisis automatizado.
Configuración de QEMU/KVM para análisis de malware a nivel de kernel. Debugging de kernel con GDB, análisis de rootkits y drivers maliciosos, emulación de IoT (ARM/MIPS), y ventajas sobre VMware/VirtualBox para análisis avanzado.
Cómo montar un laboratorio de análisis de malware en la nube. Arquitectura con AWS/Hetzner, CAPE sandbox en cloud, VPN para acceso seguro, costes estimados, y ventajas sobre un laboratorio local para equipos distribuidos.
Guía de deofuscación de malware. Técnicas para revertir ofuscación en binarios (unpacking, string decryption), scripts (PowerShell, VBA, JavaScript), y .NET (ConfuserEx, de4dot). Herramientas, metodología y ejemplos prácticos.