Malware: Tipos, Ciclo de Vida y Persistencia
Clasificación del malware, Cyber Kill Chain y técnicas de persistencia en Windows
Tipos de Malware
Virus
Se adjunta a ficheros legítimos. Se replica cuando el fichero infectado se ejecuta. Requiere interacción humana para propagarse.
Gusano (Worm)
Se propaga automáticamente a través de la red sin interacción del usuario. EternalBlue (WannaCry) es un gusano SMB.
Troyano (Trojan)
Software malicioso disfrazado de legítimo. Ejecutado por el usuario. No se replica solo. Abre backdoor para el atacante.
Ransomware
Cifra los archivos del sistema y pide rescate. Variantes: crypto-ransomware (ficheros), locker (pantalla). Doble extorsión: cifra + exfiltra.
Spyware
Roba información: keyloggers, capturas de pantalla, credenciales. Suele estar oculto. Variante: stalkerware (parejas maltratadoras).
Rootkit
Se instala en nivel privilegiado (kernel) para ocultar su presencia. Muy difícil de detectar y eliminar. Puede modificar el propio SO.
Botnet
Red de máquinas infectadas (bots/zombies) controladas por un C2 (Command & Control). Usada para DDoS, spam, minería de crypto, distribución de más malware.
APT (Advanced Persistent Threat)
Ataque sofisticado, dirigido y prolongado. Actor estatal o criminal organizado. Objetivo: espionaje, sabotaje o robo de IP durante meses/años.
Cyber Kill Chain (Lockheed Martin)
El modelo de 7 fases que describe cómo se desarrolla un ciberataque. Interrumpir cualquier fase detiene el ataque.
1. Reconnaissance
OSINT sobre el objetivo. LinkedIn, Shodan, WHOIS, escaneos de puertos. Identificar empleados, tecnologías, posibles vectores.
2. Weaponization
Crear el arma: exploit + payload. Generar un documento Word con macro maliciosa, configurar el dropper, preparar el C2.
3. Delivery
Entregar el arma: email de phishing, USB, watering hole (web legítima comprometida), drive-by download.
4. Exploitation
Ejecutar el exploit para comprometer el sistema. CVE de Office, PDF, zero-day de browser, macro ejecutada por usuario.
5. Installation
Instalar el implant (malware) en el sistema. Establecer foothold para persistencia. Dropper → RAT/backdoor.
6. Command & Control (C2)
El malware establece canal de comunicación con el servidor del atacante. DNS tunneling, HTTPS C2, Telegram/Discord como C2.
7. Actions on Objectives
El atacante ejecuta sus objetivos: exfiltrar datos, cifrar con ransomware, pivot lateral, destruir sistemas.
Técnicas de Persistencia en Windows
La persistencia asegura que el malware sobrevive al reinicio. MITRE ATT&CK T1547 documenta las técnicas más usadas.
Registry Run Keys
T1547.001El malware se añade a las claves Run del registro. Se ejecuta automáticamente en cada inicio de sesión del usuario.
Scheduled Tasks
T1053.005Tarea programada que ejecuta el malware al inicio, a intervalos, o cuando ocurre un evento. Más difícil de detectar que Run keys.
Windows Services
T1543.003Registrar el malware como servicio de Windows. Arranca con el sistema. Requiere privilegios elevados.
DLL Hijacking
T1574.001Colocar una DLL maliciosa en una ruta donde una aplicación legítima la cargará en lugar de la original. Técnica de evasión muy efectiva.
Buenas Prácticas de Defensa
EDR (Endpoint Detection & Response) en todos los endpoints: CrowdStrike, SentinelOne, Microsoft Defender for Endpoint.
Application Whitelisting (AppLocker, WDAC): solo ejecutables firmados y autorizados pueden correr.
Monitorizar creación de Run keys, servicios nuevos y scheduled tasks vía SIEM.
Parchear sistemas regularmente — la mayoría de exploits usan CVEs conocidas con parche disponible.
Segmentar la red para limitar el movimiento lateral si un endpoint se compromete.
Backups offline y probados: la mejor defensa contra ransomware es restaurar desde backup limpio.
Siguiente Paso
Aprende sobre segregación de funciones y control dual como control interno
Segregación de Funciones →