{"id":691297,"date":"2023-04-03T23:37:35","date_gmt":"2023-04-03T23:37:35","guid":{"rendered":"https:\/\/teknomers.com\/es\/como-construir-un-laboratorio-de-investigacion-para-ingenieria-inversa-4-formas\/"},"modified":"2023-04-03T23:37:38","modified_gmt":"2023-04-03T23:37:38","slug":"como-construir-un-laboratorio-de-investigacion-para-ingenieria-inversa-4-formas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/como-construir-un-laboratorio-de-investigacion-para-ingenieria-inversa-4-formas\/","title":{"rendered":"C\u00f3mo construir un laboratorio de investigaci\u00f3n para ingenier\u00eda inversa: 4 formas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>El an\u00e1lisis de malware es una parte esencial del trabajo de los investigadores de seguridad.  Pero trabajar con muestras maliciosas puede ser peligroso: requiere herramientas especializadas para registrar su actividad y un entorno seguro para evitar da\u00f1os no deseados.<\/p>\n<p>Sin embargo, la instalaci\u00f3n y configuraci\u00f3n manual del laboratorio puede resultar un proceso laborioso y lento.<\/p>\n<p>En este art\u00edculo, veremos 4 formas de crear un laboratorio de ingenier\u00eda inversa, analizaremos c\u00f3mo ahorrar tiempo y, potencialmente, mejorar la tasa de detecci\u00f3n mediante un servicio en la nube y una lista recomendada de herramientas para una configuraci\u00f3n integral.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1680565055_813_Como-construir-un-laboratorio-de-investigacion-para-ingenieria-inversa-4.png\" alt=\"Ingenier\u00eda inversa de malware\" border=\"0\" data-original-height=\"471\" data-original-width=\"728\" title=\"Ingenier\u00eda inversa de malware\" \/><\/div>\n<h2>\u00bfQu\u00e9 es un laboratorio de an\u00e1lisis de malware?<\/h2>\n<p>En esencia, un laboratorio de an\u00e1lisis de malware proporciona un espacio aislado y seguro para examinar el malware.<\/p>\n<p>La configuraci\u00f3n puede variar desde una m\u00e1quina virtual sencilla que usa VirtualBox hasta una red m\u00e1s compleja de m\u00e1quinas interconectadas y hardware de red real.<\/p>\n<p>Pero en este art\u00edculo, veremos c\u00f3mo construir un laboratorio dise\u00f1ado para el an\u00e1lisis est\u00e1tico, por lo que necesitaremos un entorno seguro donde podamos ejecutar desensambladores, editar archivos binarios y depurar.<\/p>\n<p>Hay un par de maneras en que podemos crearlo:<\/p>\n<h3 style=\"text-align: left\">1 \u2014 Virtualizaci\u00f3n<\/h3>\n<ol>\n<\/ol>\n<p>Quiz\u00e1s la forma m\u00e1s sencilla de crear un entorno seguro y aislado es mediante el uso de una m\u00e1quina virtual.<\/p>\n<p>Una opci\u00f3n popular es Virtual Box, software de c\u00f3digo abierto de Oracle.  Si est\u00e1 en Linux, para instalarlo, simplemente use el comando <strong>sudo apt instalar virtualbox<\/strong>.  VMWare es otra opci\u00f3n popular: es un programa comercial, pero hay un nivel gratuito.<\/p>\n<p>La configuraci\u00f3n es f\u00e1cil: descargue e instale el software, cree una m\u00e1quina virtual, configure los ajustes para asegurarse de que no tenga acceso a la red o carpetas compartidas con el host, y luego in\u00edcielo con un archivo .ISO de su sistema operativo elegido .<\/p>\n<p>Pero este enfoque tiene algunos inconvenientes: tendr\u00e1 que establecer reglas de detecci\u00f3n personalizadas para identificar entidades sospechosas o maliciosas, investigar de forma independiente t\u00e9cnicas emergentes, mantener configuraciones y determinar pol\u00edticas de registro utilizando las herramientas disponibles.  Este mayor enfoque en el mantenimiento y la configuraci\u00f3n resta valor al tiempo dedicado al an\u00e1lisis.<\/p>\n<h4 style=\"text-align: left\">ventajas<\/h4>\n<ul>\n<li>Gratis o disponible a bajo costo<\/li>\n<li>La configuraci\u00f3n es f\u00e1cil.<\/li>\n<li>Proporciona un entorno aislado si se configura correctamente<\/li>\n<\/ul>\n<h4 style=\"text-align: left\">Contras<\/h4>\n<ul>\n<li>El rendimiento recibe un golpe<\/li>\n<li>Escalabilidad limitada obstaculizada por su CPU<\/li>\n<li>El malware podr\u00eda escapar al host<\/li>\n<li>Requiere configurar manualmente las reglas de detecci\u00f3n<\/li>\n<\/ul>\n<h3 style=\"text-align: left\">2 \u2014 Hardware dedicado<\/h3>\n<ol>\n<\/ol>\n<p>En caso de que tenga una computadora port\u00e1til vieja por ah\u00ed o tenga los medios para obtener una o construir una PC, esta es definitivamente una opci\u00f3n.  Tampoco tiene que romper el banco: la generaci\u00f3n 11-13 de procesadores Intel hace que incluso las m\u00e1quinas econ\u00f3micas sean una opci\u00f3n m\u00e1s que viable.<\/p>\n<p>La principal ventaja de optar por una computadora f\u00edsica es un mejor rendimiento y una mayor seguridad, ya que puede asegurarse de que la m\u00e1quina est\u00e9 verdaderamente aislada de todos los dispositivos y redes.<\/p>\n<h4 style=\"text-align: left\">Ventajas:<\/h4>\n<ul>\n<li>Opci\u00f3n de mayor rendimiento<\/li>\n<li>Entorno completamente aislado<\/li>\n<li>Se puede personalizar infinitamente<\/li>\n<\/ul>\n<h4 style=\"text-align: left\">Contras:<\/h4>\n<ul>\n<li>El hardware de gama alta es caro<\/li>\n<li>Requiere mantenimiento de software y hardware<\/li>\n<li>Necesita ser configurado para funcionar<\/li>\n<\/ul>\n<h3 style=\"text-align: left\">3 \u2014 Un laboratorio en la nube<\/h3>\n<ol>\n<\/ol>\n<p>Crear un laboratorio de malware en la nube en realidad no es tan dif\u00edcil como podr\u00eda parecer.  Adem\u00e1s, \u00a1es gratis!  Todo lo que necesita es una cuenta en AWS, o cualquier proveedor de servicios en la nube comparable, y una m\u00e1quina para conectarse.  La configuraci\u00f3n puede ser un poco m\u00e1s complicada que una m\u00e1quina virtual local, pero existen numerosos tutoriales que puede usar como gu\u00eda.<\/p>\n<p>Si elige trabajar con AWS, busque Kali en el mercado para configurar una m\u00e1quina virtual Kali Linux.  Para usar la GUI, puede crear un servidor VNC y conectarse a su laboratorio con una herramienta como VNC Viewer.<\/p>\n<p>Una de las desventajas de este enfoque es que es gratis hasta que deja de serlo.  Si excede los l\u00edmites del nivel gratuito, su factura de la nube podr\u00eda aumentar r\u00e1pidamente. <\/p>\n<p>Ocasionalmente, los proveedores de la nube tambi\u00e9n pueden restringir la ejecuci\u00f3n de malware, lo que presenta riesgos legales.  Adem\u00e1s, las m\u00e1quinas en la nube exigen soporte, lo que sobrecarga las operaciones de TI.  Si bien es adecuado para investigadores independientes novatos, este enfoque presenta inconvenientes en entornos corporativos.  Fundamentalmente, carece de la capacidad de contrarrestar la detecci\u00f3n de m\u00e1quinas virtuales de malware y eludir las t\u00e1cticas anti-evasi\u00f3n.<\/p>\n<h4 style=\"text-align: left\">Ventajas:<\/h4>\n<ul>\n<li>Escalabilidad<\/li>\n<li>Sin mantenimiento de hardware<\/li>\n<li>Aislado de su red para mayor seguridad<\/li>\n<\/ul>\n<h4 style=\"text-align: left\">Contras:<\/h4>\n<ul>\n<li>Riesgos legales potenciales.<\/li>\n<li>Configuraci\u00f3n dif\u00edcil<\/li>\n<li>Necesita ser configurado para funcionar<\/li>\n<li>La latencia disminuye la calidad del trabajo<\/li>\n<li>Las configuraciones avanzadas son caras<\/li>\n<li>Sensible a las t\u00e9cnicas anti-avastin<\/li>\n<\/ul>\n<h3 style=\"text-align: left\">4 \u2014 Sandbox como servicio<\/h3>\n<ol>\n<\/ol>\n<p>Una ventaja importante de los servicios de sandbox basados \u200b\u200ben la nube es su resiliencia integrada frente a la detecci\u00f3n de m\u00e1quinas virtuales.  Esto reduce la probabilidad de que una muestra de malware reconozca que est\u00e1 en una m\u00e1quina virtual y detenga su ejecuci\u00f3n, una caracter\u00edstica que requiere una configuraci\u00f3n manual en otras zonas de pruebas.<\/p>\n<p>Adem\u00e1s, en un servicio como este, las reglas de detecci\u00f3n son escritas por especialistas que utilizan vastas bases de datos de inteligencia de malware y amenazas.  Como resultado, el software puede enriquecer los resultados del an\u00e1lisis con t\u00e9cnicas e IOC, lo que genera resultados m\u00e1s completos en comparaci\u00f3n con los datos sin procesar de la nube o las m\u00e1quinas virtuales locales. <\/p>\n<p>Adem\u00e1s, los servicios de sandbox basados \u200b\u200ben la nube agilizan las configuraciones del entorno.  Por ejemplo, en lugar de crear instant\u00e1neas separadas en una m\u00e1quina virtual, <a rel=\"nofollow noopener\" href=\"https:\/\/any.run\/?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=research_lab_for_reverse0323&amp;utm_content=landing\" target=\"_blank\"><b>Servicio en la nube de ANY.RUN<\/b><\/a>  permite una f\u00e1cil configuraci\u00f3n del entorno a trav\u00e9s de un men\u00fa f\u00e1cil de usar cada vez que se inicia un laboratorio.<\/p>\n<h4 style=\"text-align: left\">ventajas<\/h4>\n<ul>\n<li>Ahorra tiempo<\/li>\n<li>Facilidad de uso<\/li>\n<li>Seguro y completamente aislado de su red<\/li>\n<li>Reforzado contra la detecci\u00f3n de VM<\/li>\n<li>Configuraci\u00f3n sencilla del entorno de ejecuci\u00f3n<\/li>\n<\/ul>\n<h4 style=\"text-align: left\">Contras<\/h4>\n<ul>\n<li>No est\u00e1 optimizado para trabajar con su conjunto de herramientas<\/li>\n<li>Ciertas soluciones en el mercado pueden ser lentas<\/li>\n<li>Las instancias de m\u00e1quinas virtuales tienen limitaciones de tiempo<\/li>\n<\/ul>\n<p>El uso de una caja de arena interactiva en l\u00ednea como ANY.RUN en lugar de un laboratorio ofrece comodidad y velocidad.  Puede ayudar a automatizar partes del an\u00e1lisis est\u00e1tico, como extraer configuraciones de malware.<\/p>\n<p>Si desea probar ANY.RUN usted mismo, actualmente est\u00e1n realizando una promoci\u00f3n especial para los lectores de Hacker News:<\/p>\n<div class=\"separator\" style=\"clear: both\"><a rel=\"nofollow noopener\" target=\"_blank\" href=\"https:\/\/app.any.run\/contact-us\/?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=research_lab_for_reverse0323utm_content=contactus_banner\/#hackernews3-promo\" style=\"clear: left;float: left;text-align: center\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/04\/1680565055_654_Como-construir-un-laboratorio-de-investigacion-para-ingenieria-inversa-4.png\" alt=\"Ingenier\u00eda inversa de malware\" border=\"0\" data-original-height=\"338\" data-original-width=\"728\" title=\"Ingenier\u00eda inversa de malware\" \/><\/a><\/div>\n<h2>Tipos de software para ingenier\u00eda inversa<\/h2>\n<p>Aqu\u00ed hay algunas herramientas esenciales que lo ayudar\u00e1n a aplicar ingenier\u00eda inversa al malware:<\/p>\n<ul>\n<li><strong>Desmontadores.<\/strong> Los desensambladores son imprescindibles para la ingenier\u00eda inversa.  Le permiten transformar el lenguaje de m\u00e1quina en c\u00f3digo ensamblador que es f\u00e1cil de entender para los humanos, para que pueda obtener informaci\u00f3n sobre c\u00f3mo funciona el malware.  IDA Pro, Ghidra y Binary Ninja son desensambladores populares.  Para ejecutar Ghidra en Linux, primero, instale JDK y descargue Ghidra en su m\u00e1quina.  No se necesita instalaci\u00f3n, simplemente ejecute estos comandos dentro del directorio Ghidra: <strong>chmod +x ghirdEjecutar <\/strong>y <strong>.\/ghirdaRun<\/strong>.<\/li>\n<\/ul>\n<ul>\n<li><strong>Descompiladores.<\/strong> Los descompiladores son similares a los desensambladores, ya que pueden convertir c\u00f3digo de m\u00e1quina en c\u00f3digo fuente.  Puede ser \u00fatil para comprender la arquitectura del malware y descubrir funciones o m\u00f3dulos espec\u00edficos.  Los descompiladores populares incluyen IDA Pro, Ghidra y Hex-Rays.<\/li>\n<\/ul>\n<ul>\n<li><strong>Depuradores.<\/strong> Los depuradores ayudan a los programadores a localizar errores y solucionarlos al permitirles revisar el c\u00f3digo l\u00ednea por l\u00ednea, establecer puntos de interrupci\u00f3n y observar la forma en que funciona el malware.  Varios de los depuradores m\u00e1s utilizados son OllyDbg, x64dbg y WinDbg.  x64dbg es una de las opciones m\u00e1s populares en este momento: es gratis y est\u00e1 disponible para descargar desde x64dbg.com<\/li>\n<\/ul>\n<ul>\n<li><strong>Editores hexadecimales.<\/strong> Los editores hexadecimales son \u00fatiles para ver m\u00e1s de cerca los archivos binarios, comprender c\u00f3mo est\u00e1n organizados, detectar valores particulares y manipular el archivo como una forma de ver c\u00f3mo responde el virus.  Los editores hexadecimales comunes incluyen HxD y Hex Workshop.<\/li>\n<\/ul>\n<ul>\n<li><strong>Herramientas de an\u00e1lisis de red.<\/strong> Cierto malware requiere una conexi\u00f3n en l\u00ednea para funcionar.  Los programas de an\u00e1lisis de red como Wireshark pueden ayudarlo a identificar y examinar el tr\u00e1fico enviado y recibido por ese malware.<\/li>\n<\/ul>\n<h2>Herramientas esenciales de an\u00e1lisis de malware<\/h2>\n<p>Depende del analista decidir qu\u00e9 software instalar, pero, en nuestra opini\u00f3n, la lista de herramientas esenciales se ve as\u00ed:<\/p>\n<ul>\n<li><strong>Detectarlo f\u00e1cil<\/strong>.  Para determinar tipos de archivos<\/li>\n<li><strong>Hacker de procesos<\/strong>.  Lo ayuda a monitorear los recursos del sistema, depurar software y detectar malware<\/li>\n<li><strong>Monitoreo de procesos<\/strong>.  Una herramienta de monitoreo para Windows que muestra el sistema de archivos en tiempo real, el Registro y la actividad de procesos\/subprocesos<\/li>\n<li><strong>Tibur\u00f3n alambre<\/strong>.  Para analizar la actividad de la red<\/li>\n<li><strong>x64dbg<\/strong> y <strong>ghidra<\/strong>.  Requerido para el an\u00e1lisis est\u00e1tico y din\u00e1mico.<\/li>\n<\/ul>\n<p>Ah, y si desea obtener un laboratorio preconfigurado, puede usar un kit de distribuci\u00f3n especializado como Remnux, que viene con la mayor\u00eda de esos programas ya instalados. <\/p>\n<p>Tambi\u00e9n est\u00e1 FLARE VM, una colecci\u00f3n de scripts de instalaci\u00f3n de software para sistemas basados \u200b\u200ben Windows que le permite configurar y mantener f\u00e1cilmente un entorno de ingenier\u00eda inversa en una m\u00e1quina virtual.<\/p>\n<h2>Terminando<\/h2>\n<p>Hemos discutido cuatro m\u00e9todos diferentes para crear un laboratorio de an\u00e1lisis: utilizar la virtualizaci\u00f3n, construir una m\u00e1quina dedicada, implementar un laboratorio en la nube o suscribirse a un <a rel=\"nofollow noopener\" href=\"https:\/\/any.run\/demo\/?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=research_lab_for_reverse0323&amp;utm_content=demo\" target=\"_blank\"><b>Sandbox como servicio<\/b><\/a>. <\/p>\n<p>Cada uno de estos enfoques viene con su propio conjunto de beneficios e inconvenientes, y la elecci\u00f3n correcta depende de lo que est\u00e1 tratando de lograr y los recursos disponibles para usted.<\/p>\n<p>Afortunadamente, la mayor\u00eda de estas opciones son totalmente gratuitas, \u00a1as\u00ed que pru\u00e9belas todas y vea cu\u00e1l funciona mejor! <\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/03\/how-to-build-research-lab-for-reverse.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El an\u00e1lisis de malware es una parte esencial del trabajo de los investigadores de seguridad. Pero trabajar con<\/p>\n","protected":false},"author":1,"featured_media":691298,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,440,4664,321,4662,7388,2177,83598,1034,4668,772,4667,4654,4658,4659,4653,4655,18,4663,4666,4665,4660],"class_list":["post-691297","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como","tag-como-hackear","tag-construir","tag-filtracion-de-datos","tag-formas","tag-ingenieria","tag-inversa","tag-investigacion","tag-la-seguridad-informatica","tag-laboratorio","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/691297","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=691297"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/691297\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/691298"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=691297"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=691297"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=691297"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}