Quartz 4

2025 02 10 Tlp Ioc Y Deteccion De Malware

3 min read

TLP y Marcadores de Compromiso

Relacionado: SPLUNK. Herramientas. Forense de memoria de sistema completo. 2025 02 20 Seguridad iOS memoria permisos y sandboxing. Sistema de Gestion de la Seguridad de la Informacion.

TLP (Traffic Light Protocol) es un sistema de etiquetado que clasifica la información en diferentes niveles de sensibilidad y distribución. Sin embargo, un marcador de compromiso (Indicator of Compromise, IOC) es un concepto diferente, utilizado en ciberseguridad para identificar signos de una posible intrusión o actividad maliciosa en un sistema.

Proyectos No Protegidos y Sistemas de Archivos Ocultos

En ciertos casos, un “unprotected project” (proyecto no protegido) puede referirse a código o recursos expuestos sin medidas de seguridad adecuadas.
Por otro lado, un hidden file system (sistema de archivos oculto) es aquel diseñado para ocultar información de usuarios no autorizados, a menudo empleado en malware o en sistemas de alta seguridad.

Edición y Análisis de Archivos Binarios

  • Para modificar archivos binarios en un sistema Linux, se puede usar un editor hexadecimal, como vi, aunque editores más especializados como hexedit o xxd son más adecuados.

  • Para ver el tamaño de un fichero, se usa el comando:

    du -s nombre_del_archivo

  • El tamaño de bloque de un archivo suele depender del sistema de archivos, pero un tamaño común es 4 KB (4096 bytes), no 4 bytes.

Comparación de Bloques y Herramientas Relacionadas

  • ssdeep es una herramienta de comparación basada en fuzzy hashing, útil para detectar similitudes entre archivos. Su parámetro blocksize define el tamaño de los bloques usados en la comparación.

Detección de Malware y Entornos Virtualizados

  • freshclam es la herramienta encargada de actualizar la base de datos de firmas de virus de ClamAV.
  • pafish (Paranoid Fish) es un software que analiza si un entorno de ejecución es una máquina virtual, lo que es útil para detectar entornos de análisis en los que se ejecutan muestras de malware.

Análisis de Binarios y Sandboxes

  • Para determinar si un ejecutable es un .exe o una aplicación basada en .NET, se pueden usar herramientas como file, PEiD o dotPeek.
  • Joe Sandbox es una plataforma de análisis de malware que realiza un análisis profundo, pero a diferencia de otras soluciones, hace pública gran parte de la información generada.
  • Any.run es un servicio de sandboxing interactivo que permite al usuario interactuar con el entorno en tiempo real para analizar el comportamiento del malware.

Sigma y SIEM

Sigma es un estándar para la detección de amenazas en soluciones SIEM (Security Information and Event Management). Permite definir reglas genéricas que pueden traducirse a múltiples herramientas SIEM como Splunk, Elastic o QRadar.

Sección .text en Ejecutables

En binarios ejecutables, el código ejecutable se almacena en la sección .text. Esta sección es de solo lectura y contiene las instrucciones de la aplicación en lenguaje máquina.

Graph View

Backlinks