Mobile Forensics
Mobile Forensics (Español)
Mobile Forensics (Español)
  • Introduction
  • Preparations
    • Knowledge
    • Safety
    • Trust
    • Backup
  • Methodology
  • Verificar computadoras con Windows
    • Revisar programas que se ejecutan al encender la computadora
    • Revisar los procesos en ejecución
    • Revisar las conexiones de red
    • Extraer datos para su análisis posterior
  • Checking Mac Computers
    • Review Programs Launching at Startup
    • Review Running Processes
    • Review Kernel Extensions
    • Review Network Connections
    • Review XProtect Logs
    • Extract Data for Further Analysis
  • Verificación de smartphones
    • Nota: temario
    • Estructura del sistema de un smartphone
    • Verificar los dispositivos vinculados a las aplicaciones de mensajería
    • Verificar los mensajes sospechosos
    • Monitorear el tráfico de red
    • Nota: Monitorear el tráfico de red en Linux
  • Checking Android Devices Basic
    • Review Installed Applications
    • Check Storage
    • Check if the Phone is under Android Device Policy
    • Check if the Phone is Rooted
    • Check if Developer Options is Enabled
    • Analyze Applications
    • Extract Data for Further Analysis
    • Optional : Check for Indicators of Stalkerware Installation
  • Checking Android Devices Advanced
    • Wireshark
    • MVT
    • Other Tools
  • Checking iOS Devices
    • Review iCloud Accounts
    • Review Installed Applications
    • Check for Mobile Device Management Profiles
    • Check for Shortcuts
    • Check for Jailbreaks
    • Enable and Check App Privacy Report
    • Extract Data for Further Analysis
    • Analyzing Extracted Data
    • About Lockdown Mode
  • Checking Devices Remotely
    • Mac Computers
    • Android
  • Concluding a Forensic Gathering
  • References and Further Learning
  • License and Credits
Powered by GitBook
On this page
  • Process Explorer
  • 1. Verificar firmas de imágenes
  • 2. Buscar scripts
  • 3. Buscar DLL en ejecución
  • 4. Buscar procesos de aplicaciones que deberían ser visibles
  • Opcional: 5. Buscar programas en VirusTotal
  • CrowdInspect
  • Verificar posibles inyecciones de procesos
  1. Verificar computadoras con Windows

Revisar los procesos en ejecución

PreviousRevisar programas que se ejecutan al encender la computadoraNextRevisar las conexiones de red

Last updated 4 months ago

Una computadora infectada con programas espía debería tener algunos procesos maliciosos ejecutándose en todo momento, monitoreando el sistema y recolectando datos para ser transmitidos al servidor de de los atacantes. Por consiguiente, otro paso necesario para evaluar una computadora con Windows sospechosa es extraer la lista de procesos en ejecución y averiguar si alguno de ellos muestra características sospechosas.

Existen un par de herramientas disponibles para ello.

Advertencia: los programas espía más sofisticados podrían ser capaces de evadir esta herramienta, ya sea ocultando sus propias entradas en el árbol de procesos, o tal vez finalizando de inmediato si detectan que se está ejecutando alguna de estas herramientas. En esta guía proporcionamos cierta metodología inicial y sugerencias para realizar una evaluación inicial. Sin embargo, una lista de procesos limpia no garantiza necesariamente un sistema limpio.

Antes de proceder a esta verificación, se recomienda que cierre todas las aplicaciones visibles en ejecución, con el fin de reducir al mínimo los resultados de las herramientas que va a ejecutar.

Process Explorer

es otra herramienta de la de Microsoft, y recoge todos los procesos que se están ejecutando en el sistema en un árbol:

1. Verificar firmas de imágenes

2. Buscar scripts

En la actualidad, los atacantes suelen aprovechar las capacidades de scripting de Microsoft Windows, como PowerShell y Windows Script Host, debido a su flexibilidad e incluso a su capacidad para evadir la detección. Estas herramientas de scripting son utilizadas habitualmente por empresas para automatizar configuraciones de sistemas internos. Es menos común ver que las aplicaciones de consumo las utilicen, por lo que cualquier proceso relacionado que se ejecute debe ser inspeccionado más a fondo.

Estos procesos normalmente se llamarían powershell.exe o wscript.exe.

A continuación se muestra un ejemplo de Process Explorer mostrando un script PowerShell obviamente malicioso ejecutándose en el sistema:

Al pasar el cursor por encima del nombre del proceso, se muestran los argumentos de la línea de comandos, donde se ve claramente que el script está intentando descargar y ejecutar algún código adicional. Observe también el uso de mayúsculas y minúsculas variadas, como "doWnLoAdfile": se trata de un truco muy básico que utilizan los atacantes para evadir patrones de detección igualmente básicos por parte del software de seguridad.

3. Buscar DLL en ejecución

Busque si alguno de esos procesos se está ejecutando e intente determinar qué archivo DLL está ejecutando. Por ejemplo, en la siguiente captura de pantalla, podemos ver un sistema Windows infectado ejecutando un archivo DLL malicioso ubicado en C:\Usuarios\<Nombredeusuario>\AppData\ mediante regsvr32.exe.

4. Buscar procesos de aplicaciones que deberían ser visibles

Por ejemplo, si ve un proceso iexplore.exe en ejecución, cuando claramente no hay ninguna ventana de Internet Explorer abierta, debería considerarlo una señal preocupante.

Opcional: 5. Buscar programas en VirusTotal

CrowdInspect

Verificar posibles inyecciones de procesos

CrowdInspect le alertará de cualquier proceso inyectado mostrando un punto rojo visible bajo la columna "Inject". Los procesos inyectados son, por lo general, un muy buen indicador de que puede haber una infección activa en la computadora analizada.

La metodología para verificar la existencia de procesos en ejecución sospechosos es algo similar a la que describimos en la sección .

De forma similar a Autoruns, Process Explorer también permite verificar las firmas de aplicaciones en ejecución haciendo clic en Options y activando "Verify Image Signatures". Aquí se aplican también las mismas consideraciones y advertencias que describimos en la . Más aún con los procesos en ejecución, el hecho de que una aplicación en proceso esté firmada no significa necesariamente que sea segura. El malware a menudo utiliza técnicas como o para ejecutar código desde dentro del contexto de una aplicación legítima y firmada con el objetivo de impedir su detección.

El malware a veces se presenta también en forma de una que, a diferencia de una aplicación independiente (en otras palabras, un archivo .exe), necesita ser lanzada por un cargador. Windows ofrece algunos programas para lanzar DLL, como regsvr32.exe y rundll32.exe, que están firmados por Microsoft.

Entre las muchas técnicas que suelen utilizar los atacantes se encuentra, por ejemplo, . Process Hollowing consiste en lanzar una aplicación legítima (como Internet Explorer o Google Chrome), vaciar su memoria y sustituirla por código malicioso, que luego será ejecutado. Esto generalmente se hace para ocultar el código malicioso, hacerlo aparecer como una aplicación legítima (que entonces sólo sería una cáscara vacía), evadir el firewall de aplicaciones y tal vez evadir algunos otros productos de seguridad.

De forma similar a la sección , Process Explorer también ofrece buscar procesos en ejecución en VirusTotal mediante la búsqueda del hash criptográfico de los respectivos archivos ejecutables. Esto puede activarse haciendo clic en Options > VirusTotal.com y habilitando Check VirusTotal.com.

Nota: las mismas consideraciones y advertencias explicadas en la se aplican aquí también. Asegúrese de leerlas antes de proceder.

es una herramienta desarrollada por la empresa de seguridad estadounidense CrowdStrike. CrowdInspect es muy similar a Process Explorer, pero tiene algunas ventajas. En primer lugar, la información presentada tiende a ser más compacta. En segundo lugar, no sólo muestra los procesos que están activos en ese momento, sino que también puede mostrar los procesos que han terminado desde que se inició la herramienta (que tal vez usted haya pasado por alto porque se ejecutaron demasiado rápido). Por último, realiza una serie de verificaciones más que Process Explorer no soporta actualmente.

Probablemente la característica más interesante que presenta CrowdInspect, es la capacidad de identificar cualquier . La inyección de procesos es una categoría de técnicas cuyo objetivo es ejecutar código malicioso en el contexto de una aplicación independiente, generalmente legítima (como explorer.exe). La inyección de procesos suele ser utilizada por los autores de malware para obtener privilegios adicionales en el sistema o, por ejemplo, para evadir la detección.

Revisar programas que se ejecutan al encender la computadora
sección anterior
Process Hollowing
DLL Sideloading
Biblioteca de Enlace Dinámico (DLL)
Process Hollowing
Autoruns
sección anterior
CrowdInspect
proceso inyectado
Comando y Control
Process Explorer
Sysinternals Suite
A screenshot of the Sysinternals Process Explorer. It diplays a list of processes. Some are not highlighted at all, whereas others are highlighted in red, with their sub-processes highlighted in cyan blue, dark grey, light purple, or not lighted at all. The explorer also shows how much CPU each process utilizes, how many private bytes it has, its working set, PID, description, company name, and VirusTotal score.
Another screenshot of Process Explorer. Somebody opened the Options menu and is selecting the Verify Image Signatures menu item therein.
A screenshot of Process Explorer. It is displaying a tooltip over powershell.exe and its sub-process conhost.exe. The tooltip displays obfuscated PowerShell code, along with a URL that has been blanked out by its author.
A screenshot of Process Explorer. It is displaying a tooltip over regsvr32.exe. The tooltip displays a shell command to load a DLL.
A screenshot of Process Explorer. A process that is called explore.exe and which has the Internet Explorer logo is selected.
Another screenshot of Process Explorer. Somebody opened the Options menu, floated over the VirusTotal.com submenu, and is selecting the 'Check VirusTotal.com' menu item.
A screenshot of CrowdInspect. It has several options highlighted, including TCP, UDP, Localhost, System, and Full Path. It displays a host of data about processes, including their names, PIDs, types of network connections, local and remote IP addresses.
A screenshot of CrowdInspect, with a process called iexplore.exe selected, which has a red dot in the column marked Inject.