Una amenaza se ejecuta solo en memoria, sin ningún archivo en disco. ¿Cómo la analizas?
Respuesta breve
El malware fileless vive en la memoria de los procesos (inyección, carga reflectiva, LOLBins), así que adquiere y analiza una imagen de memoria para hallar el código inyectado, los módulos sospechosos y las relaciones entre procesos. Un escaneo antivirus del disco y un disco limpio no te dicen nada de un implante en memoria. La papelera de reciclaje es irrelevante. El análisis de memoria es la herramienta adecuada cuando no hay archivo que triar, y debes capturar antes de reiniciar el host.
Las amenazas fileless están diseñadas para vencer los reflejos centrados en disco de los analistas más débiles. El entrevistador comprueba si sabes dónde vive realmente la evidencia cuando no hay nada que copiar del sistema de archivos, y si actúas antes de que se evapore.
Por qué la captura y el análisis de memoria son lo correcto
Por definición, el código malicioso nunca aterriza como archivo en disco. En su lugar se ejecuta en la memoria de los procesos mediante técnicas como la inyección de procesos, la carga reflectiva de DLL o los binarios living-off-the-land (LOLBins) como PowerShell y WMI. El único sitio donde encontrarlo es la RAM, así que adquieres una imagen de memoria del host afectado y la analizas: caza código inyectado en procesos legítimos, módulos en memoria sin archivo de respaldo en disco, árboles de procesos anómalos (por ejemplo, Office lanzando un intérprete de scripts), conexiones de red y líneas de comandos. Como la memoria es volátil, la capturas antes de reiniciar: un apagado borra tu único artefacto. Para esto existe precisamente el análisis de memoria.
Por qué las otras opciones son erróneas
- Ejecutar un escaneo antivirus del disco y confiar en él. Un escaneo de disco no puede ver código que no está en disco. Un escaneo limpio aquí es una falsa tranquilidad: el implante está en la RAM, intacto.
- Concluir que no pasa nada porque el disco está limpio. Es la trampa que el malware está hecho para activar. «Disco limpio» no significa nada frente a una amenaza fileless; la ausencia en disco es prueba de la técnica, no de seguridad.
- Revisar la papelera de reciclaje. La papelera guarda archivos eliminados. No hay archivo implicado, así que es puro movimiento en vano mientras la evidencia volátil se escapa.
Qué buscan los entrevistadores
La señal senior es nombrar el orden de recolección y el conjunto de técnicas: capturar la memoria primero porque es volátil, luego buscar inyección, carga reflectiva y abuso de LOLBins en el árbol de procesos. Los buenos candidatos conectan esto con la telemetría de EDR y las herramientas de live response, y señalan explícitamente que reiniciar el host para «arreglarlo» destruiría la única evidencia, un error que un junior bajo presión comete a menudo.
Posibles preguntas de seguimiento
- ¿Qué técnicas de inyección (process hollowing, DLL reflectiva, APC) buscarías en la imagen de memoria, y cómo aparecen?
- ¿Por qué reiniciar o apagar el host destruye aquí tu mejor evidencia, y cómo la preservas?
- ¿Qué LOLBins o patrones living-off-the-land habilitan comúnmente la ejecución fileless, y cómo los detectarías?