WEBVTT 00:00.750 --> 00:02.850 Hola y bienvenidos de nuevo. 00:02.970 --> 00:10.470 En esta sesión, vamos a hacer el análisis de archivos, así como la detección de packer. 00:11.710 --> 00:21.640 En la sesión anterior, ya te proporcioné este archivo para que lo descargues de la sección Recursos. 00:22.490 --> 00:25.490 Así que desempaquétalo, descomprímelo. 00:26.000 --> 00:29.210 La contraseña es crackinglessons. com. com. 00:29.240 --> 00:30.110 Y luego abre la carpeta. 00:42.280 --> 00:44.740 Y este es un ransomware de 00:46.570 --> 00:50.650 la vida real, TeslaCrypt ransomware. 00:50.980 --> 00:53.140 Así que ahora vamos a analizarlo. 00:54.580 --> 00:57.580 TrID. NET para ver el tipo de archivo. 00:57.610 --> 01:00.190 Y el tipo de archivo es EXE o DLL. 01:04.390 --> 01:08.140 Así que es un ejecutable de Windows. 01:08.920 --> 01:11.470 A continuación, intentaremos detectar si hay algún empaquetador. 01:12.850 --> 01:20.290 Así que vamos a nuestra carpeta Utilidades, y abrimos Detect It Easy. 01:21.460 --> 01:31.750 A continuación, utilizamos Detect It Easy para abrir nuestro malware. 01:35.810 --> 01:40.100 Y no detectó ningún empaquetador. 01:48.180 --> 01:50.630 Pero eso no significa que no haya empaquetadores. 01:50.930 --> 01:53.390 La otra cosa es la entropía. 01:53.600 --> 01:55.460 Puedes hacer clic ahí, 01:56.840 --> 02:00.410 y te dice que está lleno, al 95%. 02:01.330 --> 02:02.350 Así que son 7. 6 entropía. 02:04.690 --> 02:08.020 La entropía es una medida de la uniformidad con la que se distribuyen los bits en el archivo. 02:08.710 --> 02:15.850 Por tanto, si la entropía es uniforme y se distribuye realmente al azar, no es natural. 02:16.420 --> 02:26.350 Significa que se trata de un archivo cifrado o codificado. 02:26.950 --> 02:33.610 Los archivos normales no serán tan aleatorios en cuanto a la distribución de los bits. 02:34.690 --> 02:40.560 Este es el significado de la entropía. 02:40.570 --> 02:42.820 La entropía máxima es 8. 0. 02:43.990 --> 02:47.290 Cualquier cosa por encima de siete suele estar abarrotada. 02:47.560 --> 02:51.460 Los archivos descomprimidos normales tendrán una entropía de entre 5 y 6, o quizá algo superior. 02:52.360 --> 03:00.430 Así que como puedes ver, aunque el empaquetador no se detecta 03:00.880 --> 03:07.330 todavía, la entropía es muy alta, 7. 6%. 03:07.370 --> 03:08.890 A continuación, 03:11.210 --> 03:15.830 podemos utilizar Exeinfo PE para analizar este archivo. 03:19.460 --> 03:21.620 Y dice PE desconocido, 03:26.110 --> 03:31.270 y tampoco detecta si hay algún empaquetador. 03:32.140 --> 03:35.160 Así que nuestra primera pista de que 03:37.600 --> 03:44.290 está empaquetado vino de la entropía de Detectarlo Fácil, alta entropía. 03:44.950 --> 03:45.910 De acuerdo. 03:47.080 --> 03:47.380 Lo siguiente que haremos será analizar este archivo con PEStudio. 03:47.410 --> 03:53.050 Así que en PEStudio, vamos a abrirlo. Ahora con PEStudio, vamos a dejar que analice el archivo 03:58.460 --> 04:11.000 primero y haga clic en el archivo principal aquí. 04:11.000 --> 04:13.820 Y aquí verás que la firma no está disponible. 04:13.830 --> 04:18.740 No sabe qué archivo es ni si está empaquetado. 04:20.180 --> 04:24.830 Y entonces puedes ver que la descripción es Nano App. 04:25.490 --> 04:29.890 El tipo de archivo es ejecutable. 04:32.130 --> 04:34.140 Así que esperemos a que complete el análisis. 04:36.240 --> 04:41.040 Como puede ver, esperando aquí. 04:41.070 --> 04:43.860 Ahora el análisis ha concluido y podemos ir a ver las bibliotecas. 04:46.080 --> 04:54.870 Hay cuatro bibliotecas, pero muy pocas importaciones, lo que no es natural. 04:56.000 --> 05:00.440 Vamos a las importaciones, la Tabla de Direcciones de Importación, 05:02.330 --> 05:08.780 y usted puede ver aquí sólo uno, dos, tres, cuatro, cinco, seis APIs. 05:09.700 --> 05:13.150 Un programa normal tendrá más que esto, mucho más que esto tal vez 60, 80, 100 APIs. 05:14.730 --> 05:21.620 Pero éste sólo tiene seis APIs que provienen de estas bibliotecas. 05:21.630 --> 05:27.000 Así que esto es una indicación definitiva de que está lleno. 05:27.210 --> 05:31.530 A continuación, puedes ir a 05:33.220 --> 05:36.430 ver las secciones. 05:37.230 --> 05:38.070 Y por aquí 05:39.750 --> 05:45.360 puedes ver secciones de aspecto muy sospechoso: para,. CRT, . erloc. 05:45.720 --> 05:46.410 Y si nos fijamos 05:47.640 --> 05:49.710 en las secciones 05:54.540 --> 05:57.610 de aquí, la entropía es muy alta: 7. 6, la entropía también 05:57.870 --> 06:02.700 es muy alta, 7. 06:02.700 --> 06:02.700 883. 06:04.320 --> 06:06.000 Así que otro indicio que sugiere que está lleno. 06:06.030 --> 06:07.770 Echa un vistazo 06:09.860 --> 06:14.810 a las cadenas, y aquí puedes ver algunas de las APIs 06:20.050 --> 06:21.640 mencionadas en las 06:22.570 --> 06:24.790 cadenas. 06:25.580 --> 06:26.900 Desplacémonos hacia abajo 06:28.990 --> 06:30.700 y veamos qué más tenemos. 06:32.360 --> 06:33.800 Bueno, no mucho. 06:33.980 --> 06:35.090 Puedes ver que la mayoría de las cadenas son como caracteres basura. 06:41.940 --> 06:44.460 Otro indicio de que probablemente esté lleno. 06:44.460 --> 06:47.100 Así que a partir de aquí, más o menos se puede concluir 06:48.870 --> 06:52.380 con muy alta probabilidad de que este malware está empaquetado. 06:54.610 --> 07:02.920 Así que con eso, vamos a detener esta sesión de vídeo aquí, y ahora podemos saber qué hacer. 07:03.010 --> 07:03.850 El siguiente paso será intentar desempaquetar este malware. Al tratarse de 07:04.030 --> 07:12.280 un empaquetador a medida, no podemos utilizar ninguno de los desempaquetadores ya preparados disponibles en Internet. 07:12.640 --> 07:22.630 Así que tenemos que descomprimirlo manualmente. 07:22.630 --> 07:31.930 Así que para eso, nos vemos en el próximo vídeo. 07:32.380 --> 07:35.230 Gracias por vernos.