HABILIDADTIER 0
Análisis Estático de Malware
Sin ejecutar el malware: strings, PE headers, disassembly con Ghidra/IDA, análisis de ofuscación y empaquetadores.
TIEMPO ESTIMADO
60 horas
DIFICULTAD
intermedio
COSTO
Gratuito (Ghidra es open-source; IDA Free disponible)
Sobre esta habilidad
El análisis estático de malware consiste en examinar un ejecutable malicioso sin ejecutarlo. Es el primer paso en cualquier investigación de malware y permite obtener indicadores rápidos de compromiso (IoCs) sin riesgo de infección del entorno de análisis.
Las técnicas van desde lo básico (extraer strings legibles, examinar cabeceras PE, identificar imports/exports) hasta técnicas avanzadas (desensamblar el código con Ghidra o IDA Pro, desofuscar strings, identificar empaquetadores como UPX o custom packers, y analizar el control flow graph del ejecutable).
Es la habilidad base que todo analista de malware necesita antes de pasar al análisis dinámico. También es fundamental para desarrolladores de firmas AV/EDR, equipos de respuesta a incidentes y cazadores de amenazas (threat hunters). El artículo de CyberFlows cubre las técnicas esenciales con ejemplos reales.
Habilidades Cubiertas
- Estructura del formato PE (Portable Executable)
- Extracción y análisis de strings
- Imports/exports y llamadas a APIs de Windows
- Identificación y desempaquetado de packers
- Desensamblado con Ghidra y IDA Pro
- Análisis de control flow graphs (CFG)
- Detección de técnicas de ofuscación
- Extracción de IoCs (hashes, IPs, dominios, mutexes)