Durante la última jornada de las XIX Jornadas STIC, el profesor de la Universidad de Zaragoza y líder del grupo de investigación RME-DisCo, Ricardo J. Rodríguez, impartió un taller sobre detección de malware en memoria con volatility3. Lo hizo dentro de la track de RootedLabs para analistas con conocimientos básicos de DFIR interesados en profundizar en técnicas específicas de análisis de malware en memoria y en aportar un enfoque metodológico sólido a sus investigaciones.
El taller, basado en uno de sus últimos trabajos, se centró en mostrar cómo el análisis forense de memoria no solo permite detectar procesos ocultos o anomalías en la RAM, sino también correlacionar indicadores de compromiso con tácticas y técnicas adversarias documentadas en MITRE ATT&CK. Para ello, presentó una metodología estructurada en cinco fases diseñada específicamente para alinear la extracción y el tratamiento de las evidencias con las tácticas del propio marco.
En el taller, expuso cómo Volatility3 puede emplearse para investigar casos de malware en memoria mediante la identificación de artefactos como inyecciones de código, hooks en librerías del sistema, conexiones de red persistentes y módulos cargados de forma sospechosa desde un flujo de trabajo que comienza con la preservación y el análisis de datos en crudo, utilizando entropía y reglas YARA para detectar inyecciones y ofuscación antes de interpretar las estructuras del sistema operativo.
Parte de las herramientas presentadas por Rodríguez pertenecen a BinTopsy, un conjunto ligero de herramientas desarrolladas en python por el Grupo de investigación RME-DisCo de la Universidad de Zaragoza y que facilita el análisis estático de malware, la visualización de entropía en binarios y la recopilación de información de ciberamenazas, incluyendo funciones de desensamblado, escaneo con YARA y automatización de consultas con VirusTotal.
Durante la ponencia, también mencionó algunos plugins de vol3 como pslist, netscan o malfind, que permiten identificar procesos ocultos, conexiones de C2 y mecanismos de persistencia.
El enfoque presentado, según explica Rodríguez, al final lo que busca es «transformar la detección de indicadores técnicos aislados en una investigación táctica y reproducible, capaz de reconstruir el comportamiento completo del malware en tiempo de ejecución».
Sobre Ricardo J. Rodriguez
Ricardo J. Rodríguez es Doctor en Informática e Ingeniería de Sistemas por la Universidad de Zaragoza desde 2013. Actualmente, trabaja como Profesor Titular en la misma universidad. Sus intereses de investigación incluyen el análisis de sistemas complejos, con especial énfasis en el rendimiento y su seguridad, el forense digital y el análisis de aplicaciones binarias.
Participa como ponente habitual y profesor de talleres técnicos en numerosas conferencias de seguridad del sector industrial, como NoConName, Hack.LU, RootedCON, Hack in Paris, MalCON, SSTIC CCN-CERT, o Hack in the Box Amsterdam, entre otras. Lidera una línea de investigación dedicada a seguridad informática en la Universidad de Zaragoza (https://reversea.me).
Sobre RME-DisCo
El Grupo de Investigación en Computación Distribuida (DisCo) de la Universidad de Zaragoza está adscrito al Departamento de Informática e Ingeniería de Sistemas (DIIS) de la Escuela de Ingeniería y Arquitectura (EINA) y forma parte del Instituto de Investigación en Ingeniería de Aragón (I3A). Reconocido como grupo de referencia por el Gobierno de Aragón (Referencia T21_23R), se compone de profesorado con actividad investigadora consolidada y en dirección de personal en formación.
Dentro de DisCo, se integra RME (ReverseaME), una unidad centrada en el estudio de la seguridad del software y de los sistemas, con especial atención al análisis binario, la ingeniería inversa, la ciberseguridad y la detección de vulnerabilidades. El equipo participa de manera activa en proyectos de investigación aplicada y en el desarrollo de marcos técnicos orientados al cumplimiento normativo en entornos digitales.
