Módulo Avanzado: Auditoría de Integridad de Controladores (Sigcheck)
Herramienta: Sysinternals Sigcheck v2.90
Perfil: Threat Hunting / Compliance Audit / Forensic Analysis
1. Introducción y Objetivo
La carpeta `System32\Drivers` es un objetivo prioritario para actores de amenazas avanzadas (APTs) y rootkits, ya que la ejecución de código a nivel de Kernel (Ring 0) otorga control total sobre el sistema.
El objetivo de esta auditoría es validar la cadena de confianza de todos los controladores cargados, asegurando que:
1. Poseen una firma digital válida de un fabricante confiable (Microsoft, Intel, HP, etc.).
2. No existen binarios huérfanos o suplantados.
2. Metodología: Automatización de Análisis
Se utilizó la herramienta de línea de comandos `sigcheck` para realizar un barrido recursivo y extracción de metadatos.
Comando Ejecutado:
`sigcheck64.exe -e -u -v -c C:\Windows\System32\drivers > auditoria_drivers.csv`
{width=“6.267716535433071in”
height=“1.875in”}
Desglose de Parámetros:
`-e`: Escaneo exclusivo de archivos ejecutables (filtrando ruido de archivos .ini o texto).
`-u` (Unsigned): Filtro de visualización. Se instruyó a la herramienta para resaltar prioritariamente archivos sin firmar.
`-v`: Intento de consulta a la API de VirusTotal (Hash lookup).
`-c`: Exportación a CSV para tratamiento de datos masivos.
3. Resultados del Análisis Forense
3.1 Integridad de Firmas (Digital Signatures)
Se auditaron un total de 393 controladores
Estado: 100% Firmados (Signed).
Hallazgo: No se detectaron archivos “Unsigned” (Sin firmar). Esto garantiza que Windows no está cargando código arbitrario en el Kernel y que la integridad del sistema operativo se mantiene intacta.
3.2 Inventario de Fabricantes
{width=“6.267716535433071in”
height=“3.1666666666666665in”}
Además de los controladores nativos de Microsoft, se validó la legitimidad de controladores de terceros esenciales para el hardware del equipo:
HP Inc: Controladores de protección de disco (`hpdskflt.sys`, `Accelerometer.sys`).
ELAN: Controladores de interfaz humana/Touchpad (`ETDHCF.sys`).
VMware: Controladores de virtualización (`hcmon.sys`).
comando:: LSI/Intel: Controladores de almacenamiento y chipset.
3.3 Limitaciones Técnicas Observadas (VirusTotal)
Durante la consulta masiva a la nube, se registró el error *“Uno de los dispositivos conectados al sistema no funciona”* o *“No se pudo establecer conexión”
Análisis del Error: Este comportamiento es consistente con las limitaciones de la API pública de VirusTotal o timeouts de red al intentar consultar +390 hashes simultáneamente desde una misma IP.
Mitigación: Dado que la validación de firma digital (Paso 3.1) fue exitosa en la totalidad de los archivos, se considera el riesgo mitigado. En un entorno real, los archivos sospechosos individuales se subirían manualmente.
4. Conclusión Final
El sistema presenta una postura de seguridad robusta a nivel de controladores. La ausencia total de binarios sin firmar en el directorio crítico `\Drivers` descarta la presencia de rootkits persistentes básicos o modificaciones no autorizadas del Kernel.