Módulo 9: Análisis Forense de Memoria (Memory Dumping)
Herramienta: Sysinternals Procdump & Strings
Perfil: Incident Response (IR) / Threat Hunting / Malware Analysis
{width=“6.267716535433071in”
height=“3.2916666666666665in”}
1. Contexto Teórico: “Data in Use” vs. “Data at Rest”
La mayoría de las auditorías se centran en el disco duro (“Data at Rest”). Sin embargo, los atacantes avanzados saben esto y utilizan técnicas “Fileless” (Sin Archivo)
Cuando un programa (como un navegador o una terminal) maneja una contraseña, esta debe descifrarse y almacenarse en la Memoria RAM (“Data in Use”) para ser procesada.
El Problema: Los antivirus tradicionales escanear archivos en disco, no variables en la memoria volátil.
La Oportunidad: Si congelamos el proceso y volcamos su memoria (`.dmp`) antes de que se cierre, podemos recuperar contraseñas, claves de cifrado o comandos ejecutados que nunca tocaron el disco duro.
2. Escenario de Ataque Real: “Living off the Land”
Caso de uso: Un atacante compromete un servidor y quiere mantener persistencia sin instalar malware que pueda ser detectado.
1. La Técnica: Utiliza procesos legítimos de Windows (`cmd.exe` o `powershell.exe`) para manejar sus claves de acceso a la base de datos.
2. El Camuflaje: Guarda las credenciales en **Variables de Entorno** temporales dentro de la sesión de la consola.
3. La Evasión: Al no haber un archivo `password.txt` en el disco, el DLP (Data Loss Prevention) no detecta nada.
Detección: El analista de seguridad sospecha de una consola `cmd.exe` abierta durante mucho tiempo (Long-running process) y decide realizar una “biopsia” digital.
3. Metodología: Extracción de Evidencia Volátil
Se procedió a aislar un proceso sospechoso (`cmd.exe`) para extraer su mapa de memoria completo.
{width=“6.267716535433071in”
height=“3.2083333333333335in”}
3.1 Identificación y Captura (Procdump)
{width=“6.267716535433071in”
height=“3.2222222222222223in”}
Se localizó el proceso sospechoso mediante su PID.
Comando: `procdump.exe -ma [PID] memoria_forense.dmp`
`-ma`: Escribe un volcado “Full Memory”. Es crítico usar este parámetro; sin él, solo capturamos las cabeceras del programa y no los datos del usuario (el “Heap” y el “Stack”).
3.2 Análisis de Cadenas (Strings)
Un archivo `.dmp` es binario ilegible (ceros y unos). Se utilizó la herramienta `strings` para filtrar secuencias de caracteres imprimibles (ASCII/Unicode) dentro del caos binario.
Comando de Búsqueda:
`strings.exe memoria_forense.dmp | findstr “MI_TESORO”`
4. Evidencia Obtenida
La herramienta forense logró recuperar la variable de entorno que residía exclusivamente en la RAM del proceso.
Hallazgo:
Variable: `MI_TESORO`
Valor: `CODIGO_NUCLEAR_1234`
{width=“6.267716535433071in”
height=“3.263888888888889in”}
5. Conclusión
El volcado de memoria es la técnica definitiva cuando el disco no muestra evidencias. Permite recuperar “lo que el ordenador estaba pensando” en un momento exacto, exponiendo secretos que el atacante creía seguros por ser volátiles.