Módulo 1: Análisis Forense básico de Procesos y Telemetría de Red
Herramientas: Sysinternals Process Explorer & TCPView
Perfil: Blue Team / Administración de Sistemas
1. Introducción y Contexto Empresarial
En el entorno corporativo actual, el Administrador de Tareas de Windows es insuficiente para detectar amenazas avanzadas o diagnosticar problemas complejos de rendimiento.
El uso de Process Explorer y TCPView es el estándar de la industria para:
Threat Hunting: Identificación de malware que se disfraza de procesos legítimos (ej. `svchost.exe` falsos).
Análisis Forense en Vivo: Detección de inyecciones de código (DLL Injection) y conexiones de Command & Control (C2).
Troubleshooting: Diagnóstico de bloqueos de aplicaciones y conflictos de puertos.
2. Herramienta Principal: Process Explorer (`procexp.exe`)
2.1 Fundamentos Teóricos
Process Explorer desglosa la actividad del sistema mostrando la estructura jerárquica de ejecución (**Árbol de Procesos**).
A diferencia del administrador de tareas, permite ver:
-
Relación Padre-Hijo: Quién ejecutó qué. Vital para detectar anomalías (ej. un `word.exe` lanzando un `powershell.exe`).
-
Integridad de Imagen: Verificación criptográfica de que los binarios en disco no han sido alterados (Firmas Digitales).
-
Handles y DLLs: Qué archivos y librerías tiene “secuestrados” un programa.
2.2 Configuración del Entorno de Análisis
Para realizar una auditoría efectiva, se configuró la herramienta con las siguientes columnas y opciones avanzadas:
1. Privilegios: Ejecución como `Administrator` para acceso total a la memoria del kernel.
2. Verificación de Firmas: Menú `Options` > `Verify Image Signatures`. (Permite distinguir
binarios de Microsoft de posibles suplantaciones).
3. Inteligencia de Amenazas: Integración con API de VirusTotal para escaneo de hashes en tiempo real.
{width=“6.267716535433071in”
height=“3.3055555555555554in”}
{width=“6.267716535433071in”
height=“3.2916666666666665in”}
2.3 Caso Práctico: Análisis de Arquitectura Multiproceso (Chrome)
Escenario: Se analizó el proceso `chrome.exe` para auditar sus conexiones de red.
Observación: Al inspeccionar el proceso encargado del renderizado de video (PID identificado mediante la herramienta “Diana/Target”), se observó una discrepancia:
-
La pestaña TCP/IP solo mostraba conexiones locales UDP (Puerto 5353, mDNS).
-
No existían conexiones HTTPS visibles en el proceso gráfico.
Explicación Técnica:
Los navegadores modernos utilizan Sandboxing
El proceso que “dibuja” la web no tiene permisos directos de red segura. Delega esta función a un sub-proceso especializado (Network Service).
{width=“6.267716535433071in”
height=“1.7361111111111112in”}
3. Herramienta Especializada: TCPView (`tcpview.exe`)
3.1 Fundamentos Teóricos
Cuando Process Explorer ofrece una visión demasiado general, TCPView actúa como un “sniffer” de sockets en tiempo real a nivel de endpoint. mapea cada conexión TCP/UDP a un proceso específico (PID), mostrando el estado de la conexión (`LISTENING`, `ESTABLISHED`, `TIME_WAIT`).
3.2 Resolución del Caso Práctico
Para hallar la conexión real del escenario anterior, se utilizó TCPView para enumerar todos los sockets del sistema.
Metodología:
1. Se deshabilitó la resolución de nombres (`Resolve Addresses`) para obtener las IPs exactas y puertos.
2. Se filtró por el proceso `chrome.exe`.
3. Se identificó el PID específico encargado de la comunicación (distinto al de renderizado).
Hallazgos:
-
Proceso Identificado: `chrome.exe` (PID: 23016 en este laboratorio).
-
Conexión: Protocolo TCPv6 en estado `ESTABLISHED`.
-
Puerto Remoto: 5228 y 443.
-
Análisis de Puerto: El puerto 5228 corresponde a Google Firebase Cloud Messaging*, validando el tráfico como legítimo y descartando la exfiltración de datos maliciosa.
{width=“6.267716535433071in”
height=“3.3055555555555554in”}
4. Conclusiones del Módulo
1. Visibilidad: Se ha demostrado cómo superar las limitaciones del Administrador de Tareas nativo.
2. Verificación: La importancia de validar firmas digitales para asegurar la cadena de confianza del software.
3. Correlación: La necesidad de cruzar información entre herramientas (Process Explorer + TCPView) para entender arquitecturas complejas como el Sandboxing de navegadores.