MALWARE

En AT&T se observa cmpq %rsi, %rdi seguido de jg etiqueta. Si los valores son enteros con signo, ¿qué condición activa el salto?. Salta si RSI es mayor o igual que RDI, porque jg incluye igualdad si no hay overflow. Salta si RDI es mayor que RSI, porque cmp evalúa conceptualmente destino menos origen. Salta si RDI y RSI son distintos, porque jg equivale a jne cuando hay enteros con signo. Salta si RSI es mayor que RDI, porque jg siempre compara el primer operando con el segundo.

Una campaña usa consultas DNS con subdominios largos y de alta entropía para enviar datos fragmentados, mientras mantiene HTTPS para recibir órdenes. ¿Qué interpretación por función es más adecuada?. DNS tunneling y HTTPS C2 son indistinguibles funcionalmente, porque ambos implican siempre exfiltración en subdominios. DNS tunneling indica DGA si los subdominios son largos; HTTPS indica Fast Flux si el certificado cambia. DNS tunneling puede transportar datos o control en consultas; HTTPS puede actuar como canal de órdenes, actualización o C2 principal. DNS tunneling es persistencia; HTTPS C2 es exclusivamente un mecanismo de ejecución inicial.

Una regla YARA detecta muestras reales porque contiene una cadena de configuración muy específica, pero falla en variantes donde esa cadena aparece cifrada. Todas las variantes conservan una estructura binaria común con campos y constantes. ¿Qué mejora es más razonable?. Cambiar la regla para detectar solo alta entropía, porque la entropía identifica una familia concreta. Mover la cadena a meta y dejar condition vacía, para que YARA evalúe la descripción como patrón. Usar patrones hexadecimales flexibles y condiciones estructurales, combinándolos con otros indicadores si existen. Mantener la cadena textual original y añadir nocase, porque eso permite detectar cadenas cifradas.

Un dominio C2 permanece estable, pero sus registros DNS cambian con alta frecuencia y apuntan a muchos hosts intermedios. No hay generación masiva de nombres de dominio. ¿Qué técnica encaja mejor?. DNS tunneling, porque cualquier cambio de IP implica exfiltración en subdominios. Fast Flux, porque rota rápidamente la infraestructura IP asociada al dominio. Fallback C2, porque un dominio estable siempre implica canal alternativo. DGA, porque el dominio estable genera diariamente miles de nombres nuevos.

Una muestra comprueba BIOS, MAC, número de CPUs, RAM, procesos como Wireshark o x64dbg y espera interacción de teclado o ratón antes de ejecutar. ¿Qué clasificación combina mejor esas comprobaciones?. Polimorfismo, porque altera el descifrador cada vez que detecta baja memoria. Fileless malware, porque toda comprobación de entorno implica ausencia de fichero en disco. Anti-sandbox y anti-VM combinadas con anti-debugging o anti-reversing. Metamorfismo, porque reescribe su cuerpo en función del número de CPUs.

En el mercado moderno de malware, un actor compra acceso inicial, otro desarrolla el loader, otro opera la infraestructura y otro monetiza mediante extorsión. ¿Qué fenómeno histórico refleja mejor este escenario?. La evolución de los antivirus, porque las firmas modernas obligan a separar técnicamente todos los roles de una campaña. La transición hacia malware de demostración académica, donde cada fase se separa para facilitar el análisis docente. La aparición de gusanos epidémicos, porque su principal rasgo era dividir la campaña entre afiliados, brokers de acceso y negociadores. La profesionalización del ecosistema, con especialización de roles, mercados de acceso, malware como servicio y operadores diferenciados.

En análisis dinámico de Linux se quiere observar syscalls, llamadas de biblioteca, ficheros abiertos y conexiones. ¿Qué conjunto de herramientas encaja mejor con esas capas?. binwalk para llamadas de biblioteca, strings para conexiones vivas, pdfid para syscalls y peepdf para hilos. YARA para ejecutar la muestra, ldd para simular red, nm para snapshots y sha256sum para procesos. strace para syscalls, ltrace para biblioteca, lsof para ficheros/sockets y Wireshark o tcpdump para tráfico. rabin2 para syscalls, FLOSS para sockets, exiftool para procesos hijos y file para tráfico.

Un malware crea calc.com junto a calc.exe y depende de la precedencia de extensiones o de la ruta para ejecutarse antes que el binario legítimo. ¿Qué técnica representa?. Companion, porque crea un artefacto relacionado que se ejecuta antes o en lugar del original. Overwrite, porque reemplaza bytes del binario original manteniendo nombre y tamaño. Append, porque añade el payload al final del ejecutable legítimo y modifica su entry point. Shelling, porque inserta una capa dentro del ejecutable legítimo y luego vuelve al OEP.

Analizando un PDF sospechoso, pdfid detecta JavaScript, OpenAction y varios streams comprimidos. ¿Qué decisión metodológica es más adecuada?. Abrirlo primero en un visor actualizado dentro de la red corporativa y analizar después si se observa tráfico. Renombrarlo a.txt y buscar strings, porque cambiar la extensión neutraliza las acciones automáticas. Extraer y revisar objetos, acciones, streams y adjuntos con herramientas específicas antes de cualquier apertura insegura. Ejecutar ldd sobre el PDF para saber si importa bibliotecas sospechosas durante la carga.

En AMD64 System V, una rutina recibe un puntero a buffer, una longitud y un byte objetivo, y debe devolver un contador. ¿Qué asignación inicial de registros es coherente con el convenio habitual?. RCX para el puntero, RDX para la longitud, R8 para el byte objetivo y RAX para el valor devuelto. RDI para el puntero, RSI para la longitud, RDX para el byte objetivo y RAX para el valor devuelto. RAX para el puntero, RDI para la longitud, RSI para el byte objetivo y RDX para el valor devuelto. RDI para el puntero, RAX para la longitud, R10 para el byte objetivo y RCX para el valor devuelto.

En una revisión histórica se comparan virus de fichero, macrovirus, gusanos masivos, botnets y ransomware moderno. ¿Qué interpretación explica mejor la evolución del problema?. La evolución combina cambios técnicos con profesionalización, monetización, especialización de roles, infraestructura y objetivos más estratégicos o criminales. El cambio central es que las familias antiguas desaparecen por completo y las campañas modernas ya no reutilizan ideas de replicación, ocultación o control. La evolución se explica sobre todo por la aparición de nuevos lenguajes de programación, sin cambios sustanciales en escala, adversarios o modelo económico. El cambio principal es técnico: se pasa de infectar ficheros locales a abusar de documentos, redes y control remoto, manteniéndose estable la motivación del atacante.

Quieres que una regla YARA detecte un fichero si una cadena aparece al menos tres veces y otra aparece dentro del rango 0x200..0x400. ¿Qué opción refleja mejor esos conceptos?. #a >= 3 and $b in (0x200..0x400). $a >= 3 and #b in (0x200..0x400). !a >= 3 and $b at 0x200..0x400. filesize >= 3 and $b of (0x200..0x400).

Un infector ELF convierte un segmento PT_NOTE en PT_LOAD, añade código al final del fichero, modifica el entry point y conserva una ruta de retorno al punto de entrada original. ¿Qué interpretación es más ajustada?. Midrashim o infección ELF parasitaria, porque altera cabeceras/segmentos, añade payload y redirige el flujo. Shelling puro de alto nivel, porque solo envuelve el programa sin tocar cabeceras ELF ni segmentos. Companion, porque conserva el binario legítimo sin modificarlo y ejecuta otro fichero por precedencia de ruta. Overwrite, porque sustituye el código original sin añadir tamaño ni conservar retorno al programa legítimo.

Un malware Windows intenta evitar hooks de EDR en userland. Para ello obtiene números de syscall, usa stubs limpios y evita pasar por wrappers monitorizados de alto nivel. ¿Qué busca realmente?. Transformar la muestra en rootkit de firmware, porque las syscalls directas escriben directamente en SPI Flash. Reducir visibilidad frente a interceptaciones en bibliotecas de usuario, aunque sigan existiendo señales en kernel, memoria o comportamiento. Sustituir la necesidad de permisos, porque una syscall directa concede automáticamente acceso a cualquier proceso. Evitar por completo la transición a kernel, ejecutando operaciones privilegiadas dentro de ntdll sin syscall real.

En una rutina AMD64 se quiere llamar a una función C que recibe siete argumentos enteros en un sistema Linux con convenio System V AMD64. ¿Qué afirmación describe mejor la colocación de argumentos?. Todos los argumentos se colocan siempre en la pila, de derecha a izquierda, incluso en AMD64. El primer argumento se devuelve en RAX y el resto se escriben en la sección.data. Los argumentos se pasan por RCX, RDX, R8 y R9, porque Linux usa siempre el convenio Microsoft x64. Los seis primeros van en registros definidos por el convenio y los restantes se pasan mediante la pila.

Una muestra consulta CPUID, nombres de dispositivos, direcciones MAC, número de CPUs, cantidad de RAM y procesos como herramientas de análisis antes de decidir si ejecuta el payload. ¿Qué técnica describe mejor ese conjunto de comprobaciones?. Crear una regla YARA privada para evitar que se reporte la detección. Detectar entornos virtualizados, sandboxes o laboratorios de análisis para modificar su comportamiento. Generar dominios C2 diarios usando una semilla dependiente del hardware local. Reescribir su código completo en cada ejecución mediante metamorfismo.

En una regla YARA, se quiere comprobar que una cadena aparece exactamente al inicio del fichero y que otras dos aparecen en cualquier lugar. ¿Qué expresión refleja mejor esa idea?. $magic in filesize and $a at $b. $magic at 0 and ($a or $b). #magic == 0 and all of them. meta.magic = 0 and condition($a, $b).

Un binario sospechoso contiene pocos strings visibles, secciones con entropía alta y una tabla de imports poco informativa. ¿Qué conclusión metodológica es más prudente?. Debe caracterizarse estáticamente y quizá observarse en entorno controlado para capturar memoria o comportamiento desempaquetado. Debe descartarse porque los hashes dejan de ser útiles si hay alta entropía. Debe ejecutarse en producción para que desempaquete su código con configuración real. Es necesariamente benigna, porque el malware siempre contiene URLs y rutas visibles.

Un programa malicioso no modifica el ejecutable original, pero crea un binario con nombre y ubicación calculados para ejecutarse antes que el legítimo cuando el usuario invoca el programa habitual. ¿Qué técnica describe mejor este comportamiento?. Companion, porque usa un fichero compañero para interceptar la ejecución esperada. Shelling, porque envuelve el programa original modificando su punto de entrada. Append, porque añade una nueva sección al final del ejecutable legítimo. Overwrite, porque reemplaza una zona no crítica del código original.

Un malware no contiene el payload final en claro en disco. En ejecución reserva memoria, descifra una región, resuelve funciones necesarias y transfiere control al código reconstruido. ¿Qué interpretación es más precisa?. Regla private de YARA, porque el código oculto no se reporta directamente. DGA, porque el payload se calcula a partir de nombres de dominio. Canario de pila, porque la memoria se reserva para detectar overflows. Crypter o packer con etapa de descifrado/desempaquetado en memoria.

En una línea temporal de la evolución del malware, se comparan tres momentos: virus clásicos de fichero, gusanos de red epidémicos y operaciones modernas de ransomware con afiliados. ¿Qué cambio histórico es más relevante para explicar esa progresión?. La sustitución de la ejecución de código por simples mensajes visuales sin impacto técnico real. El abandono de la ingeniería social, porque el malware moderno depende solo de exploits zero-click. La evolución desde experimentación y propagación limitada hacia monetización, servicios criminales, especialización de roles e infraestructura organizada. La desaparición de la propagación por red, reemplazada por infecciones exclusivamente mediante medios físicos.

¿Qué diferencia mejor el impacto de un gusano temprano en redes corporativas frente a una campaña moderna de ransomware- as-a-service?. El gusano moderno no requiere red, mientras que el ransomware temprano dependía siempre de disquetes. El ransomware-as-a-service no tiene motivación económica, mientras que los gusanos tempranos se diseñaban para extorsionar. El gusano epidémico prioriza propagación rápida; el ransomware-as-a-service combina acceso, presión económica, afiliados, robo de datos y negociación. Ambos modelos son idénticos, porque el único cambio histórico relevante es el lenguaje de programación usado.

En sintaxis AT&T, se quiere acceder a arr[i] donde arr está apuntado por RDI, i está en RCX y cada elemento ocupa 4 bytes. ¿Qué forma conceptual de direccionamiento encaja mejor?. 4(%rcx,%rdi), porque la escala se aplica automáticamente al segundo registro. %rdi(%rcx,4), porque el registro base se escribe siempre fuera de los paréntesis. $(%rdi+%rcx*4), porque el símbolo $ convierte memoria en acceso indexado. (%rdi,%rcx,4), porque calcula una dirección usando base, índice y escala.

En un exploit de ejecución remota, el atacante consigue colocar bytes controlados en memoria, pero la pila no es ejecutable y ASLR está activado parcialmente. ¿Qué idea describe mejor la razón de usar ROP en lugar de shellcode directo?. Porque ROP permite encadenar fragmentos de código ya existente en regiones ejecutables. Porque ROP convierte un documento malicioso en un binario ELF ejecutable. Porque ROP evita toda necesidad de controlar el flujo de ejecución del proceso. Porque ROP desactiva automáticamente ASLR y canarios sin requerir información adicional.

Durante análisis dinámico en Linux, necesitas observar llamadas al sistema, llamadas de biblioteca, ficheros abiertos y conexiones de red. ¿Qué emparejamiento herramienta-observación es más correcto?. strace para syscalls, ltrace para llamadas de biblioteca, lsof para ficheros abiertos y Wireshark o tcpdump para tráfico. pdfinfo para hilos remotos, peepdf para puertos abiertos y nm para interacción de usuario. binwalk para syscalls, exiftool para sockets, strings para procesos hijos y file para tráfico TLS. YARA para modificar registros, rabin2 para simular DNS y ldd para restaurar snapshots.

Una regla YARA usa tres cadenas: una URL de C2 antigua, un mutex muy genérico y una secuencia hexadecimal corta que aparece en varias librerías legítimas. Está generando falsos positivos. ¿Qué rediseño mejora más la detección?. Sustituir todas las cadenas por un único hash MD5 para cubrir variantes futuras. Mantener solo el mutex, porque los indicadores genéricos maximizan la cobertura. Eliminar condition y mover todas las cadenas a meta para que no haya falsos positivos. Combinar indicadores más específicos, añadir restricciones de contexto y evitar que un indicador débil dispare solo.

Un malware comprueba periódicamente si existe un dominio concreto. Si el dominio resuelve, deja de ejecutar su payload. En otra fase, usa servidores C2 para recibir órdenes. ¿Qué interpretación es más precisa?. El kill switch es una condición de parada o desactivación; el C2 permite control, órdenes o actualización. El kill switch solo existe en firmware UEFI y no puede depender de DNS. Ambos son idénticos porque toda consulta DNS transporta órdenes cifradas. El kill switch siempre es un packer; el C2 siempre es una regla YARA privada.

En una campaña dirigida, el implante intenta primero HTTPS contra un dominio corporativo comprometido, después DNS tunneling si falla, y finalmente consulta mensajes en una plataforma legítima. ¿Qué concepto describe mejor esta arquitectura?. Overwrite de ejecutables mediante sustitución parcial de.text. Fallback o canales multi-stage/multicanal para resiliencia del C2. Metamorfismo, porque todos los canales reescriben el cuerpo del binario. Stack canary aplicado a infraestructura de red.