REMnux, FlareVM, SIFT y herramientas de laboratorio
Un analista de malware es tan bueno como sus herramientas. Pero el ecosistema es enorme: decenas de distros, frameworks, sandboxes y utilidades especializadas compiten por atencion. Elegir mal significa perder horas configurando entornos que no encajan con tu flujo de trabajo.
Esta serie de 12 articulos cubre las distribuciones Linux especializadas, los frameworks de analisis y las herramientas complementarias que forman el arsenal profesional del analista de malware. Cada articulo incluye instalacion, configuracion, casos de uso reales y comparativas practicas.
La serie se organiza en tres bloques:
Bloque 1: Distros especializadas (4 articulos) Las distribuciones Linux disenadas para analisis de malware y forense digital. REMnux como referencia para analisis estatico y de red. FlareVM para analistas que trabajan en Windows. Tsurugi Linux para forense e incident response. SIFT Workstation de SANS para investigacion forense.
Bloque 2: Frameworks de analisis (5 articulos) Los frameworks que automatizan y estructuran el analisis. YARA como lenguaje universal de reglas de deteccion. Ghidra y su ecosistema de plugins para ingenieria inversa. Cuckoo Sandbox (y su sucesor CAPEv2) para analisis dinamico automatizado. Radare2/rizin para reversing desde linea de comandos. MISP como plataforma de comparticion de inteligencia.
Bloque 3: Herramientas complementarias (3 articulos) Las utilidades especificas que completan el arsenal. Volatility para analisis de memoria. Wireshark y NetworkMiner para analisis de trafico de red generado por malware. PE-bear, pestudio y CFF Explorer para analisis estatico de ejecutables PE.
| # | Titulo | Bloque |
|---|---|---|
| 1 | REMnux: la distro de referencia para analisis de malware | Distros especializadas |
| 2 | FlareVM: laboratorio de malware sobre Windows | Distros especializadas |
| 3 | Tsurugi Linux: forense digital e incident response | Distros especializadas |
| 4 | SIFT Workstation: la distro forense de SANS | Distros especializadas |
| 5 | YARA: el lenguaje universal de reglas de deteccion | Frameworks de analisis |
| 6 | Ghidra: ingenieria inversa con el framework de la NSA | Frameworks de analisis |
| 7 | CAPEv2: sandbox automatizado para analisis dinamico | Frameworks de analisis |
| 8 | Radare2 y rizin: reversing desde la terminal | Frameworks de analisis |
| 9 | MISP: plataforma de comparticion de inteligencia | Frameworks de analisis |
| 10 | Volatility 3: analisis forense de memoria RAM | Herramientas complementarias |
| 11 | Wireshark y NetworkMiner: trafico de red de malware | Herramientas complementarias |
| 12 | PE-bear, pestudio y CFF Explorer: analisis estatico de PE | Herramientas complementarias |
Guía completa de REMnux, la distribución Linux especializada en análisis de malware y reverse engineering. Instalación, herramientas incluidas, flujos de trabajo y casos de uso reales para analistas SOC y threat hunters.
Guía completa de FlareVM, el entorno Windows de Mandiant/Google para reverse engineering y análisis de malware. Instalación paso a paso, herramientas incluidas, configuración óptima y flujos de trabajo para analistas.
Guía completa de SIFT Workstation de SANS: instalación, herramientas forenses incluidas, adquisición de evidencia, análisis de timeline, forense de memoria y flujos de trabajo para investigadores DFIR.
Guía completa de Kali Linux para pentesting y security testing: overview de la distribución, herramientas por categoría, personalización del entorno, y flujos de trabajo para auditorías de seguridad y evaluaciones ofensivas.
Guía completa de CSI Linux: distribución especializada en OSINT, investigación en dark web y forense digital. Herramientas de investigación online, acceso seguro a Tor, análisis forense y flujos de trabajo para investigadores.
Guía completa de Tsurugi Linux, la distribución DFIR italiana para análisis forense digital, análisis de malware y OSINT. Herramientas, modos de operación, análisis forense y diferencias con SIFT y CAINE.
Guía completa de CyberChef, la herramienta web del GCHQ para codificación, decodificación y análisis de datos. Recetas prácticas para Base64, XOR, defanging de IOCs, deobfuscación de PowerShell y extracción de indicadores de compromiso.
Guía completa de DetectionLab: laboratorio automatizado con 4 VMs preconfiguradas, Splunk, Sysmon, Velociraptor y Active Directory. Despliegue con Vagrant, configuración y casos de uso para detection engineering y purple teaming.
Guía completa de herramientas de simulación de ataques: CALDERA de MITRE, Atomic Red Team de Red Canary y ejercicios Purple Team. Configuración, ejecución de adversary emulation y mejora de capacidades de detección.
Comparativa exhaustiva de los tres principales frameworks de reverse engineering: Ghidra (NSA), IDA Pro (Hex-Rays) y Radare2/Rizin. Funcionalidades, decompiladores, scripting, precio y cuándo usar cada uno para análisis de malware.
Comparativa exhaustiva de sandboxes de malware: ANY.RUN, CAPE Sandbox, Joe Sandbox y Hybrid Analysis. Funcionalidades, interactividad, detección, precios y cuándo usar cada una para análisis dinámico de malware.
Guía definitiva para construir un laboratorio completo de análisis de malware: hardware necesario, configuración de máquinas virtuales, networking seguro, herramientas esenciales, medidas de seguridad y presupuesto desde 0 EUR hasta laboratorio profesional.