Este libro describe las técnicas y metodología utilizadas por los profesionales del análisis de malwares (o programas maliciosos). Está dirigido a informáticos apasionados por la seguridad y a profesionales de la seguridad informática que deseen un enfoque operativo y altamente técnico.

Los autores comienzan identificando y clasificando el malware y, a continuación, describen y analizan los datos recopilados por las investigaciones digitales forenses (legaltech o tecnología legal). Estas recopilaciones incluyen imágenes de disco, registros de eventos e imágenes de memoria. Se describen las herramientas y técnicas utilizadas para analizar estos datos, con múltiples ejemplos.

Una vez identificado el malware, es necesario analizarlo. Los autores explican cómo funcionan las herramientas de sandbox y describen formatos de archivo como documentos PDF, documentos de Microsoft Office e incluso binarios de Windows. Para realizar análisis muy técnicos, el libro contiene un capítulo completo sobre reverse engineering (ingeniería inversa), en el que los autores explican los fundamentos del ensamblador (x86 y x64) y el uso de herramientas de análisis estático como Ghidra y Rizin así como depuradores tales como x64dbg y WinDBG. Como complemento al tema de la ingeniería inversa, un capítulo explica las técnicas de ofuscación utilizadas por los malwares, como la ofuscación de cadenas de caracteres o el uso de empaquetadores. Los autores detallan las técnicas utilizadas para desempaquetar binarios empaquetados.

El libro explica el análisis del malware dirigido contra sistemas operativos como Microsoft Windows, Apple, macOS y Linux, así como el análisis del malware en dispositivos móviles con un capítulo dedicado al sistema operativo Android de Google y un segundo dedicado al sistema operativo de Apple: iOS. La última parte de este libro describe la Cyber Threat Intelligence y explica cómo almacenar la información adquirida durante las investigaciones y cómo compartirla para mejorar su conocimiento y detección.

El libro está ilustrado con ejemplos de análisis de malwares reales y las técnicas que se presentan se han validado en casos reales.

Características

Encuadernación rústica - 17 x 21 cm
ISBN: 978-2-409-05343-6
EAN: 9782409053436
Ref. ENI: EPT5MAL

Características

HTML
ISBN: 978-2-409-05344-3
EAN: 9782409053443
Ref. ENI: LNEPT5MAL

Prólogo

Introducción

Comprender qué es un malware

Presentación de los malwares por familias
1. 1. Introducción
2. 2. Backdoor
3. 3. Ransomware y locker
4. 4. Stealer
5. 5. Miner
6. 6. Banking Trojan
7. 7. Rootkit
Escenario de una infección
1. 1. Introducción
2. 2. Escenario 1: ejecutar un archivo adjunto
3. 3. Escenario 2: el clic desafortunado
4. 4. Escenario 3: abrir un documento infectado
5. 5. Escenario 4: ataque informático
6. 6. Escenario 5: ataque físico: infecciónpor llave USB
7. 7. Escenario 6: ataque tipo supply chain
Técnicas de comunicación con el C&C
1. 1. Introducción
2. 2. Actualizar la lista de nombres de dominio
3. 3. Comunicación mediante HTTP/HTTPS/FTP/IRC
4. 4. Comunicación mediante correo electrónico
5. 5. Comunicación mediante una red punto a punto
6. 6. Comunicación mediante protocolos patentados
7. 7. Comunicación mediante el protocolo DNS
8. 8. Comunicación pasiva
9. 9. Fast flux y DGA (Domain Generation Algorithms)
10. 10. Comunicación a través de un ORB
11. 11. Objetivos sin acceso a Internet
Modo operativo en caso de amenazas persistentes avanzadas a un objetivo (APT)
1. 1. Introducción
2. 2. Fase 1: conocer
3. 3. Fase 2: incursionar
4. 4. Fase 3: descubrir
5. 5. Fase 4: pivotear
6. 6. Fase 5: extraer
7. 7. Trazas que deja el atacante
Recursos en Internet en relación con los malwares
1. 1. Introducción
2. 2. Sitios web que permiten hacer análisis enlínea
3. 3. Sitios web que explican análisis técnicos
4. 4. Sitios web que ofrecen muestras de malware para descargar
5. 5. Enciclopedia Malpedia
Resumen

Malwares contra sistemas Microsoft Windows

Introducción
Recolectar información
1. 1. Introducción
2. 2. Recolectar y analizar la base de registro
3. 3. Recolectar y analizar los registros de eventos
4. 4. Recolectar y analizar los archivos ejecutados duranteel arranque
5. 5. Recolectar y analizar el sistema de archivos
6. 6. Gestionar archivos bloqueados por el sistema operativo
7. 7. Herramienta DFIR ORC
Imagen de memoria
1. 1. Presentación
2. 2. Realizar una imagen de memoria
3. 3. Analizar una imagen de memoria
4. 4. Analizar la imagen de memoria de un proceso
5. 5. Utilización de Volweb
Funcionalidades de los malwares
1. 1. Técnicas para la persistencia
2. 2. Técnicas para ocultarse
3. 3. Malware sin archivo
4. 4. Esquivar el UAC
Crear un laboratorio de análisis
1. 1. Introducción
2. 2. VirtualBox
3. 3. Máquinas virtuales preconfiguradas
4. 4. Viper: la herramienta de gestión de muestrasde malware
Analizar el vector de infección
1. 1. Información sobre un archivo
  1. a. Formato de archivo
  2. b. Cadenas de caracteres presentes en un archivo
2. 2. Analizar el caso de un archivo PDF
  1. a. Introducción
  2. b. Extraer el código JavaScript
  3. c. Desbloquear el código JavaScript
  4. d. Conclusión
3. 3. Analizar el caso de un archivo de Adobe Flash
  1. a. Introducción
  2. b. Extraer y analizar el código ActionScript
4. 4. Analizar el caso de un archivo JAR
  1. a. Introducción
  2. b. Recuperar el código fuente de las clases
5. 5. Analizar el caso de un archivo de Microsoft Office
  1. a. Introducción
  2. b. Herramientas que permiten analizar archivos de Office
  3. c. Caso de malware que utiliza macros: Dridex
  4. d. Caso de malware que utiliza alguna vulnerabilidad
6. 6. Usar PowerShell
Analizar el caso de un archivo binario
1. 1. Analizar binarios desarrollados en AutoIt
2. 2. Analizar binarios desarrollados con el framework .NET
3. 3. Analizar scripts Python compilados
4. 4. Analizar binarios desarrollados en C o C++
5. 5. Analizar rápidamente la funcionalidad deun binario
6. 6. Analizar bootkits UEFI
El formato PE
1. 1. Introducción
2. 2. Esquema del formato PE
  1. a. Encabezado MZ-DOS
  2. b. Segmento DOS
  3. c. Encabezado PE
  4. d. Tabla de secciones
  5. e. Tabla de imports
  6. f. Tabla de exports
  7. g. Recursos
3. 3. Herramientas para analizar un PE
4. 4. API para analizar un PE
Seguir la ejecución de un archivo binario
1. 1. Introducción
2. 2. Actividad a nivel del registro
3. 3. Actividad a nivel del sistema de archivos
4. 4. Actividad de red
5. 5. Actividad de red de tipo HTTP(S)
Usar Cuckoo Sandbox
1. 1. Introducción
2. 2. Configuración
3. 3. Uso
4. 4. Limitaciones
5. 5. Conclusión
Resumen

Ingeniería inversa

Introducción
1. 1. Presentación
2. 2. Legislación
¿Qué es un proceso de Windows?
1. 1. Introducción
2. 2. Process Environment Block
3. 3. Thread Environment Block
Ensamblador x86
1. 1. Registros
2. 2. Instrucciones y operaciones
3. 3. Gestionar la memoria usando la pila (stack)
4. 4. Gestionar la memoria usando el montón (heap)
5. 5. Optimizar el compilador
Ensamblador x64
1. 1. Registros
2. 2. Parámetros de las funciones
Análisis estático
1. 1. Presentación
2. 2. Ghidra
  1. a. Presentación
  2. b. Navegación
  3. c. Cambiar nombre y comentarios
  4. d. Extensiones
  5. e. Ghidra y CAPA
3. 3. Rizin
  1. a. Presentación
  2. b. Línea de comandos
  3. c. Interfaz gráfica: Cutter
4. 4. Técnicas de análisis
  1. a. Comenzar un análisis
  2. b. Saltos condicionales
  3. c. Bucles
5. 5. API Windows
  1. a. Introducción
  2. b. API de acceso a los archivos
  3. c. API de acceso al registro
  4. d. API de comunicación de red
  5. e. API de gestión de servicios
  6. f. API de los objetos COM
  7. g. Gestor de reinicio de la API
  8. h. Ejemplos de uso de la API
  9. i. Conclusión
6. 6. Comparar binarios
  1. a. Descripción
  2. b. Herramientas
  3. c. Ejemplo
7. 7. MCRIT
  1. a. Presentación
  2. b. Instalación
  3. c. Utilización
  4. d. Principio de comparación
8. 8. Límites del análisis estático
Análisis dinámico
1. 1. Presentación
2. 2. X64dbg
  1. a. Presentación
  2. b. Control de flujo de ejecución
  3. c. Puntos de interrupción
  4. d. Visualizar los valores en memoria
  5. e. Copia de la memoria
3. 3. WinDbg
  1. a. Presentación
  2. b. Interfaz
  3. c. Comandos básicos
  4. d. Plug-in
4. 4. Analizar el núcleo de Windows
  1. a. Presentación
  2. b. Implementar el entorno
  3. c. Protecciones del kernel de Windows
5. 5. Emular e instrumentar
6. 6. Límites del análisis dinámicoy conclusión

Técnicas de ofuscación

Introducción
Ofuscar cadenas de caracteres
1. 1. Introducción
2. 2. Usar ROT13
3. 3. Usar la función XOR con una clave estática
4. 4. Usar la función XOR con una clave dinámica
5. 5. Usar funciones criptográficas
6. 6. Usar funciones personalizadas
7. 7. Herramientas que permiten decodificar las cadenasde caracteres
8. 8. Usar Cyberchef
9. 9. Usar Malduck
Ofuscar el uso de la API de Windows
1. 1. Introducción
2. 2. Estudio del caso de Duqu
3. 3. Estudio del caso de EvilBunny
Empaquetadores
1. 1. Introducción
2. 2. Empaquetadores que utilizan la pila
3. 3. Empaquetadores que utilizan el montículo
4. 4. Codificador Metasploit
5. 5. Herramientas para automatizar el desempaquetado
Otras técnicas
1. 1. Anti-VM
2. 2. Antingeniería inversa y antidepurador
Resumen

Malwares dirigidos contra los sistemas macOS

Introducción
Sistema operativo macOS
1. 1. Historia
2. 2. Arquitectura
3. 3. Sistemas de archivos
4. 4. Mecanismo de seguridad
5. 5. Aplicación macOS
6. 6. Formato de archivo Mach-O
Creación de un laboratorio de análisis
1. 1. Restricciones de hardware
2. 2. Configuración de VirtualBox
Análisis de un binario Mach-O
1. 1. Análisis estático con Ghidra
2. 2. Lenguajes C y C++
3. 3. Lenguaje Swift
4. 4. Lenguaje Objective-C
5. 5. Análisis dinámico con LLDB
6. 6. Herramientas de análisis de Objective-See
Caso práctico de CloudMensis
1. 1. Introducción
2. 2. Persistencia
3. 3. Configuración del malware
4. 4. Comunicación con servidores de control
5. 5. Características
6. 6. Eludir TCC y SIP
Resumen

Malwares dirigidos contra los sistemas Linux

Introducción
Sistema operativo Linux
1. 1. Historia
2. 2. Arquitectura
  1. a. Especificidades de las distribuciones Linux
  2. b. Sistema de archivos
  3. c. Espacio del kernel y usuario
  4. d. Servicios y systemd
  5. e. Procesos Linux
  6. f. Sistema de arranque: LILO y GRUB
  7. g. Contenedores Linux
3. 3. Mecanismos de seguridad
  1. a. Gestión de usuarios
  2. b. Procesos sellados
  3. c. SELinux
  4. d. Netfilter e iptables
  5. e. Puntos débiles en comparación conotros sistemas operativos
Vectores de infección
1. 1. Comprometer al sistema
2. 2. Comprometer la web
Formato ELF
Técnicas utilizadas por el malware para Linux
1. 1. Persistencia
2. 2. Daemon Linux
3. 3. LD_PRELOAD
4. 4. Inyección de librerías
Análisis de malware
1. 1. Creación del laboratorio de análisis
2. 2. Análisis estático
3. 3. Análisis dinámico
  1. a. Uso de strace
  2. b. Uso de ltrace
  3. c. Uso de gdb
Caso práctico de una webshell
Caso práctico del malware Sysupdate
Caso práctico del ataque a XZ Utils
Resumen

Malwares dirigidos contra los sistemas Android

Introducción
El sistema operativo Android
1. 1. Historia
2. 2. Arquitectura
3. 3. Particiones y sistema de archivos
4. 4. Seguridad
  1. a. Seguridad a nivel del sistema operativo
  2. b. Seguridad a nivel de Dalvik/ART
  3. c. Efecto secundario de las funcionalidades de seguridad
5. 5. Aplicaciones Android
6. 6. Malwares dirigidos contra teléfonos Android
Vectores de infección
1. 1. Instalar usando Google Store
2. 2. Instalar usando tiendas alternativas
3. 3. Instalar manualmente
4. 4. MDM : Mobile Device Management
5. 5. Acceso físico al dispositivo
Crear un laboratorio de análisis
1. 1. ¿Máquina virtual o teléfonofísico?
2. 2. ADB (Android Debug Bridge)
3. 3. Acceso administrador (root)
4. 4. Captura de red
  1. a. Captura de red pura
  2. b. Captura HTTP/HTTPS
Análisis estático y descompilación de una aplicación
1. 1. Analizar un archivo APK
2. 2. Código Java y descompilar: Bytecode Viewer
3. 3. Anti-VM
4. 4. Código propio
5. 5. Técnicas de ofuscación
Análisis dinámico
1. 1. Usar Frida
2. 2. Usar gdb para binarios propios
Resumen

Malwares dirigidos contra los sistemas iOS

Introducción
El sistema operativo iOS
1. 1. Historia
2. 2. Arquitectura
3. 3. Particiones y sistemas de archivos
4. 4. Seguridad
5. 5. Jailbreak
6. 6. Aplicaciones iOS
7. 7. Malwares dirigidos contra iOS
Vectores de infección
1. 1. Acceso físico al dispositivo
2. 2. Enlace hacia un archivo .ipa
3. 3. Tiendas alternativas
4. 4. MDM malicioso
Crear un laboratorio de análisis
1. 1. Analizar la red
2. 2. Jailbreak de una terminal y despliegue de una aplicación
Análisis estático de una aplicación
1. 1. Introducción
2. 2. Analizar con Ghidra
Análisis dinámico
1. 1. Usar Frida
2. 2. Usar lldb
Técnica utilizada para los malwares en iOS
1. 1. Inyectar librerías
2. 2. Inyectar JavaScript
3. 3. Keylogger en iOS
4. 4. Dispositivo liberado (por jailbreak) e inyectar código
Resumen

Análisis de malwares y Threat Intelligence

Introducción
Indicadores de infección (IOC)
1. 1. Huellas digitales y firmas de los archivos
  1. a. Huellas criptográficas
  2. b. Huellas digitales por similitud: ssdeep y TLSH
  3. c. Huellas de tablas de importación de ejecutablesde Windows
2. 2. Indicadores del sistema
  1. a. Claves de registro
  2. b. Sistema de archivos
  3. c. Red
  4. d. Ejecución
Matriz MITRE, TTPs y Threat Actors
1. 1. Matriz MITRE
  1. a. Presentación
  2. b. Ejemplos de uso de la matriz ATT&CK
2. 2. TTP y actores de amenazas
  1. a. Definición
  2. b. TTP de TA505
  3. c. Actores de amenazas y conjuntos de intrusión
Reglas y detecciones
1. 1. Introducción
2. 2. Suricata
  1. a. Introducción
  2. b. Ejemplo de detección
3. 3. YARA
  1. a. Presentación
  2. b. Sintaxis
  3. c. Ejemplo de detección webshell
  4. d. Ejemplo de detección de Chinoxy a travésdel módulo PE
  5. e. Python y YARA
  6. f. Herramientas de código abierto que utilizanYARA
Fuentes de los datos
1. 1. Presentación
2. 2. Escáneres
  1. a. Definición
  2. b. Shodan.io
  3. c. Onyphe.io
  4. d. Censys.io
3. 3. DNS pasivo
  1. a. Presentación
  2. b. VirusTotal
4. 4. Repositorios de malware
  1. a. Presentación
  2. b. VirusTotal
  3. c. MalwareBazaar
5. 5. Fuentes de indicadores múltiples
  1. a. Presentación
  2. b. OTX AlienVault
  3. c. RiskIQ
Plataformas de inteligencia sobre amenazas
1. 1. Introducción
2. 2. MISP
  1. a. Presentación
  2. b. Características
3. 3. Yeti
  1. a. Presentación
  2. b. Conceptos
  3. c. Ejemplo de uso
  4. d. Conclusión
Resumen

Paul RASCAGNERES

A lo largo de su carrera, Paul Rascagneres ha creado varios equipos de respuesta a incidentes en Europa y realizado numerosos análisis de códigos maliciosos complejos para un editor de antivirus. Hoy en día, trabaja en un equipo de inteligencia de ciberamenazas, en el que se encarga de analizar programas maliciosos en el contexto de incidentes de seguridad o proyectos de investigación. Participa, igualmente, de forma activa en la comunidad antimalware y es el autor de numerosas publicaciones. Conferencista internacional (Europa, Asia, América) sobre análisis de malwares, comparte en este libro sus conocimientos sobre este ámbito de la seguridad.

Más información

Sébastien LARINIER

Sébastien LARINIER comenzó su carrera en equipos SOC (Centro de Operaciones de Seguridad) trabajando en la detección de intrusiones y creó el CERT Sekoia. En la actualidad es profesor investigador en la ESIEA y consultor autónomo en Threat Intelligence, colaborando en varios proyectos de código abierto como MISP y Yeti. También es el autor de numerosos artículos, es conferencista internacional y profesor de análisis de malwares, investigación digital y Cyber Threat Intelligence en el ESIEA, haciendo un doctorado en LORIA.

Más información