Seguridad informática y Malwares Análisis de amenazas e implementación de contramedidas (2ª edición)

Paul RASCAGNERES

Consultar extractos del libro Extracto del libro

Nivel Medio a Experto
Número de páginas 478 páginas
Publicación junio 2020

Nivel Medio a Experto
Publicación junio 2020

Presentación

Este libro describe las técnicas y la metodología utilizadas por los profesionales del análisis de malwares (o programas maliciosos). Está dirigido a informáticos apasionados por la seguridad o a profesionales en el dominio de la seguridad informática, que busquen un enfoque operacional y con un elevado nivel técnico.

El autor empieza con la identificación y la clasificación de malwares, describe a continuación la información recopilada que es posible recabar mediante investigaciones digitales legales (inforenses) y después la analiza. Esta recopilación de información incluye imágenes de disco, registros de eventos y también imágenes de memoria. Las herramientas y técnicas que permiten analizar estos datos se describen con numerosos ejemplos.

Una vez identificado el malware, es preciso analizarlo. El autor explica el funcionamiento de las herramientas de tipo sandbox y describe diversos formatos de archivo como los documentos pdf, Microsoft Office e incluso archivos binarios de Windows. Para realizar análisis extremadamente técnicos, el libro incluye un capítulo completo dedicado a la técnica de reverse engineering (o ingeniería inversa), donde el autor explica las bases del ensamblador (x86 y x64) y el uso de herramientas de análisis estático como Ghidra y Radare2 o de depuradores como Immunity Debugger y WinDBG. Como complemento a esta técnica de reverse engineering, se desarrolla un capítulo que explica las técnicas de ofuscación utilizadas por los malwares, tales como la ofuscación de cadenas de caracteres o el uso de packers. El autor detalla las técnicas que permiten desempaquetar archivos binarios empaquetados. Dos capítulos están dedicados al análisis de malware en sistemas operativos móviles: el sistema operativo Android de Google y el de Apple, iOS. La última parte de este libro expone los métodos que permiten erradicar los malwares previamente identificados y analizados.

El libro está ilustrado con ejemplos de análisis de malwares auténticos y todas las técnicas presentadas se han validado sobre casos reales. Todos los fragmentos de código fuente del libro pueden descargarse del sitio web www.ediciones-eni.com.

¡Nuevo! Rondas de preguntas disponibles con la versión online.

¡Ronda de preguntas
incluida en
la versión online !

Ponga a prueba sus conocimientos al final de cada capítulo
Evalúe sus competencias

Descargas

Descargar los ejemplos del libro (135 Ko)

Índice

Prólogo

Introducción

Comprender qué es un malware

Presentación de los malwares por familias
1. 1. Introducción
2. 2. Backdoor
3. 3. Ransomware y locker
4. 4. Stealer
5. 5. Miner
6. 6. Banking Trojan
7. 7. Rootkit
Escenario de infección
1. 1. Introducción
2. 2. Escenario 1: la ejecución de un archivo adjunto
3. 3. Escenario 2: el clic desafortunado
4. 4. Escenario 3: la apertura de un documento infectado
5. 5. Escenario 4: los ataques informáticos
6. 6. Escenario 5: los ataques físicos: infecciónpor llave USB
7. 7. Escenario 6: los ataques de tipo Supply Chain
Técnicas de comunicación con el C&C
1. 1. Introducción
2. 2. Actualización de la lista de nombres de dominio
3. 3. Comunicación mediante HTTP/HTTPS/FTP/IRC
4. 4. Comunicación mediante e-mail
5. 5. Comunicación mediante una red punto a punto
6. 6. Comunicación mediante protocolos propietarios
7. 7. Comunicación mediante el protocolo DNS
8. 8. Comunicación pasiva
9. 9. Fast flux y DGA (Domain Generation Algorithms)
Modo operativo en caso de amenazas a objetivos persistentes (APT)
1. 1. Introducción
2. 2. Fase 1: reconocimiento
3. 3. Fase 2: intrusión
4. 4. Fase 3: persistencia
5. 5. Fase 4: pivotar
6. 6. Fase 5: filtración
7. 7. Trazas dejadas por el atacante
Recursos en Internet en relación con los malwares
1. 1. Introducción
2. 2. Sitios web que permiten hacer análisis enlínea
3. 3. Sitios web que explican análisis técnicos
4. 4. Sitios que ofrecen la descarga de samples de malwares
Conclusión

Malwares contra sistemas Microsoft Windows

Introducción
Recogida de información
1. 1. Introducción
2. 2. Recogida de información y análisisdel registro
3. 3. Recogida y análisis de los registros de eventos
4. 4. Recogida y análisis de los archivos ejecutadosdurante el arranque
5. 5. Recogida y análisis del sistema de archivos
6. 6. Gestión de los archivos bloqueados por elsistema operativo
7. 7. Framework de investigación «inforense»
8. 8. Herramienta FastIR Collector
Imagen de memoria
1. 1. Presentación
2. 2. Realización de una imagen de memoria
3. 3. Análisis de una imagen de memoria
4. 4. Análisis de la imagen de memoria de un proceso
Funcionalidades de los malwares
1. 1. Técnicas para ser persistente
2. 2. Técnicas para ocultarse
3. 3. Malware sin archivo
4. 4. Esquivar el UAC
Creación de un laboratorio de análisis
1. 1. Introducción
2. 2. VirtualBox
3. 3. La herramienta de gestión de muestras demalware Viper
Analista del vector de infección
1. 1. Información sobre un archivo
  1. a. Formato de archivo
  2. b. Cadenas de caracteres presentes en un archivo
2. 2. Análisis en el caso de un archivo PDF
  1. a. Introducción
  2. b. Extraer el código JavaScript
  3. c. Desofuscar código JavaScript
  4. d. Conclusión
3. 3. Análisis en el caso de un archivo de AdobeFlash
  1. a. Introducción
  2. b. Extraer y analizar el código ActionScript
4. 4. Análisis en el caso de un archivo JAR
  1. a. Introducción
  2. b. Recuperar el código fuente de las clases
5. 5. Análisis en el caso de un archivo de MicrosoftOffice
  1. a. Introducción
  2. b. Herramientas que permiten analizar archivos de Office
  3. c. Caso de malware que utiliza macros: Dridex
  4. d. Caso de malware que utiliza alguna vulnerabilidad
6. 6. Uso de PowerShell
Análisis en el caso de un archivo binario
1. 1. Análisis de binarios desarrollados en AutoIt
2. 2. Análisis de binarios desarrollados con elframework .NET
3. 3. Análisis de binarios desarrollados en C oC++
El formato PE
1. 1. Introducción
2. 2. Esquema del formato PE
  1. a. Encabezado MZ-DOS
  2. b. Segmento DOS
  3. c. Encabezado PE
  4. d. Tabla de secciones
  5. e. Tabla de imports
  6. f. Tabla de exports
  7. g. Recursos
3. 3. Herramientas para analizar un PE
4. 4. API de análisis de un PE
Seguir la ejecución de un archivo binario
1. 1. Introducción
2. 2. Actividad a nivel del registro
3. 3. Actividad a nivel del sistema de archivos
4. 4. Actividad de red
5. 5. Actividad de red de tipo HTTP(S)
Uso de Cuckoo Sandbox
1. 1. Introducción
2. 2. Configuración
3. 3. Uso
4. 4. Limitaciones
5. 5. Conclusión
Conclusión

Reverse engineering

Introducción
1. 1. Presentación
2. 2. Legislación
¿Qué es un proceso de Windows?
1. 1. Introducción
2. 2. Process Environment Block
3. 3. Thread Environment Block
Ensamblador x86
1. 1. Registros
2. 2. Instrucciones y operaciones
3. 3. Gestión de la memoria por la pila
4. 4. Gestión de la memoria por el montículo
5. 5. Optimización del compilador
Ensamblador x64
1. 1. Registros
2. 2. Parámetros de las funciones
Análisis estático
1. 1. Presentación
2. 2. Ghidra
  1. a. Presentación
  2. b. Navegación
  3. c. Cambios de nombre y comentarios
  4. d. Extensiones
3. 3. Radare2
  1. a. Presentación
  2. b. Línea de comandos
  3. c. Interfaz gráfica: Cutter
4. 4. Técnicas de análisis
  1. a. Comenzar un análisis
  2. b. Saltos condicionales
  3. c. Bucles
5. 5. API Windows
  1. a. Introducción
  2. b. API de acceso a los archivos
  3. c. API de acceso al registro
  4. d. API de comunicación de red
  5. e. API de gestión de servicios
  6. f. API de los objetos COM
  7. g. Ejemplos de uso de la API
  8. h. Conclusión
6. 6. Límites del análisis estático
Análisis dinámico
1. 1. Presentación
2. 2. Immunity Debugger
  1. a. Presentación
  2. b. Control de flujo de ejecución
  3. c. Análisis de una librería
  4. d. Puntos de ruptura
  5. e. Visualización de los valores en memoria
  6. f. Copia de la memoria
  7. g. Soporte del lenguaje Python
  8. h. Conclusión
3. 3. WinDbg
  1. a. Presentación
  2. b. Interfaz
  3. c. Comandos básicos
  4. d. Plug-in
  5. e. Conclusión
4. 4. Análisis del núcleo de Windows
  1. a. Presentación
  2. b. Implementación del entorno
  3. c. Protecciones del kernel de Windows
  4. d. Conclusión
5. 5. Límites del análisis dinámicoy conclusión

Técnicas de ofuscación

Introducción
Ofuscación de las cadenas de caracteres
1. 1. Introducción
2. 2. Caso de uso de ROT13
3. 3. Caso de uso de la función XOR con una claveestática
4. 4. Caso de uso de la función XOR con una clavedinámica
5. 5. Caso de uso de funciones criptográficas
6. 6. Caso de uso de funciones personalizadas
7. 7. Herramientas que permiten decodificar las cadenasde caracteres
Ofuscación del uso de la API de Windows
1. 1. Introducción
2. 2. Estudio del caso de Duqu
3. 3. Estudio del caso de EvilBunny
Packers
1. 1. Introducción
2. 2. Packers que utilizan la pila
3. 3. Packers que utilizan el montículo
4. 4. Encoder Metasploit
5. 5. Herramientas para automatizar el unpacking
Otras técnicas
1. 1. Anti-VM
2. 2. Anti-reverse engineering y anti-debug
Conclusión

Malwares dirigidos a dispositivos Android

Introducción
El sistema operativo Android
1. 1. Historia
2. 2. Arquitectura
3. 3. Particiones y sistema de archivos
4. 4. Seguridad
  1. a. Seguridad en el ámbito del sistema
  2. b. Seguridad en el ámbito de Dalvik/ART
  3. c. Efecto secundario de las funcionalidades de seguridad
5. 5. Aplicación Android
6. 6. Malwares dirigidos a dispositivos Android
Vectores de infección
1. 1. Instalación a través del GoogleStore
2. 2. Instalación a través de stores alternativos
3. 3. Instalación manual
4. 4. MDM : Mobile Device Management
5. 5. Acceso físico al dispositivo
Creación de un laboratorio de análisis
1. 1. ¿Máquina virtual o dispositivo físico?
2. 2. Adb (Android Debug Bridge)
3. 3. Acceso administrador (root)
4. 4. Captura de red
  1. a. Captura de red pura
  2. b. Captura HTTP/HTTPS
Análisis estático y descompilación de una aplicación
1. 1. Análisis de un archivo APK
2. 2. Código Java y descompilación: BytecodeViewer
3. 3. Anti-VM
4. 4. Código nativo
5. 5. Técnicas de ofuscación
Análisis dinámico
1. 1. Uso de Frida
2. 2. Uso de gdb para los archivos nativos
Conclusión

Malwares dirigidos a dispositivos iOS

Introducción
El sistema operativo iOS
1. 1. Historia
2. 2. Arquitectura
3. 3. Particiones y sistemas de archivos
4. 4. Seguridad
5. 5. Jailbreak
6. 6. Aplicaciones iOS
7. 7. Malwares dirigidos contra iOS
Vectores de infección
1. 1. Acceso físico al dispositivo
2. 2. Enlace hacia un archivo .ipa
3. 3. Stores alternativos
4. 4. MDM malicioso
Creación de un laboratorio de análisis
1. 1. Análisis de red
2. 2. Jailbreak de un terminal y despliegue de una aplicación
Análisis estático de una aplicación
1. 1. Introducción
2. 2. Análisis con Ghidra
Análisis dinámico
1. 1. Utilización de Frida
2. 2. Utilización de lldb
Técnica utilizada para los malwares en iOS
1. 1. Inyección de librerías
2. 2. Inyección de JavaScript
3. 3. Keylogger en iOS
4. 4. Dispositivo liberado (por jailbreak) e inyecciónde código
Conclusión

Detección, confinamiento y erradicación

Introducción
Indicadores de compromiso de red
1. 1. Presentación
2. 2. Uso de los proxys
3. 3. Uso de un DNS pasivo
4. 4. Uso de detectores de intrusión
5. 5. Casos complejos
Detección de archivos
1. 1. Presentación
2. 2. Firmas (o Hash)
3. 3. Firmas con YARA
4. 4. Firmas con ssdeep
Detección y erradicación de malwares con ClamAV
1. 1. Presentación
2. 2. Instalación
3. 3. Uso
Artefactos del sistema en Windows
1. 1. Tipos de artefactos
2. 2. Herramientas
Uso de OpenIOC
1. 1. Presentación
2. 2. Uso
3. 3. Interfaz gráfica de edición
4. 4. Detección
Conclusión

Autor

Paul RASCAGNERES

A lo largo de su carrera, Paul Rascagneres ha creado varios equipos de respuesta a incidentes en Europa y realizado numerosos análisis de códigos maliciosos complejos para un editor de antivirus. Hoy en día, trabaja en un equipo de inteligencia de ciberamenazas, en el que se encarga de analizar programas maliciosos en el contexto de incidentes de seguridad o proyectos de investigación. Participa, igualmente, de forma activa en la comunidad antimalware y es el autor de numerosas publicaciones. Conferencista internacional (Europa, Asia, América) sobre análisis de malwares, comparte en este libro sus conocimientos sobre este ámbito de la seguridad.

Más información