Este libro describe las técnicas y metodología utilizadas por los profesionales del análisis de malwares (o programas maliciosos). Está dirigido a informáticos apasionados por la seguridad y a los profesionales de la seguridad informática que deseen un enfoque operativo y altamente técnico.

Los autores comienzan identificando y clasificando el malware; a continuación, describen y analizan los datos recopilados por las investigaciones digitales forenses (legaltech o tecnología legal). Estas recopilaciones incluyen imágenes de disco, registros de eventos e imágenes de memoria. Se describen las herramientas y técnicas utilizadas para analizar estos datos, con numerosos ejemplos.

Una vez identificado el malware, es necesario analizarlo. Los autores explican cómo funcionan las herramientas de sandbox y describen formatos de archivo como documentos PDF, documentos de Microsoft Office e incluso binarios de Windows. Para realizar análisis muy técnicos, el libro contiene un capítulo entero sobre ingeniería inversa (reverse engineering), en el que los autores explican los fundamentos del ensamblador (x86 y x64), el uso de herramientas de análisis estático como Ghidra y Rizin y depuradores como x64dbg y WinDBG. Como complemento al tema de la ingeniería inversa, un capítulo explica las técnicas de ofuscación utilizadas por los malwares, como la ofuscación de cadenas de caracteres o el uso de empaquetadores. Los autores detallan las técnicas utilizadas para desempaquetar binarios empaquetados. Se dedican dos capítulos al análisis del malware en sistemas móviles: el sistema operativo Android de Google y el iOS de Apple. La última parte del libro describe la inteligencia sobre amenazas y explica no solo cómo almacenar la información adquirida durante las investigaciones, sino también cómo compartirla para mejorar el conocimiento y la detección.

Este libro está ilustrado con ejemplos de análisis de malware reales y todas las técnicas presentadas han sido validadas usando casos reales.

Descargas

Descargar los ejemplos del libro (135 Ko)

Prólogo

Introducción

Comprender qué es un malware

Presentación de los malwares por familias
1. 1. Introducción
2. 2. Backdoor
3. 3. Ransomware y locker
4. 4. Stealer
5. 5. Miner
6. 6. Banking Trojan
7. 7. Rootkit
Escenario de una infección
1. 1. Introducción
2. 2. Escenario 1: ejecutar un archivo adjunto
3. 3. Escenario 2: el clic desafortunado
4. 4. Escenario 3: abrir un documento infectado
5. 5. Escenario 4: ataque informático
6. 6. Escenario 5: ataque físico: infecciónpor llave USB
7. 7. Escenario 6: ataque tipo cadena de suministros (Supply Chain)
Técnicas de comunicación con el C&C
1. 1. Introducción
2. 2. Actualizar la lista de nombres de dominio
3. 3. Comunicación mediante HTTP/HTTPS/FTP/IRC
4. 4. Comunicación mediante correo electrónico
5. 5. Comunicación mediante una red punto a punto
6. 6. Comunicación mediante protocolos patentados
7. 7. Comunicación mediante el protocolo DNS
8. 8. Comunicación pasiva
9. 9. Fast flux y DGA (Domain Generation Algorithms)
10. 10. Objetivos sin acceso a Internet
Modo operativo en caso de amenazas persistentes avanzadas a un objetivo (APT)
1. 1. Introducción
2. 2. Fase 1: conocer
3. 3. Fase 2: incursionar
4. 4. Fase 3: descubrir
5. 5. Fase 4: pivotear
6. 6. Fase 5: extraer
7. 7. Trazas que deja el atacante
Recursos en Internet en relación con los malwares
1. 1. Introducción
2. 2. Sitios web que permiten hacer análisis enlínea
3. 3. Sitios web que explican análisis técnicos
4. 4. Sitios web que ofrecen muestras de malware para descargar
Resumen

Malwares contra sistemas Microsoft Windows

Introducción
Recolectar información
1. 1. Introducción
2. 2. Recolectar y analizar la base de registro
3. 3. Recolectar y analizar los registros de eventos
4. 4. Recolectar y analizar los archivos ejecutados duranteel arranque
5. 5. Recolectar y analizar el sistema de archivos
6. 6. Gestionar archivos bloqueados por el sistema operativo
7. 7. Herramienta DFIR ORC
Imagen de memoria
1. 1. Presentación
2. 2. Realizar una imagen de memoria
3. 3. Analizar una imagen de memoria
4. 4. Analizar la imagen de memoria de un proceso
Funcionalidades de los malwares
1. 1. Técnicas para la persistencia
2. 2. Técnicas para ocultarse
3. 3. Malware sin archivo
4. 4. Esquivar el UAC
Crear un laboratorio de análisis
1. 1. Introducción
2. 2. VirtualBox
3. 3. Máquinas virtuales preconfiguradas
4. 4. Viper: la herramienta de gestión de muestrasde malware
Analizar el vector de infección
1. 1. Información sobre un archivo
  1. a. Formato de archivo
  2. b. Cadenas de caracteres presentes en un archivo
2. 2. Analizar el caso de un archivo PDF
  1. a. Introducción
  2. b. Extraer el código JavaScript
  3. c. Desbloquear el código JavaScript
  4. d. Conclusión
3. 3. Analizar el caso de un archivo de Adobe Flash
  1. a. Introducción
  2. b. Extraer y analizar el código ActionScript
4. 4. Analizar el caso de un archivo JAR
  1. a. Introducción
  2. b. Recuperar el código fuente de las clases
5. 5. Analizar el caso de un archivo de Microsoft Office
  1. a. Introducción
  2. b. Herramientas que permiten analizar archivos de Office
  3. c. Caso de malware que utiliza macros: Dridex
  4. d. Caso de malware que utiliza alguna vulnerabilidad
6. 6. Usar PowerShell
Analizar el caso de un archivo binario
1. 1. Analizar binarios desarrollados en AutoIt
2. 2. Analizar binarios desarrollados con el framework .NET
3. 3. Analizar scripts Python compilados
4. 4. Analizar binarios desarrollados en C o C++
5. 5. Analizar rápidamente la funcionalidad deun binario
6. 6. Analizar bootkits UEFI
El formato PE
1. 1. Introducción
2. 2. Esquema del formato PE
  1. a. Encabezado MZ-DOS
  2. b. Segmento DOS
  3. c. Encabezado PE
  4. d. Tabla de secciones
  5. e. Tabla de imports
  6. f. Tabla de exports
  7. g. Recursos
3. 3. Herramientas para analizar un PE
4. 4. API para analizar un PE
Seguir la ejecución de un archivo binario
1. 1. Introducción
2. 2. Actividad a nivel del registro
3. 3. Actividad a nivel del sistema de archivos
4. 4. Actividad de red
5. 5. Actividad de red de tipo HTTP(S)
Usar Cuckoo Sandbox
1. 1. Introducción
2. 2. Configuración
3. 3. Uso
4. 4. Limitaciones
5. 5. Conclusión
Resumen

Ingeniería inversa

Introducción
1. 1. Presentación
2. 2. Legislación
¿Qué es un proceso de Windows?
1. 1. Introducción
2. 2. Process Environment Block
3. 3. Thread Environment Block
Ensamblador x86
1. 1. Registros
2. 2. Instrucciones y operaciones
3. 3. Gestionar la memoria usando la pila (stack)
4. 4. Gestionar la memoria usando el montón (heap)
5. 5. Optimizar el compilador
Ensamblador x64
1. 1. Registros
2. 2. Parámetros de las funciones
Análisis estático
1. 1. Presentación
2. 2. Ghidra
  1. a. Presentación
  2. b. Navegación
  3. c. Cambiar nombre y comentarios
  4. d. Extensiones
  5. e. Compatibilidad con Python 3
3. 3. Rizin
  1. a. Presentación
  2. b. Línea de comandos
  3. c. Interfaz gráfica: Cutter
4. 4. Técnicas de análisis
  1. a. Comenzar un análisis
  2. b. Saltos condicionales
  3. c. Bucles
5. 5. API Windows
  1. a. Introducción
  2. b. API de acceso a los archivos
  3. c. API de acceso al registro
  4. d. API de comunicación de red
  5. e. API de gestión de servicios
  6. f. API de los objetos COM
  7. g. Gestor de reinicio de la API
  8. h. Ejemplos de uso de la API
  9. i. Conclusión
6. 6. Comparar binarios
  1. a. Descripción
  2. b. Herramientas
  3. c. Ejemplo
7. 7. Límites del análisis estático
Análisis dinámico
1. 1. Presentación
2. 2. X64dbg
  1. a. Presentación
  2. b. Control de flujo de ejecución
  3. c. Puntos de interrupción
  4. d. Visualizar los valores en memoria
  5. e. Copia de la memoria
3. 3. WinDbg
  1. a. Presentación
  2. b. Interfaz
  3. c. Comandos básicos
  4. d. Plug-in
4. 4. Analizar el núcleo de Windows
  1. a. Presentación
  2. b. Implementar el entorno
  3. c. Protecciones del kernel de Windows
5. 5. Emular e instrumentar
6. 6. Límites del análisis dinámicoy conclusión

Técnicas de ofuscación

Introducción
Ofuscar cadenas de caracteres
1. 1. Introducción
2. 2. Usar ROT13
3. 3. Usar la función XOR con una clave estática
4. 4. Usar la función XOR con una clave dinámica
5. 5. Usar funciones criptográficas
6. 6. Usar funciones personalizadas
7. 7. Herramientas que permiten decodificar las cadenasde caracteres
8. 8. Usar Cyberchef
9. 9. Usar Malduck
Ofuscar el uso de la API de Windows
1. 1. Introducción
2. 2. Estudio del caso de Duqu
3. 3. Estudio del caso de EvilBunny
Empaquetadores
1. 1. Introducción
2. 2. Empaquetadores que utilizan la pila
3. 3. Empaquetadores que utilizan el montículo
4. 4. Codificador Metasploit
5. 5. Herramientas para automatizar el desempaquetado
Otras técnicas
1. 1. Anti-VM
2. 2. Antingeniería inversa y antidepurador
Resumen

Malwares dirigidos contra los sistemas Android

Introducción
El sistema operativo Android
1. 1. Historia
2. 2. Arquitectura
3. 3. Particiones y sistema de archivos
4. 4. Seguridad
  1. a. Seguridad a nivel del sistema operativo
  2. b. Seguridad a nivel de Dalvik/ART
  3. c. Efecto secundario de las funcionalidades de seguridad
5. 5. Aplicaciones Android
6. 6. Malwares dirigidos contra teléfonos Android
Vectores de infección
1. 1. Instalar usando Google Store
2. 2. Instalar usando tiendas alternativas
3. 3. Instalar manualmente
4. 4. MDM : Mobile Device Management
5. 5. Acceso físico al dispositivo
Crear un laboratorio de análisis
1. 1. ¿Máquina virtual o teléfonofísico?
2. 2. Adb (Android Debug Bridge)
3. 3. Acceso administrador (root)
4. 4. Captura de red
  1. a. Captura de red pura
  2. b. Captura HTTP/HTTPS
Análisis estático y descompilación de una aplicación
1. 1. Analizar un archivo APK
2. 2. Código Java y descompilar: Bytecode Viewer
3. 3. Anti-VM
4. 4. Código propio
5. 5. Técnicas de ofuscación
Análisis dinámico
1. 1. Usar Frida
2. 2. Usar gdb para binarios propios
Resumen

Malwares dirigidos contra los sistemas iOS

Introducción
El sistema operativo iOS
1. 1. Historia
2. 2. Arquitectura
3. 3. Particiones y sistemas de archivos
4. 4. Seguridad
5. 5. Jailbreak
6. 6. Aplicaciones iOS
7. 7. Malwares dirigidos contra iOS
Vectores de infección
1. 1. Acceso físico al dispositivo
2. 2. Enlace hacia un archivo .ipa
3. 3. Tiendas alternativas
4. 4. MDM malicioso
Crear un laboratorio de análisis
1. 1. Analizar la red
2. 2. Jailbreak de una terminal y despliegue de una aplicación
Análisis estático de una aplicación
1. 1. Introducción
2. 2. Analizar con Ghidra
Análisis dinámico
1. 1. Usar Frida
2. 2. Usar lldb
Técnica utilizada para los malwares en iOS
1. 1. Inyectar librerías
2. 2. Inyectar JavaScript
3. 3. Keylogger en iOS
4. 4. Dispositivo liberado (por jailbreak) e inyectar código
Resumen

Análisis de malware e inteligencia sobre amenazas

Introducción
Indicadores de infección (IOC)
1. 1. Huellas digitales y firmas de los archivos
  1. a. Huellas criptográficas
  2. b. Huellas digitales por similitud: ssdeep y TLSH
  3. c. Huellas de tablas de importación de ejecutablesde Windows
2. 2. Indicadores del sistema
  1. a. Claves de registro
  2. b. Sistema de archivos
  3. c. Red
  4. d. Ejecución
Matriz MITRE, TTPs y Threat Actors
1. 1. Matriz MITRE
  1. a. Presentación
  2. b. Ejemplos de uso de la matriz ATT&CK
2. 2. TTP y actores de amenazas
  1. a. Definición
  2. b. TTP de TA505
  3. c. Actores de amenazas y conjuntos de intrusión
Reglas y detecciones
1. 1. Introducción
2. 2. Suricata
  1. a. Introducción
  2. b. Ejemplo de detección
3. 3. YARA
  1. a. Presentación
  2. b. Sintaxis
  3. c. Ejemplo de detección webshell
  4. d. Ejemplo de detección de Chinoxy a travésdel módulo PE
  5. e. Python y YARA
  6. f. Herramientas de código abierto que utilizanYARA
Fuentes de los datos
1. 1. Presentación
2. 2. Escáneres
  1. a. Definición
  2. b. Shodan.io
  3. c. Onyphe.io
  4. d. Censys.io
3. 3. DNS pasivo
  1. a. Presentación
  2. b. VirusTotal
  3. c. RiskIQ
4. 4. Repositorios de malware
  1. a. Presentación
  2. b. VirusTotal
  3. c. MalwareBazaar
5. 5. Fuentes de indicadores múltiples
  1. a. Presentación
  2. b. OTX AlienVault
  3. c. RiskIQ
Plataformas de inteligencia sobre amenazas
1. 1. Introducción
2. 2. MISP
  1. a. Presentación
  2. b. Características
3. 3. Yeti
  1. a. Presentación
  2. b. Características
Resumen

23/03/2024

excelente

UBALDO a

Paul RASCAGNERES

A lo largo de su carrera, Paul Rascagneres ha creado varios equipos de respuesta a incidentes en Europa y realizado numerosos análisis de códigos maliciosos complejos para un editor de antivirus. Hoy en día, trabaja en un equipo de inteligencia de ciberamenazas, en el que se encarga de analizar programas maliciosos en el contexto de incidentes de seguridad o proyectos de investigación. Participa, igualmente, de forma activa en la comunidad antimalware y es el autor de numerosas publicaciones. Conferencista internacional (Europa, Asia, América) sobre análisis de malwares, comparte en este libro sus conocimientos sobre este ámbito de la seguridad.

Más información

Sébastien LARINIER

Sébastien Larinier comenzó su carrera en equipos SOC (Centro de Operaciones de Seguridad) trabajando en la detección de intrusiones y creó el CERT Sekoia. En la actualidad, es profesor investigador en la ESIEA y consultor autónomo de inteligencia de amenazas, colaborando en varios proyectos de código abierto como MISP y Yeti. También es el autor de numerosos artículos; es conferencista internacional y profesor de análisis de malwares, investigación numérica e inteligencia de las ciberamenazas en el ESIEA.

Más información