Seguridad informática y Malwares Análisis de amenazas e implementación de contramedidas

Transcripción

1 Identificación de un malware 1. Presentación de los malwares por familias Introducción Backdoor Ransomware y locker Stealer Rootkit Escenario de infección Introducción Escenario 1: la ejecución de un archivo adjunto Escenario 2: el clic desafortunado Escenario 3: la apertura de un documento infectado Escenario 4: los ataques informáticos Escenario 5: los ataques físicos: infección por llave USB Técnicas de comunicación con el C&C Introducción Actualización de la lista de nombres de dominio Comunicación mediante HTTP/HTTPS/FTP/IRC Comunicación mediante Comunicación mediante una red punto a punto Comunicación mediante protocolos propietarios Comunicación pasiva Fast flux y DGA (Domain Generation Algorithms) Recogida de información Introducción Recogida y análisis del registro Recogida y análisis de los registros de eventos Recogida y análisis de los archivos ejecutados durante el arranque Recogida y análisis del sistema de archivos Gestión de los archivos bloqueados por el sistema operativo 32 1/8

2 4.7 Framework de investigación inforense Herramienta FastIR Collector Imagen de memoria Presentación Realización de una imagen de memoria Análisis de una imagen de memoria Análisis de la imagen de memoria de un proceso Funcionalidades de los malwares Técnicas para ser persistente Técnicas para ocultarse Malware sin archivo Esquivar el UAC Modo operativo en caso de amenazas a objetivos persistentes (APT) Introducción Fase 1: reconocimiento Fase 2: intrusión Fase 3: persistencia Fase 4: pivotar Fase 5: filtración Trazas dejadas por el atacante Conclusión 61 Análisis básico 1. Creación de un laboratorio de análisis Introducción VirtualBox La herramienta de gestión de muestras de malware Viper 70 2/8

3 2. Información sobre un archivo Formato de archivo Cadenas de caracteres presentes en un archivo Análisis en el caso de un archivo PDF Introducción Extraer el código JavaScript Desofuscar código JavaScript Conclusión Análisis en el caso de un archivo de Adobe Flash Introducción Extraer y analizar el código ActionScript Análisis en el caso de un archivo JAR Introducción Recuperar el código fuente de las clases Análisis en el caso de un archivo de Microsoft Office Introducción Herramientas que permiten analizar archivos de Office Caso de malware que utiliza macros: Dridex Caso de malware que utiliza alguna vulnerabilidad Uso de PowerShell Análisis en el caso de un archivo binario Análisis de binarios desarrollados en AutoIt Análisis de binarios desarrollados con el framework.net Análisis de binarios desarrollados en C o C El formato PE Introducción 102 3/8

4 9.2 Esquema del formato PE Herramientas para analizar un PE API de análisis de un PE Seguir la ejecución de un archivo binario Introducción Actividad a nivel del registro Actividad a nivel del sistema de archivos Actividad de red Actividad de red de tipo HTTP(S) Uso de Cuckoo Sandbox Introducción Configuración Uso Limitaciones Conclusión Recursos en Internet relativos a los malwares Introducción Sitios que permiten realizar análisis en línea Sitios que presentan análisis técnicos Sitios que permiten descargar samples de malwares 154 Reverse engineering 1. Introducción Presentación Legislación Ensamblador x Registros Instrucciones y operaciones 164 4/8

5 2.3 Gestión de la memoria por la pila Gestión de la memoria por el montículo Optimización del compilador Ensamblador x Registros Parámetros de las funciones Análisis estático Presentación IDA Pro Presentación Navegación Cambios de nombre y comentarios Script Plug-ins Radare Presentación Línea de comandos Interfaces gráficas no oficiales Técnicas de análisis Comenzar un análisis Saltos condicionales Bucles API Windows Introducción API de acceso a los archivos API de acceso al registro API de comunicación de red API de gestión de servicios API de los objetos COM Ejemplos de uso de la API Conclusión Límites del análisis estático 222 5/8

6 5. Análisis dinámico Presentación Immunity Debugger Presentación Control de flujo de ejecución Análisis de una librería Puntos de ruptura Visualización de los valores en memoria Copia de la memoria Soporte del lenguaje Python Conclusión WinDbg Presentación Interfaz Comandos básicos Plug-in Conclusión Análisis del núcleo de Windows Presentación Implementación del entorno Protecciones del kernel de Windows Conclusión Límites del análisis dinámico y conclusión 249 Técnicas de ofuscación 1. Introducción Ofuscación de las cadenas de caracteres Introducción Caso de uso de ROT Caso de uso de la función XOR con una clave estática Caso de uso de la función XOR con una clave dinámica 262 6/8

7 2.5 Caso de uso de funciones criptográficas Caso de uso de funciones personalizadas Herramientas que permiten decodificar las cadenas de caracteres Ofuscación del uso de la API de Windows Introducción Estudio del caso de Duqu Estudio del caso de EvilBunny Packers Introducción Packers que utilizan la pila Packers que utilizan el montículo Encoder Metasploit Otras técnicas Anti-VM Anti-reverse engineering y anti-debug Conclusión 321 Detección, confinamiento y erradicación 1. Introducción Indicadores de compromiso de red Presentación Uso de los proxys Uso de detectores de intrusión Casos complejos Detección de archivos Presentación 331 7/8

8 3.2 Firmas (o Hash) Firmas con YARA Firmas con ssdeep Detección y erradicación de malwares con ClamAV Presentación Instalación Uso Artefactos del sistema Tipos de artefactos Herramientas Uso de OpenIOC Presentación Uso Interfaz gráfica de edición Detección Conclusión 367 índice 369 8/8