excelente
UBALDO a- Libros
- Seguridad informática y Malwares - Análisis de amenazas e implementación de contramedidas (3ª edición)
Seguridad informática y Malwares Análisis de amenazas e implementación de contramedidas (3ª edición)
1 opinión
Este libro describe las técnicas y metodología utilizadas por los profesionales del análisis de malwares (o programas maliciosos). Está dirigido a informáticos apasionados por la seguridad y a los profesionales de la seguridad informática que deseen un enfoque operativo y altamente técnico. Los autores comienzan identificando y clasificando el malware; a continuación, describen y analizan los datos recopilados por las investigaciones digitales forenses (legaltech o tecnología legal). Estas...
Consultar extractos del libro
Extracto del libro
- Nivel Medio a Experto
- Número de páginas 549 páginas
- Publicación octubre 2023
- Nivel Medio a Experto
- Publicación octubre 2023
Este libro describe las técnicas y metodología utilizadas por los profesionales del análisis de malwares (o programas maliciosos). Está dirigido a informáticos apasionados por la seguridad y a los profesionales de la seguridad informática que deseen un enfoque operativo y altamente técnico.
Los autores comienzan identificando y clasificando el malware; a continuación, describen y analizan los datos recopilados por las investigaciones digitales forenses (legaltech o tecnología legal). Estas recopilaciones incluyen imágenes de disco, registros de eventos e imágenes de memoria. Se describen las herramientas y técnicas utilizadas para analizar estos datos, con numerosos ejemplos.
Una vez identificado el malware, es necesario analizarlo. Los autores explican cómo funcionan las herramientas de sandbox y describen formatos de archivo como documentos PDF, documentos de Microsoft Office e incluso binarios de Windows. Para realizar análisis muy técnicos, el libro contiene un capítulo entero sobre ingeniería inversa (reverse engineering), en el que los autores explican los fundamentos del ensamblador (x86 y x64), el uso de herramientas de análisis estático como Ghidra y Rizin y depuradores como x64dbg y WinDBG. Como complemento al tema de la ingeniería inversa, un capítulo explica las técnicas de ofuscación utilizadas por los malwares, como la ofuscación de cadenas de caracteres o el uso de empaquetadores. Los autores detallan las técnicas utilizadas para desempaquetar binarios empaquetados. Se dedican dos capítulos al análisis del malware en sistemas móviles: el sistema operativo Android de Google y el iOS de Apple. La última parte del libro describe la inteligencia sobre amenazas y explica no solo cómo almacenar la información adquirida durante las investigaciones, sino también cómo compartirla para mejorar el conocimiento y la detección.
Este libro está ilustrado con ejemplos de análisis de malware reales y todas las técnicas presentadas han sido validadas usando casos reales.
Los autores comienzan identificando y clasificando el malware; a continuación, describen y analizan los datos recopilados por las investigaciones digitales forenses (legaltech o tecnología legal). Estas recopilaciones incluyen imágenes de disco, registros de eventos e imágenes de memoria. Se describen las herramientas y técnicas utilizadas para analizar estos datos, con numerosos ejemplos.
Una vez identificado el malware, es necesario analizarlo. Los autores explican cómo funcionan las herramientas de sandbox y describen formatos de archivo como documentos PDF, documentos de Microsoft Office e incluso binarios de Windows. Para realizar análisis muy técnicos, el libro contiene un capítulo entero sobre ingeniería inversa (reverse engineering), en el que los autores explican los fundamentos del ensamblador (x86 y x64), el uso de herramientas de análisis estático como Ghidra y Rizin y depuradores como x64dbg y WinDBG. Como complemento al tema de la ingeniería inversa, un capítulo explica las técnicas de ofuscación utilizadas por los malwares, como la ofuscación de cadenas de caracteres o el uso de empaquetadores. Los autores detallan las técnicas utilizadas para desempaquetar binarios empaquetados. Se dedican dos capítulos al análisis del malware en sistemas móviles: el sistema operativo Android de Google y el iOS de Apple. La última parte del libro describe la inteligencia sobre amenazas y explica no solo cómo almacenar la información adquirida durante las investigaciones, sino también cómo compartirla para mejorar el conocimiento y la detección.
Este libro está ilustrado con ejemplos de análisis de malware reales y todas las técnicas presentadas han sido validadas usando casos reales.
Descargas
Prólogo
- Introducción
Comprender qué es un malware
- Presentación de los malwares por familias
- 1. Introducción
- 2. Backdoor
- 3. Ransomware y locker
- 4. Stealer
- 5. Miner
- 6. Banking Trojan
- 7. Rootkit
- Escenario de una infección
- 1. Introducción
- 2. Escenario 1: ejecutar un archivo adjunto
- 3. Escenario 2: el clic desafortunado
- 4. Escenario 3: abrir un documento infectado
- 5. Escenario 4: ataque informático
- 6. Escenario 5: ataque físico: infecciónpor llave USB
- 7. Escenario 6: ataque tipo cadena de suministros (Supply Chain)
- Técnicas de comunicación con el C&C
- 1. Introducción
- 2. Actualizar la lista de nombres de dominio
- 3. Comunicación mediante HTTP/HTTPS/FTP/IRC
- 4. Comunicación mediante correo electrónico
- 5. Comunicación mediante una red punto a punto
- 6. Comunicación mediante protocolos patentados
- 7. Comunicación mediante el protocolo DNS
- 8. Comunicación pasiva
- 9. Fast flux y DGA (Domain Generation Algorithms)
- 10. Objetivos sin acceso a Internet
- Modo operativo en caso de amenazas persistentes avanzadas a un objetivo (APT)
- 1. Introducción
- 2. Fase 1: conocer
- 3. Fase 2: incursionar
- 4. Fase 3: descubrir
- 5. Fase 4: pivotear
- 6. Fase 5: extraer
- 7. Trazas que deja el atacante
- Recursos en Internet en relación con los malwares
- 1. Introducción
- 2. Sitios web que permiten hacer análisis enlínea
- 3. Sitios web que explican análisis técnicos
- 4. Sitios web que ofrecen muestras de malware para descargar
- Resumen
Malwares contra sistemas Microsoft Windows
- Introducción
- Recolectar información
- 1. Introducción
- 2. Recolectar y analizar la base de registro
- 3. Recolectar y analizar los registros de eventos
- 4. Recolectar y analizar los archivos ejecutados duranteel arranque
- 5. Recolectar y analizar el sistema de archivos
- 6. Gestionar archivos bloqueados por el sistema operativo
- 7. Herramienta DFIR ORC
- Imagen de memoria
- 1. Presentación
- 2. Realizar una imagen de memoria
- 3. Analizar una imagen de memoria
- 4. Analizar la imagen de memoria de un proceso
- Funcionalidades de los malwares
- 1. Técnicas para la persistencia
- 2. Técnicas para ocultarse
- 3. Malware sin archivo
- 4. Esquivar el UAC
- Crear un laboratorio de análisis
- 1. Introducción
- 2. VirtualBox
- 3. Máquinas virtuales preconfiguradas
- 4. Viper: la herramienta de gestión de muestrasde malware
- Analizar el vector de infección
- 1. Información sobre un archivo
- a. Formato de archivo
- b. Cadenas de caracteres presentes en un archivo
- 1. Información sobre un archivo
- 2. Analizar el caso de un archivo PDF
- a. Introducción
- b. Extraer el código JavaScript
- c. Desbloquear el código JavaScript
- d. Conclusión
- 3. Analizar el caso de un archivo de Adobe Flash
- a. Introducción
- b. Extraer y analizar el código ActionScript
- 4. Analizar el caso de un archivo JAR
- a. Introducción
- b. Recuperar el código fuente de las clases
- 5. Analizar el caso de un archivo de Microsoft Office
- a. Introducción
- b. Herramientas que permiten analizar archivos de Office
- c. Caso de malware que utiliza macros: Dridex
- d. Caso de malware que utiliza alguna vulnerabilidad
- 6. Usar PowerShell
- 1. Analizar binarios desarrollados en AutoIt
- 2. Analizar binarios desarrollados con el framework .NET
- 3. Analizar scripts Python compilados
- 4. Analizar binarios desarrollados en C o C++
- 5. Analizar rápidamente la funcionalidad deun binario
- 6. Analizar bootkits UEFI
- 1. Introducción
- 2. Esquema del formato PE
- a. Encabezado MZ-DOS
- b. Segmento DOS
- c. Encabezado PE
- d. Tabla de secciones
- e. Tabla de imports
- f. Tabla de exports
- g. Recursos
- 1. Introducción
- 2. Actividad a nivel del registro
- 3. Actividad a nivel del sistema de archivos
- 4. Actividad de red
- 5. Actividad de red de tipo HTTP(S)
- 1. Introducción
- 2. Configuración
- 3. Uso
- 4. Limitaciones
- 5. Conclusión
Ingeniería inversa
- Introducción
- 1. Presentación
- 2. Legislación
- ¿Qué es un proceso de Windows?
- 1. Introducción
- 2. Process Environment Block
- 3. Thread Environment Block
- Ensamblador x86
- 1. Registros
- 2. Instrucciones y operaciones
- 3. Gestionar la memoria usando la pila (stack)
- 4. Gestionar la memoria usando el montón (heap)
- 5. Optimizar el compilador
- Ensamblador x64
- 1. Registros
- 2. Parámetros de las funciones
- Análisis estático
- 1. Presentación
- 2. Ghidra
- a. Presentación
- b. Navegación
- c. Cambiar nombre y comentarios
- d. Extensiones
- e. Compatibilidad con Python 3
- 3. Rizin
- a. Presentación
- b. Línea de comandos
- c. Interfaz gráfica: Cutter
- 4. Técnicas de análisis
- a. Comenzar un análisis
- b. Saltos condicionales
- c. Bucles
- 5. API Windows
- a. Introducción
- b. API de acceso a los archivos
- c. API de acceso al registro
- d. API de comunicación de red
- e. API de gestión de servicios
- f. API de los objetos COM
- g. Gestor de reinicio de la API
- h. Ejemplos de uso de la API
- i. Conclusión
- 6. Comparar binarios
- a. Descripción
- b. Herramientas
- c. Ejemplo
- 7. Límites del análisis estático
- 1. Presentación
- 2. X64dbg
- a. Presentación
- b. Control de flujo de ejecución
- c. Puntos de interrupción
- d. Visualizar los valores en memoria
- e. Copia de la memoria
- a. Presentación
- b. Interfaz
- c. Comandos básicos
- d. Plug-in
- a. Presentación
- b. Implementar el entorno
- c. Protecciones del kernel de Windows
Técnicas de ofuscación
- Introducción
- Ofuscar cadenas de caracteres
- 1. Introducción
- 2. Usar ROT13
- 3. Usar la función XOR con una clave estática
- 4. Usar la función XOR con una clave dinámica
- 5. Usar funciones criptográficas
- 6. Usar funciones personalizadas
- 7. Herramientas que permiten decodificar las cadenasde caracteres
- 8. Usar Cyberchef
- 9. Usar Malduck
- Ofuscar el uso de la API de Windows
- 1. Introducción
- 2. Estudio del caso de Duqu
- 3. Estudio del caso de EvilBunny
- Empaquetadores
- 1. Introducción
- 2. Empaquetadores que utilizan la pila
- 3. Empaquetadores que utilizan el montículo
- 4. Codificador Metasploit
- 5. Herramientas para automatizar el desempaquetado
- Otras técnicas
- 1. Anti-VM
- 2. Antingeniería inversa y antidepurador
- Resumen
Malwares dirigidos contra los sistemas Android
- Introducción
- El sistema operativo Android
- 1. Historia
- 2. Arquitectura
- 3. Particiones y sistema de archivos
- 4. Seguridad
- a. Seguridad a nivel del sistema operativo
- b. Seguridad a nivel de Dalvik/ART
- c. Efecto secundario de las funcionalidades de seguridad
- 5. Aplicaciones Android
- 6. Malwares dirigidos contra teléfonos Android
- 1. Instalar usando Google Store
- 2. Instalar usando tiendas alternativas
- 3. Instalar manualmente
- 4. MDM : Mobile Device Management
- 5. Acceso físico al dispositivo
- 1. ¿Máquina virtual o teléfonofísico?
- 2. Adb (Android Debug Bridge)
- 3. Acceso administrador (root)
- 4. Captura de red
- a. Captura de red pura
- b. Captura HTTP/HTTPS
- 1. Analizar un archivo APK
- 2. Código Java y descompilar: Bytecode Viewer
- 3. Anti-VM
- 4. Código propio
- 5. Técnicas de ofuscación
- 1. Usar Frida
- 2. Usar gdb para binarios propios
Malwares dirigidos contra los sistemas iOS
- Introducción
- El sistema operativo iOS
- 1. Historia
- 2. Arquitectura
- 3. Particiones y sistemas de archivos
- 4. Seguridad
- 5. Jailbreak
- 6. Aplicaciones iOS
- 7. Malwares dirigidos contra iOS
- Vectores de infección
- 1. Acceso físico al dispositivo
- 2. Enlace hacia un archivo .ipa
- 3. Tiendas alternativas
- 4. MDM malicioso
- Crear un laboratorio de análisis
- 1. Analizar la red
- 2. Jailbreak de una terminal y despliegue de una aplicación
- Análisis estático de una aplicación
- 1. Introducción
- 2. Analizar con Ghidra
- Análisis dinámico
- 1. Usar Frida
- 2. Usar lldb
- Técnica utilizada para los malwares en iOS
- 1. Inyectar librerías
- 2. Inyectar JavaScript
- 3. Keylogger en iOS
- 4. Dispositivo liberado (por jailbreak) e inyectar código
- Resumen
Análisis de malware e inteligencia sobre amenazas
- Introducción
- Indicadores de infección (IOC)
- 1. Huellas digitales y firmas de los archivos
- a. Huellas criptográficas
- b. Huellas digitales por similitud: ssdeep y TLSH
- c. Huellas de tablas de importación de ejecutablesde Windows
- 1. Huellas digitales y firmas de los archivos
- 2. Indicadores del sistema
- a. Claves de registro
- b. Sistema de archivos
- c. Red
- d. Ejecución
- 1. Matriz MITRE
- a. Presentación
- b. Ejemplos de uso de la matriz ATT&CK
- a. Definición
- b. TTP de TA505
- c. Actores de amenazas y conjuntos de intrusión
- 1. Introducción
- 2. Suricata
- a. Introducción
- b. Ejemplo de detección
- a. Presentación
- b. Sintaxis
- c. Ejemplo de detección webshell
- d. Ejemplo de detección de Chinoxy a travésdel módulo PE
- e. Python y YARA
- f. Herramientas de código abierto que utilizanYARA
- 1. Presentación
- 2. Escáneres
- a. Definición
- b. Shodan.io
- c. Onyphe.io
- d. Censys.io
- a. Presentación
- b. VirusTotal
- c. RiskIQ
- a. Presentación
- b. VirusTotal
- c. MalwareBazaar
- a. Presentación
- b. OTX AlienVault
- c. RiskIQ
- 1. Introducción
- 2. MISP
- a. Presentación
- b. Características
- a. Presentación
- b. Características
Paul RASCAGNERES
A lo largo de su carrera, Paul Rascagneres ha creado varios equipos de respuesta a incidentes en Europa y realizado numerosos análisis de códigos maliciosos complejos para un editor de antivirus. Hoy en día, trabaja en un equipo de inteligencia de ciberamenazas, en el que se encarga de analizar programas maliciosos en el contexto de incidentes de seguridad o proyectos de investigación. Participa, igualmente, de forma activa en la comunidad antimalware y es el autor de numerosas publicaciones. Conferencista internacional (Europa, Asia, América) sobre análisis de malwares, comparte en este libro sus conocimientos sobre este ámbito de la seguridad.
Más informaciónSébastien LARINIER
Sébastien Larinier comenzó su carrera en equipos SOC (Centro de Operaciones de Seguridad) trabajando en la detección de intrusiones y creó el CERT Sekoia. En la actualidad, es profesor investigador en la ESIEA y consultor autónomo de inteligencia de amenazas, colaborando en varios proyectos de código abierto como MISP y Yeti. También es el autor de numerosos artículos; es conferencista internacional y profesor de análisis de malwares, investigación numérica e inteligencia de las ciberamenazas en el ESIEA.
Más información