Seguridad informtica y Malwares

Anlisis de amenazas e implementacin de contramedidas

Identificacin de un malware

1. Presentacin de los malwares por familias 9

1.1 Introduccin 9
1.2 Backdoor 10
1.3 Ransomware y locker 11
1.4 Stealer 12
1.5 Rootkit 13

2. Escenario de infeccin 14

2.1 Introduccin 14
2.2 Escenario 1: la ejecucin de un archivo adjunto 14
2.3 Escenario 2: el clic desafortunado 15
2.4 Escenario 3: la apertura de un documento infectado 16
2.5 Escenario 4: los ataques informticos 16
2.6 Escenario 5: los ataques fsicos: infeccin por llave USB 17

3. Tcnicas de comunicacin con el C&C 17

3.1 Introduccin 17
3.2 Actualizacin de la lista de nombres de dominio 18
3.3 Comunicacin mediante HTTP/HTTPS/FTP/IRC 18
3.4 Comunicacin mediante e-mail 19
3.5 Comunicacin mediante una red punto a punto 19
3.6 Comunicacin mediante protocolos propietarios 19
3.7 Comunicacin pasiva 20
3.8 Fast flux y DGA (Domain Generation Algorithms) 20

4. Recogida de informacin 21

4.1 Introduccin 21
4.2 Recogida y anlisis del registro 22
4.3 Recogida y anlisis de los registros de eventos 24
4.4 Recogida y anlisis de los archivos ejecutados durante el arranque 25
4.5 Recogida y anlisis del sistema de archivos 26
4.6 Gestin de los archivos bloqueados por el sistema operativo 32

www.ediciones-eni.com Ediciones ENI 1/8

 Seguridad informtica y Malwares
Anlisis de amenazas e implementacin de contramedidas

4.7 Framework de investigacin inforense 33

4.8 Herramienta FastIR Collector 35

5. Imagen de memoria 37
5.1 Presentacin 37
5.2 Realizacin de una imagen de memoria 38
5.3 Anlisis de una imagen de memoria 41
5.4 Anlisis de la imagen de memoria de un proceso 48

6. Funcionalidades de los malwares 49

6.1 Tcnicas para ser persistente 49

6.2 Tcnicas para ocultarse 51
6.3 Malware sin archivo 55
6.4 Esquivar el UAC 56

7. Modo operativo en caso de amenazas a objetivos persistentes (APT) 57

7.1 Introduccin 57
7.2 Fase 1: reconocimiento 58
7.3 Fase 2: intrusin 58
7.4 Fase 3: persistencia 59
7.5 Fase 4: pivotar 59
7.6 Fase 5: filtracin 60
7.7 Trazas dejadas por el atacante 60

8. Conclusin 61

Anlisis bsico

1. Creacin de un laboratorio de anlisis 63

1.1 Introduccin 63
1.2 VirtualBox 64
1.3 La herramienta de gestin de muestras de malware Viper 70

www.ediciones-eni.com Ediciones ENI 2/8

 Seguridad informtica y Malwares
Anlisis de amenazas e implementacin de contramedidas

2. Informacin sobre un archivo 76

2.1 Formato de archivo 76
2.2 Cadenas de caracteres presentes en un archivo 77

3. Anlisis en el caso de un archivo PDF 79

3.1 Introduccin 79
3.2 Extraer el cdigo JavaScript 79
3.3 Desofuscar cdigo JavaScript 84
3.4 Conclusin 88

4. Anlisis en el caso de un archivo de Adobe Flash 88

4.1 Introduccin 88
4.2 Extraer y analizar el cdigo ActionScript 89

5. Anlisis en el caso de un archivo JAR 90

5.1 Introduccin 90
5.2 Recuperar el cdigo fuente de las clases 91

6. Anlisis en el caso de un archivo de Microsoft Office 93

6.1 Introduccin 93
6.2 Herramientas que permiten analizar archivos de Office 93
6.3 Caso de malware que utiliza macros: Dridex 94
6.4 Caso de malware que utiliza alguna vulnerabilidad 96

7. Uso de PowerShell 98

8. Anlisis en el caso de un archivo binario 99

8.1 Anlisis de binarios desarrollados en AutoIt 99

8.2 Anlisis de binarios desarrollados con el framework .NET 101
8.3 Anlisis de binarios desarrollados en C o C++ 101

9. El formato PE 102
9.1 Introduccin 102

www.ediciones-eni.com Ediciones ENI 3/8

 Seguridad informtica y Malwares
Anlisis de amenazas e implementacin de contramedidas

9.2 Esquema del formato PE 103

9.3 Herramientas para analizar un PE 110
9.4 API de anlisis de un PE 113

10. Seguir la ejecucin de un archivo binario 117

10.1 Introduccin 117
10.2 Actividad a nivel del registro 118
10.3 Actividad a nivel del sistema de archivos 120
10.4 Actividad de red 121
10.5 Actividad de red de tipo HTTP(S) 129

11. Uso de Cuckoo Sandbox 130

11.1 Introduccin 130
11.2 Configuracin 131
11.3 Uso 136
11.4 Limitaciones 145
11.5 Conclusin 147

12. Recursos en Internet relativos a los malwares 147

12.1 Introduccin 147

12.2 Sitios que permiten realizar anlisis en lnea 148
12.3 Sitios que presentan anlisis tcnicos 152
12.4 Sitios que permiten descargar samples de malwares 154

Reverse engineering

1. Introduccin 157

1.1 Presentacin 157

1.2 Legislacin 158

2. Ensamblador x86 159

2.1 Registros 159

2.2 Instrucciones y operaciones 164

www.ediciones-eni.com Ediciones ENI 4/8

 Seguridad informtica y Malwares
Anlisis de amenazas e implementacin de contramedidas

2.3 Gestin de la memoria por la pila 170

2.4 Gestin de la memoria por el montculo 173
2.5 Optimizacin del compilador 173

3. Ensamblador x64 174

3.1 Registros 174
3.2 Parmetros de las funciones 175

4. Anlisis esttico 176

4.1 Presentacin 176

4.2 IDA Pro 176
4.2.1 Presentacin 176
4.2.2 Navegacin 180
4.2.3 Cambios de nombre y comentarios 183
4.2.4 Script 184
4.2.5 Plug-ins 185
4.3 Radare2 189
4.3.1 Presentacin 189
4.3.2 Lnea de comandos 189
4.3.3 Interfaces grficas no oficiales 191
4.4 Tcnicas de anlisis 191
4.4.1 Comenzar un anlisis 191
4.4.2 Saltos condicionales 193
4.4.3 Bucles 194
4.5 API Windows 195
4.5.1 Introduccin 195
4.5.2 API de acceso a los archivos 196
4.5.3 API de acceso al registro 199
4.5.4 API de comunicacin de red 205
4.5.5 API de gestin de servicios 209
4.5.6 API de los objetos COM 212
4.5.7 Ejemplos de uso de la API 213
4.5.8 Conclusin 222
4.6 Lmites del anlisis esttico 222

www.ediciones-eni.com Ediciones ENI 5/8

 Seguridad informtica y Malwares
Anlisis de amenazas e implementacin de contramedidas

5. Anlisis dinmico 222

5.1 Presentacin 222
5.2 Immunity Debugger 223
5.2.1 Presentacin 223
5.2.2 Control de flujo de ejecucin 228
5.2.3 Anlisis de una librera 232
5.2.4 Puntos de ruptura 233
5.2.5 Visualizacin de los valores en memoria 235
5.2.6 Copia de la memoria 236
5.2.7 Soporte del lenguaje Python 237
5.2.8 Conclusin 238
5.3 WinDbg 238
5.3.1 Presentacin 238
5.3.2 Interfaz 239
5.3.3 Comandos bsicos 241
5.3.4 Plug-in 246
5.3.5 Conclusin 247
5.4 Anlisis del ncleo de Windows 247
5.4.1 Presentacin 247
5.4.2 Implementacin del entorno 247
5.4.3 Protecciones del kernel de Windows 248
5.4.4 Conclusin 249
5.5 Lmites del anlisis dinmico y conclusin 249

Tcnicas de ofuscacin

1. Introduccin 251

2. Ofuscacin de las cadenas de caracteres 253

2.1 Introduccin 253

2.2 Caso de uso de ROT13 253
2.3 Caso de uso de la funcin XOR con una clave esttica 256
2.4 Caso de uso de la funcin XOR con una clave dinmica 262

www.ediciones-eni.com Ediciones ENI 6/8

 Seguridad informtica y Malwares
Anlisis de amenazas e implementacin de contramedidas

2.5 Caso de uso de funciones criptogrficas 264

2.6 Caso de uso de funciones personalizadas 271
2.7 Herramientas que permiten decodificar las cadenas de caracteres 281

3. Ofuscacin del uso de la API de Windows 282

3.1 Introduccin 282
3.2 Estudio del caso de Duqu 283
3.3 Estudio del caso de EvilBunny 287

4. Packers 289

4.1 Introduccin 289

4.2 Packers que utilizan la pila 291
4.3 Packers que utilizan el montculo 305
4.4 Encoder Metasploit 313

5. Otras tcnicas 315

5.1 Anti-VM 315

5.2 Anti-reverse engineering y anti-debug 317

6. Conclusin 321

Deteccin, confinamiento y erradicacin

1. Introduccin 323

2. Indicadores de compromiso de red 325

2.1 Presentacin 325

2.2 Uso de los proxys 326
2.3 Uso de detectores de intrusin 328
2.4 Casos complejos 330

3. Deteccin de archivos 331

3.1 Presentacin 331

www.ediciones-eni.com Ediciones ENI 7/8

 Seguridad informtica y Malwares
Anlisis de amenazas e implementacin de contramedidas

3.2 Firmas (o Hash) 332

3.3 Firmas con YARA 334
3.4 Firmas con ssdeep 341

4. Deteccin y erradicacin de malwares con ClamAV 343

4.1 Presentacin 343
4.2 Instalacin 344
4.3 Uso 346

5. Artefactos del sistema 353

5.1 Tipos de artefactos 353

5.2 Herramientas 354

6. Uso de OpenIOC 356

6.1 Presentacin 356
6.2 Uso 357
6.3 Interfaz grfica de edicin 358
6.4 Deteccin 362

7. Conclusin 367

ndice 369

www.ediciones-eni.com Ediciones ENI 8/8