Sinopsis
Se considera malware cualquier tipo de software dañino contra el normal funcionamiento de un dispositivo, aplicación o red. Dentro del término malware se engloban virus, troyanos, gusanos, backdoors, rootkits, scareware, spyware, keyloggers, ransomware, etc. En general, un malware moderno incluirá varios de estos comportamientos.
Esta obra compila y desgrana las principales TTP (Tácticas, Técnicas y Procedimientos) empleadas actualmente por los atacantes. Parte de estas TTP están diseñadas para comprometer la CIA (confidencialidad, integridad y disponibilidad) del sistema víctima o de la información almacenada en él. En cambio, técnicas como la ofuscación, el anti desensamblado, la anti depuración y el anti sandboxing, son específicamente implementadas por los desarrolladores de malware para impedir o dificultar la detección de la muestra maliciosa mediante la utilización de herramientas automatizadas y su análisis manual.
El contenido de este libro describe una amplia metodología de análisis estático y dinámico de muestras maliciosas desarrolladas con las técnicas más actuales y avanzadas para entornos Windows sobre IA-32/64 bits. Estos conocimientos permitirán al lector:
� Analizar, caracterizar y contextualizar muestras maliciosas.
� Determinar el alcance del incidente.
� Eliminar los artifacts maliciosos del sistema infectado.
� Contribuir a la mejora de las defensas y elevar el nivel de resiliciencia del sistema.
� Fortalecer su capacidad para gestionar ciberincidentes relacionados con malware.
Dado que se incluye el soporte teórico necesario relativo a sistemas operativos Microsoft Windows, arquitectura de computadores IA-32/IA-64 y programación (ensamblador y .NET), se trata de una obra ideal tanto para aquellos que quieran introducirse profesionalmente en el análisis de malware como un libro de referencia para analistas avanzados.
ÍNDICE
ÍNDICE
ACERCA DEL AUTOR
PRÓLOGO
CAPÍTULO 1. INTRODUCCIÓN
CAPÍTULO 2. MOTIVOS PARA REALIZAR UN ANÁLISIS DE MALWARE
CAPÍTULO 3. INGENIERÍA INVERSA DE SOFTWARE
3.1 INTRODUCCIÓN
3.2 FUNDAMENTOS DE PROGRAMACIÓN
3.2.1 Código fuente
3.2.2 Código máquina
3.2.3 Código ensamblador
3.2.4 Entornos de ejecución de software y bytecodes
3.2.5 Construcciones básicas de código
3.2.6 Herencia
3.2.7 Variables
3.2.8 Estructuras de datos
3.2.9 Listas
3.2.10 Control de flujo
3.3 ARQUITECTURA X86
3.3.1 Tipos de datos
3.3.2 Registros
3.3.3 Memoria
3.3.4 Representación complemento a dos
3.3.5 Formato de instrucciones
3.3.6 Modos de direccionamiento
3.3.7 Interrupciones
3.3.8 Funciones (functions)
3.3.9 Módulos (modules)
3.3.10 La pila (stack)
3.3.11 El heap.
3.3.12 Secciones de datos ejecutables
3.3.13 Modos de operación de los procesadores
3.3.14 Instrucciones en ensamblador x86
3.3.15 Control de flujo en ensambladoR
3.4 ANÁLISIS DE CÓDIGO DE 64 BITS
3.4.1 Introducción
3.4.2 Registros de propósito general en x86 de 64 bits
3.4.3 Convención de llamadas a funciones
3.4.4 Modos de direccionamiento
3.4.5 Instrucciones x64
3.4.6 Transferencia de datos en x64
CAPÍTULO 4. FUNDAMENTOS DE LOS SISTEMAS OPERATIVOS MICROSOFT WINDOWS
4.1 BREVE HISTORIA
4.2 CARACTERÍSTICAS DE WINDOWS NT
4.3 COMPATIBILIDAD HARDWARE
4.4 GESTIÓN DE MEMORIA
4.4.1 Direccionamiento virtual de memoria
4.4.2 Memoria de kernel y memoria de usuario
4.4.3 Objetos de seccióN
4.4.4 Árboles VAD
4.4.5 Asignaciones en modo usuario
4.4.6 Símbolos
4.4.7 Funciones de la API para la gestión de memoria
4.5 OBJETOS Y HANDLES
4.5.1 Generalidades
4.5.2 Objetos con nombre (named objects)
4.6 PROCESOS E HILOS
4.6.1 Procesos
4.6.2 Hilos
4.6.3 Cambio de contexto
4.6.4 Objetos de sincronización
4.6.5 Atoms y tablas atom
4.6.6 Secuencia de inicialización de un proceso
4.7 API
4.8 FORMATO DE FICHERO PECOFF
4.8.1 Generalidades
4.8.2 Secciones de imagen
4.8.3 Dynamically Linked Libraries
4.8.4 Cabeceras de fichero
4.8.5 Sección Table (cabeceras de sección)
4.8.6 Sección DatA
4.8.7 Sección .drectvE
4.8.8 Sección .edatA
4.8.9 Sección .idatA
4.8.10 Sección .pdata
4.8.11 Sección .reloc
4.8.12 Sección .tls
4.8.13 Sección .rsrc.
4.8.14 Sección .cormeta
4.8.15 Sección .sxdatA
4.8.16 Cálculo del hash Authenticode de la imagen PE
4.9 ENTRADA/SALIDA
4.9.1 Generalidades
4.9.2 El sistema de E/S
4.9.3 Subsistema Win32.
4.10 STRUCTURED EXCEPTION HANDLING.
CAPÍTULO 5. VIRTUALIZACIÓN Y SANDBOXING
5.1 VIRTUALIZACIÓN
5.2 SANDBOXING.
CAPÍTULO 6. CRIPTOLOGÍA
6.1 INTRODUCCIÓN
6.2 DEFINICIONES
6.3 PRINCIPIOS DE LA CRIPTOGRAFÍA CLÁSICA
6.4 PRINCIPIOS DE CRIPTOGRAFÍA MODERNA
6.5 CRIPTOGRAFÍA DE CLAVE SIMÉTRICA
6.6 CRIPTOGRAFÍA DE CLAVE ASIMÉTRICA
6.7 CIFRADO HÍBRIDO
6.8 ALGORITMOS RESUMEN (HASHING)
6.9 ALGORITMOS DE LÓGICA DIFUSA (FUZZY HASHING) Y RESÚMENES DE SIMILITUD (SIMILARITY DIGESTS)
6.10 EMPLEO DE CIFRADO Y OFUSCACIÓN POR EL MALWARE
6.10.1 Generalidades
6.10.2 Cifrado CésaR
6.10.3 Codificación Base64.
6.10.4 Codificación XOR
6.10.5 Codificación mediante rotación
6.10.6 Técnicas de cifrado del malware
6.10.7 Técnicas de cifrado y codificación personalizadas
6.10.8 Cifrado de ficheros y volúmenes
6.11 PROTOCOLOS DE CIFRADO DE RED Y ANONIMIZACIÓN DE LAS COMUNICACIONES
CAPÍTULO 7. VECTORES DE INFECCIÓN DE UN SISTEMA
7.1 PROPAGACIÓN DEL MALWARE
7.2 DISTRIBUCIÓN DE MALWARE A TRAVÉS DE LA WEB
CAPÍTULO 8. CAPACIDADES DEL MALWARE
8.1 VIRUS Y GUSANOS
8.2 TROYANOS (TROJAN HORSES)
8.3 ADWARE/SPYWARE
8.4 SCAREWARE
8.5 WIPER
8.6 RANSOMWARE
8.7 DOWNLOADERS Y LAUNCHERS
8.8 PUERTAS TRASERAS (BACKDOORS)
8.8.1 Reverse shell
8.8.2 Windows Reverse Shell
8.8.3 Herramienta de acceso remoto (RAT)
8.8.4 Botnet.
8.9 ROOTKITS
8.10 MALWARE DE EXFILTRACIÓN DE INFORMACIÓN
8.11 ROBO DE CREDENCIALES
8.11.1 Interceptación GINA
8.11.2 Volcado de hashes
8.11.3 Registro de pulsaciones de teclado (keylogging)
8.12 MALWARE A NIVEL BIOS/FIRMARE
CAPÍTULO 9. COMPONENTES DEL MALWARE
9.1 FUNCIONALIDAD MODULAR
9.2 MALWARE DE MÚLTIPLES ETAPAS
9.3 EXPLOIT KITS
CAPÍTULO 10. MECANISMOS DE PERSISTENCIA DEL MALWARE
10.1 INTRODUCCIÓN
10.2 PERSISTENCIA EN LAS CARPETAS DE INICIO DE MICROSOFT WINDOWS
10.3 PERSISTENCIA EN LAS TAREAS PROGRAMADAS
10.4 PERSISTENCIA EN EL REGISTRO DE MICROSOFT WINDOWS
10.4.1 AppInit_DLLs
10.4.2 Valor Notify de Winlogon
10.4.3 Librerías SvcHost
10.5 TROYANIZACIÓN DE BINARIOS DEL SISTEMA
10.6 SECUESTRO DEL ORDEN DE CARGA DE LAS LIBRERÍAS
10.7 PERSISTENCIA EN MEMORIA DEL MALWARE
10.7.1 Inyección de shellcode
10.7.2 Inyección Reflexiva (Reflective DLL injection)
10.7.3 Módulo de memoria (memory module)
10.7.4 Process hollowing
10.7.5 Process Doppelgänging
10.7.6 Sobrescritura de módulo (module overwriting)
10.7.7 Gárgola (gargoyle)
10.8 FILELESS MALWARE
CAPÍTULO 11. ESCALADA DE PRIVILEGIOS
11.1 INTRODUCCIÓN
11.2 AUTORIZACIÓN EN SISTEMAS MICROSOFT WINDOWS
11.3 LOCALIZANDO EL OBJETO TOKEN
11.4 SEDEBUGPRIVILEGE
CAPÍTULO 12. TÉCNICAS DE OCULTACIÓN DE MALWARE
12.1 TÉCNIC
Librería Portfolio