██████╗██╗ ██╗██████╗ ███████╗██████╗ ██████╗ ██████╗ ███████╗
██╔════╝╚██╗ ██╔╝██╔══██╗██╔════╝██╔══██╗██╔═══██╗██╔══██╗██╔════╝
██║ ╚████╔╝ ██████╔╝█████╗ ██████╔╝██║ ██║██████╔╝███████╗
██║ ╚██╔╝ ██╔══██╗██╔══╝ ██╔══██╗██║ ██║██╔═══╝ ╚════██║
╚██████╗ ██║ ██████╔╝███████╗██║ ██║╚██████╔╝██║ ███████║
╚═════╝ ╚═╝ ╚═════╝ ╚══════╝╚═╝ ╚═╝ ╚═════╝ ╚═╝ ╚══════╝
- Edgar Salazar edgar.salazar@guayoyo.io
- Josmell Chavarri josmell.chavarri@guayoyo.io
Este repositorio fue creado para compartir recursos útiles para el taller Cyber Operations - Análisis, Detección y Respuesta de Malware.
El proposito de este taller es permitir a los participantes el estudio del malware, las personas interesadas en el análisis de malware podran comprobar las formas en que operan y podran tomar acciones de deteccion y respuesta para bloquear algun malware específico dentro de un entorno de prueba.
- ¡Recuerde que puede conseguir artefactos de malware activo y peligroso!
- ¡NO los ejecute a menos que esté absolutamente seguro de lo que está haciendo!
- Los artefactos de malware utilizados durante este taller deben usarse solo con fines educativos. (¡lo decimos en serio!) !!!
- No es nuestra responsabilidad lo que el participante haga con ello fuera del laboratorio virtual disponibilizado para dichas pruebas.
El análisis de malware es una disciplina profunda y sigue evolucionando muy rápido, por lo que su compresión es necesaria para fortalecer las capacidades de los equipos defensivos.
En el presente taller abordaremos el Malware desde dos enfoques, un enfoque de análisis para casos reactivos y de inteligencia; y un enfoque de detección para dar respuesta inmediata a posibles eventos.
Introduciremos a los participantes en los conceptos básicos del análisis estático y dinámico de malware a través de técnicas cuidadosas de ingeniería inversa que permitan comprender y obtener indicadores de compromiso (IOC) para identificar campañas de ataques. Así mismo, enseñaremos a los participantes con ejemplos prácticos y laboratorios a generar capacidades defensivas que puedan ser usadas por los equipos de seguridad para detectar y responder activamente ante amenazas de malware mediante Wazuh, una plataforma de ciberseguridad de código abierto que integra capacidades de SIEM y XDR.
Debido a que el análisis de malware es un arte, un oficio técnico y una ciencia, la exploración a fondo está más allá del alcance de este curso. Nuestro objetivo es presentar los aspectos básicos e intermedios del análisis, la detección y respuesta de malware en un formato práctico y guiado para que el participante pueda aplicar con éxito el aprendizaje.
-
Introducción al análisis estático de malware
- Formato ejecutable portátil (PE) de Microsoft Windows
- Diseccionando el formato PE usando Pefile
- Examinando imágenes en malware
- Examinando strings en malware
- Introducción a la ingeniería inversa - Desamblaje X86
-
Introducción al análisis dinámico de malware
- Herramientas para el análisis dinámico básico
- Comportamientos típicos del malware
- Analizando resultados
- Limitaciones del análisis dinámico básico
-
Identificación de campañas de ataques
- Introducción a las campañas de ataques con malware
- Visualización de redes de malware
-
Detección de Malware
- Configuración para la supervisión de directorios
- Uso de FIM para detectar IOC conocidos
- Integración para la verificación de archivos con Yara y VirusTotal
- Decodificación de los registros de listas negras de malware
- Creación de reglas para la detección de ransomware
-
Respuesta activa
- Uso de listas CDB para la respuesta activa
- Configuración de la respuesta activa
- Casos de uso más comunes