|
Resumen:
|
[ES] A lo largo de los últimos años, los ciberataques tanto a entidades públicas, privadas e
infraestructuras críticas, han sufrido un aumento bastante notable. En ocasiones, el resultado de dichos ataques puede ser la ...[+]
[ES] A lo largo de los últimos años, los ciberataques tanto a entidades públicas, privadas e
infraestructuras críticas, han sufrido un aumento bastante notable. En ocasiones, el resultado de dichos ataques puede ser la consecuencia de pérdidas económicas millonarias y
también de vidas humanas. Sucesivamente, con más asiduidad el número de dispositivos
conectados a Internet también se está incrementando, provocando que se amplíe la superficie de ataque. De igual manera, los ataques que se experimentan han evolucionado,
y cada vez suelen ser más sofisticados, dañinos y sigilosos. Asimismo, muchos de ellos
son llevados a cabo por grupos APT (Advanced Persistent Threat) o grupos de cibercriminales especializados en sectores concretos, cuya finalidad en muchos de los casos es
obtener un beneficio económico, competitivo o comercial, saboteando servicios esenciales o robando información sensible de entidades u organizaciones. De forma paralela, los
grupos APT pueden haber infectado un sistema y estar presentes durante un periodo de
tiempo prolongado, pudiendo perdurar incluso años.
Paralelamente, los grupos de ciberdelincuentes requieren de tecnología y herramientas, o mejor dicho de programas maliciosos, conocidos comúnmente como malware, para
llevar a cabo acciones indeseadas. Llegados a este punto de inflexión, resulta de especial
interés conocer en profundidad de que tecnología están haciendo uso los grupos APT y
de esta forma prevenir, evitar o reducir el impacto de las amenazas. Por consiguiente, el
trabajo presenta una breve introducción que puede servir de guía inicial para todo aquel
interesado en el análisis malware.
De igual manera, se presenta un amplio listado de herramientas para el estudio de
programas maliciosos, en el que se describe su funcionalidad, seguido de unas pinceladas, que aportarán una base de conocimientos indispensable, para poder seguir el trabajo. Consecutivamente, se realizará un caso práctico en el que se estudia un RAT, que en
nuestro caso es un Remcos, que se ha elegido ya que es un malware que consta de cierta
complejidad, y como herramienta de administración remota puede combinarse con otro
tipo de malware, para llevar ataques de diversos tipos. A modo de ejemplo, se detalla que
se podría emplear para exfiltrar información en la fase inicial de un ataque ransomware.
Por otro lado, este malware nos permitirá afianzar conceptos sin correr excesivos riesgos,
debido a que no es suficientemente sofisticado, al menos en la versión 1.7 Pro que se analiza, como para escapar del entorno virtual. Seguidamente, lo mencionado previamente
se complementará con un análisis estático básico, dinámico básico y estático avanzado,
que nos otorgarán una visión del comportamiento del malware, cruciales para desarrollar
vacunas que nos permitan detener su ejecución.
[-]
[CA] Al llarg dels anys, el ciberatacs tant a entitats públiques com privades tenint en compte també les infrastructures crítiques han patit un augment notable. En ocasions, el resultat pot esdevindre pèrdues econòmiques ...[+]
[CA] Al llarg dels anys, el ciberatacs tant a entitats públiques com privades tenint en compte també les infrastructures crítiques han patit un augment notable. En ocasions, el resultat pot esdevindre pèrdues econòmiques milionàries y humanes. Successivament, amb
més assiduïtat el nombre de dispositius conectats a Internet també està creixent, el que
pot provocar que la superfície que tenen els ciber delinqüens disponible siga major. D’altra banda, els atacs son més sofisticats y els duen a terme grups especialitzats, coneguts
con APT (Advanced Persistent Threat), que es focalitzen en sectors determinats y poden
romandre molt de temps en el sistema infectat. Axí mateix, la finalitat moltes voltes es
obtindre benefici econòmic, competitiu o comercial, sabotejant serveis essencials o robant
informació privilegiada d’entitats.
Consecutivamente, el grups de ciber criminals requerixen disposar de tecnología y
software maliciós , amplamente conegut com malware per a realitzar intrusions. De la
mateixa manera és especialment interessant saber que programes empren els ciberatacants per a previndre els incidents. Seguidament, aquest treball te com a objectiu ser una
guia de referència per a qualsevol que vulga tindre unes nocions bàsiques i apronfundir
un poc en l’anàlisi malware.
D’igual manera, es mostra un llarg llistat de ferramentes idònies per a l’estudi de
software maliciós, descrivint en cadascuna d’elles la seua funcionalitat. Consecutivamente, s’efectuarà un cas pràctic en el que s’analitzarà un Remcos, que es un malware
de tipus RAT, que s’ha escollit perque consta de certa complexitat, però no es prou avançat per escapar-se de laboratori virtual. Addicionalment, pot combinar-se amb altres
tipus de malware per a realitzar atacs mes complexos, com és la fase inicial d’exfiltració
d’informació d’un atac de ransomware. Així mateix, el Remcos ens permetrà afemar coneixements sense córrer cap risc elevat. L’esmentat prèviament es complementarà amb
un anàlisi estàtic bàsic, un anàlisi dinàmic bàsic, un anàlisi dinàmic avançat que en permetran obtindre una àmplia visió per a desenvolupar vacunes que detinguen l’execució
del Remcos
[-]
[EN] Over the course of last years, cyber attacks in public and private organizations and
critical infrastructures have suffered a surge. Nowadays, more and more devices and
connected to Internet, which triggers that the ...[+]
[EN] Over the course of last years, cyber attacks in public and private organizations and
critical infrastructures have suffered a surge. Nowadays, more and more devices and
connected to Internet, which triggers that the attack surface being widened. Subsecuently, the aftermath could unleash big amounts of financial and human losses. Conversely, these sort of attacks are evolving in a more complex and stealthy way, which
cause them to be more harmful than before. Subsecuently, the threat actors involve in
them, are knows a APT (Advanced Persistent Threat) who are organized cybercriminal
groups specialized in particular sectors, with the aim of obtaining crucial information
that could provide an economic benefit or a commercial advantage.
Consequently, cybercriminals are required to use techonology and certain malicious
software, often recognized as malware. On the other hand, is essential to delve in the
matter and comprehend what malicious programmes are being used to decrease or prevent cyber attacks and threats. Moreover, the main point of this work is to give a little
guide that supply an overview to everybody interested in malware analysis.
In addition, is it exposed a considerable survey of malware analysis tools, describing the functionality of each one, followed by an elementary understanding background.
Successively, a practical analysis will be shown utilizing a Remcos RAT as a malware
sample, which is challenging, however, is not enough sophisticated to escape from the
virtual environment. On the other hand, as a remote administration tool a Remcos could
be used in combination with other kind of malware to perform more complex attacks.
As an illustration, it could be employed for the initial information exfiltrattion phase of
a ransomware attack. Moreover, this kind of malware will make us improve our knowledge with taking big risks. Finally, the previous assignment will be enriched with a basic
static analysis, a basic dynamic analysis, an advanced static analysis and vaccine development thwart succesfully Remcos execution.
[-]
|
![[Cerrado]](/themes/UPV/images/candado.png)
