Análisis de malware 301

Este curso se conocía anteriormente con el nombre de Temas avanzados en el análisis de malware.

Este curso, diseñado para analistas de malware con experiencia, se centra en temas avanzados relacionados con la lucha contra una mayor variedad de mecanismos de malware y de defensa del malware más complejos. En él se explica cómo combatir las técnicas antidesensamblaje, antidepuración y anti máquinas virtuales. También se explica cómo eliminar ejecutables empaquetados y blindados, analizar el encriptado, codificar algoritmos y eliminar varias técnicas de ofuscación. Entre otros temas, se tratan las técnicas de ocultación del malware, así como lenguajes y arquitecturas alternativos.

Se enseñará a los alumnos a utilizar las herramientas y técnicas disponibles, así como a investigar y desarrollar sus propios scripts y complementos de IDA Pro (es posible que se necesite una licencia de IDA Pro para usar scripts o complementos). Todos los conceptos y materiales se afianzan con demostraciones, casos de éxito reales, ejercicios de seguimiento y sesiones de laboratorio para que los alumnos practiquen nuevas habilidades. Los profesores son analistas de sénior de malware de FLARE con experiencia en la lucha contra los métodos de blindaje del malware más avanzado.

Requisitos previos: Tener un buen conjunto de conocimientos de la arquitectura x86 y las APIs de Windows. Se recomienda encarecidamente tener contacto con el desarrollo de software. Se recomienda completar el curso de análisis de malware 201, pero no es obligatorio.

Después de completar este curso, los alumnos deberían ser capaces de hacer lo siguiente:

• Comprender cómo oculta el malware su ejecución, incluida la inyección y la sustitución de procesos
• Descubrir cómo funciona shellcode, lo que incluye la independencia de posiciones, la resolución de símbolos y los decodificadores
• Comprender el funcionamiento interno y las limitaciones de los desmontadores, como IDA Pro, y cómo eludir los mecanismos antidesmontaje que los autores de malware utilizan para frustrar los análisis
• Comprender cómo combatir la antidepuración, lo que incluye la omisión de las comprobaciones de tiempo, la detección del depurador de Windows y las vulnerabilidades del depurador
• Insensata en el malware para que no pueda detectar lo que se está ejecutando en tu entorno seguro
• Descubrir cómo influyen en el análisis de malware conceptos de C++, como la herencia, el polimorfismo y los objetos
• Reconocer estructuras de C++ comunes a partir de la desensamblaje
• Usar funciones de desmontaje para mejorar el proceso de ingeniería inversa de los binarios de C++
• Desempaquetar manualmente estudiando diversos algoritmos del empaquetador y técnicas genéricas para derrotarlos rápidamente
• Obtener técnicas de ofuscación de cadenas que suelen utilizar el malware y, a continuación, realizar comunicaciones con malware y analizar capturas de paquetes de red

Analistas de malware de nivel intermedio a avanzado, profesionales de la seguridad de la información, investigadores forenses y otras personas que necesitan aprender a superar desafíos difíciles y complejos en el análisis de malware.

Formación impartida por un profesor

5 días (entrega en persona)

Los alumnos deben llevar un portátil que cumpla las siguientes especificaciones:

• VirtualBox 7+
• Al menos 30 GB de espacio libre en HDD
• Se recomienda tener una copia con licencia de IDA Pro que admita la arquitectura x86. La versión gratuita de IDA Pro será suficiente.