1 00:00:03,120 --> 00:00:07,110 Bienvenidos a nuestra última lección de introducción a Mal War Analysis. 2 00:00:09,420 --> 00:00:11,190 Cómo llega el Marwat a tu sistema? 3 00:00:12,280 --> 00:00:13,030 Paso 1. 4 00:00:13,300 --> 00:00:16,510 Habíamos hablado ya de Intel, de ingeniería social. 5 00:00:16,870 --> 00:00:24,010 Podemos añadir que los atacantes usan pitching o páginas web falsas y maire falsos antivirus, libros 6 00:00:24,100 --> 00:00:25,810 y software gratis y pirateado. 7 00:00:26,140 --> 00:00:33,730 Todo ello para convencerte de descargarlo y ellos poder instalar su malware website website infectados. 8 00:00:33,820 --> 00:00:40,810 Estos son especialmente temibles porque tú navegas por internet y no sabes cual sitio puede estar infectado. 9 00:00:41,170 --> 00:00:44,680 Puedes hacer con Malvern, Tiffin o un Crossley de scripting. 10 00:00:46,010 --> 00:00:53,090 Malvern Taishi significa publicidad maliciosa y usa sitios legítimos de publicidad para esparcir malware. 11 00:00:54,950 --> 00:01:00,470 Crossley Description Como habíamos mencionado, puede infectar un sitio en línea si lo visitas, tu 12 00:01:00,470 --> 00:01:02,510 también puedes quedar infectado. 13 00:01:03,750 --> 00:01:07,170 Como regla general, sea cuidadoso con las direcciones que visitas. 14 00:01:07,260 --> 00:01:09,840 Es mejor si el sitio es https. 15 00:01:10,320 --> 00:01:16,200 Si estás enviando información sensitiva, mantenga actualizado siempre tu navegador, tu antivirus. 16 00:01:17,980 --> 00:01:23,620 Y por último, por supuesto, el método de infección de toda la vida es compartir archivos de infectados. 17 00:01:25,900 --> 00:01:26,650 Paso 2. 18 00:01:26,860 --> 00:01:32,860 Draper entrega la carga útil o Peyrol para directamente instalar el malware, por ejemplo, si abres 19 00:01:32,950 --> 00:01:40,570 un documento de Word y ejecutas una macro, esta podría contener un peludo que instalar el malware directamente 20 00:01:40,570 --> 00:01:41,380 en tu sistema. 21 00:01:43,990 --> 00:01:50,200 Downloader Este malware instala una conexión a un centro de comando y control y trata de descargar más 22 00:01:50,200 --> 00:01:51,970 malware o pedir instrucciones. 23 00:01:53,590 --> 00:01:56,500 Persistencia para alcanzar persistencia. 24 00:01:56,560 --> 00:02:04,660 Un malware puede instalar servicios, modificar, reedite o usar start folder o instalar en la BIOS. 25 00:02:04,750 --> 00:02:06,970 Entre las técnicas más conocidas. 26 00:02:08,010 --> 00:02:08,790 Paso 3. 27 00:02:09,150 --> 00:02:10,440 Pelo ado, carga útil. 28 00:02:10,530 --> 00:02:15,960 Es el código del hardware, la bomba que realmente explotará y realizará la actividad maliciosa. 29 00:02:17,280 --> 00:02:22,350 Si es un Key Logger, por ejemplo, robar pulsaciones de teclas, si es un RAM software, encriptar 30 00:02:22,350 --> 00:02:26,880 archivos, veremos esto más adelante en teoría y en práctica. 31 00:02:30,030 --> 00:02:34,620 Pred significa que el manual trata de infectar los equipos alrededor de él. 32 00:02:35,310 --> 00:02:41,760 Si estás conectado, por supuesto, se usa una técnica conocida como movimiento lateral VACI. 33 00:02:42,150 --> 00:02:44,580 Primero se escanea el Active Directory. 34 00:02:44,700 --> 00:02:51,630 Este directorio mantiene información de los recursos como redes, usuarios de la red, servidores, 35 00:02:51,690 --> 00:02:52,950 impresoras y más. 36 00:02:53,400 --> 00:03:01,260 Es el primer paso para identificar otras redes y recursos, buscar vulnerabilidades y tratar de infectar 37 00:03:01,290 --> 00:03:03,280 tantos nodos como sea posible. 38 00:03:06,780 --> 00:03:09,090 Por último, persistencia de la que ya hablamos. 39 00:03:11,810 --> 00:03:13,130 Métodos de prevención. 40 00:03:13,250 --> 00:03:16,040 Esto no es un curso acerca de ciberseguridad. 41 00:03:16,700 --> 00:03:22,370 Luego sólo mencionaré algunos consejos básicos de seguridad que son relevantes para este curso. 42 00:03:23,930 --> 00:03:28,070 Uno básico mantén actualizado tu antivirus y sistema operativo. 43 00:03:28,550 --> 00:03:33,830 Voy a señalar la importancia de tener un buen antivirus debido a que mucha gente prefiere aquellos que 44 00:03:33,830 --> 00:03:34,730 son gratuitos. 45 00:03:36,730 --> 00:03:41,650 El costo de un buen antivirus será alrededor de unos 60 dólares por año. 46 00:03:42,100 --> 00:03:48,490 Generalmente ellos te dan varias licencias, podrías compartir el costo con amigos o familiares. 47 00:03:50,390 --> 00:03:54,890 No parece costoso, tomando en cuenta las consecuencias de no tener un buen antivirus. 48 00:03:56,730 --> 00:04:02,910 Otro consejo revela las extensiones ocultas de Windows esto es porque los atacantes a veces tratan de 49 00:04:02,910 --> 00:04:07,440 enmascarar ejecutables en PDF, documentos de Word y más. 50 00:04:08,010 --> 00:04:11,370 Para hacer esto, vea explorador vista y detalles. 51 00:04:13,880 --> 00:04:15,560 Administración de privilegios. 52 00:04:15,620 --> 00:04:22,100 Esto significa que no deberíamos otorgar privilegios de administrador indiscriminadamente, en lugar 53 00:04:22,100 --> 00:04:26,630 de eso, otorga privilegios únicamente según las necesidades de cada usuario. 54 00:04:26,990 --> 00:04:30,200 Esto previene, previene los movimientos laterales. 55 00:04:32,040 --> 00:04:33,330 Respalda tus datos. 56 00:04:33,570 --> 00:04:37,910 Podrías utilizar software especializado como un átalos prevención system. 57 00:04:38,550 --> 00:04:41,580 Especialmente útil en caso de ataques de ransomware. 58 00:04:43,720 --> 00:04:49,210 Analiza los periféricos externos como memorias USB antes de abrirlos en el computador. 59 00:04:49,480 --> 00:04:53,440 Por lo general todos los antivirus son capaces de hacer esto, configurarlo. 60 00:04:55,200 --> 00:05:00,360 Es bien conocido que los humanos somos el eslabón más débil en la cadena de ciberseguridad. 61 00:05:00,810 --> 00:05:06,990 Mantenga actualizado tu conocimiento acerca de los riesgos en el ciberespacio y si estás a cargo de 62 00:05:06,990 --> 00:05:12,780 un equipo, mantén un sistema de entrenamiento para reforzar los comportamientos seguros. 63 00:05:13,890 --> 00:05:21,210 Algunos consejos chequeas dos veces los e-mails o sus enlaces y los archivos adjuntos, ignora ofertas 64 00:05:21,210 --> 00:05:28,140 sospechosas de Internet, siempre estar atentos a posibles falsificaciones de páginas web o pitching 65 00:05:28,260 --> 00:05:29,070 en lo posible. 66 00:05:29,100 --> 00:05:31,230 Trata de visitar sitios conocidos. 67 00:05:32,980 --> 00:05:34,330 Prueba tus defensas. 68 00:05:34,540 --> 00:05:41,650 Compañías que toman en serio su ciberseguridad contratan equipos de red, timming para realizar ejercicios 69 00:05:41,680 --> 00:05:43,000 y probar sus defensas. 70 00:05:44,560 --> 00:05:51,040 Retí es básicamente un grupo de Pentecostés tratando de explotar las vulnerabilidades de un sistema. 71 00:05:51,820 --> 00:05:54,730 También puedes probar tus dependencias en caso de ransomware. 72 00:05:55,450 --> 00:05:57,340 Puedes hacerlo en este sitio web. 73 00:06:00,070 --> 00:06:03,910 Esta dirección la puedes encontrar en tu documento de ayuda de Rumson Where. 74 00:06:07,190 --> 00:06:14,240 Tipos de análisis análisis estático y dinámico El análisis estático significa inspeccionar el malware 75 00:06:14,240 --> 00:06:17,000 o el archivo binario sin ejecutarlo. 76 00:06:17,390 --> 00:06:20,270 Es el más básico y primer paso en el análisis de malware. 77 00:06:20,600 --> 00:06:26,660 Su propósito principal es extraer información útil del malware para empezar a conjeturar sobre el tipo 78 00:06:26,660 --> 00:06:28,100 de amenaza a que se enfrenta. 79 00:06:28,730 --> 00:06:32,630 También esta etapa debe indicar el camino a seguir en futuros y más avanzados. 80 00:06:32,630 --> 00:06:39,530 Análisis Se debe establecer el tipo de archivo cadenas de texto APIs presentes en el archivo, etcétera. 81 00:06:40,100 --> 00:06:44,000 Con esta información se puede comenzar a entender de quemar war se trata. 82 00:06:44,060 --> 00:06:44,660 Qué hace? 83 00:06:44,960 --> 00:06:50,840 Cuál puede ser su comportamiento, funcionalidades y qué herramientas usar para futuros análisis. 84 00:06:53,620 --> 00:06:54,910 Análisis dinámico. 85 00:06:56,870 --> 00:07:03,800 Dinámico significa que el código malicioso o malware está vivo o efectivamente ejecutándose y desplegando 86 00:07:03,800 --> 00:07:05,330 todas sus funcionalidades. 87 00:07:05,930 --> 00:07:12,500 En estas condiciones se busca actividades sospechosas en el sistema de archivos, registros del sistema 88 00:07:12,500 --> 00:07:15,740 o Reddit red, servicios y procesos. 89 00:07:16,470 --> 00:07:19,550 Analizar malware en tiempo de ejecución o runtime. 90 00:07:19,940 --> 00:07:25,530 Puede resultar peligroso, por lo que se debe configurar un laboratorio para ejecutarlo de forma segura. 91 00:07:26,910 --> 00:07:27,540 Gracias. 92 00:07:27,690 --> 00:07:30,240 Espero que me acompañes en la siguiente lección.