¡Hola! Este repositorio contiene los materiales para nuestro taller en la BlueSpace de la EKO 2024.
Durante el taller analizaremos varios tipos de malware, desde documentos maliciosos hasta programas compilados, descubriendo su funcionamiento interno y aprendiendo a identificar amenazas potenciales de manera efectiva. El taller está orientado a principiantes, así que no te preocupes si no tienes mucha experiencia.
Para aprovechar al máximo el taller, necesitarás una laptop con un procesador x86-64 capaz de ejecutar 2 máquinas virtuales simultáneamente. La laptop debe tener al menos 80 GB de espacio libre en disco.
- Máquina virtual con Windows 10:
- Capacidad de disco de al menos 60 GB
- Cuenta local
- Nombre de usuario sin espacios
- Protección contra manipulaciones y Windows Defender desactivados
- Actualizaciones de Windows desactivadas
- La máquina debe tener las siguientes herramientas instaladas:
- Visual Studio Code
- Sysinternals Suite
- PEStudio
- Olevba
- Capa
- Detect It Easy
- YARA
- DNSpy
- Máquina virtual con Linux:
- Python3 instalado con los módulos Colorama y Requests
Ambas máquinas deben estar en una red Host-Only. La máquina Windows debe usar la IP de la máquina Linux como puerta de enlace (Gateway) y servidor DNS.
En este reto analizaremos un documento de Word malicioso, que actúa como dropper para el malware .NET que analizaremos en el reto 2. Usaremos OleVBA y el Editor de Visual Basic de Microsoft Office para el análisis.
En este reto, analizaremos el programa .NET que la macro del reto 1 ejecutó. El programa es un Remote Access Trojan (RAT) y emplea múltiples técnicas para evitar ser detectado. Finalizaremos nuestro análisis interactuando con el RAT a través de análisis dinámico. Usaremos PEStudio, Capa, AutoRuns y DNSpy para el análisis.