Objetivos
Una vez concluido el training los participantes habrán adquirido los conocimientos necesarios para evaluar, analizar y concluir resultados en campos tales como vulnerabilidades o malware. Más concretamente: - Evaluar el riesgo que representa una vulnerabilidad. - Evaluar el riesgo que representa un exploit. - Analizar técnicamente un exploit que pueda estar usándose en un ataque dirigido. - Analizar técnicamente las capacidades de una shellcode. - Analizar vulnerabilidades parcheadas mediante análisis diferencial de binarios través de una prueba de concepto pública. - Analizar y depurar código ejecutable tanto en User-mode como en Kernel-mode. - Automatizar en la medida de lo posible estas tareas. - Crear scripts o herramientas propias para estos propósitos. - Documentar y elaborar un informe con los resultados obtenidos.
Requisitos
Para la correcta transmisión de conocimientos y para conseguir un mejor aprovechamiento del curso por todos los asistentes, es necesario cumplir una serie de requisitos mínimos para poder participar en este training. - Conocimientos básicos de C/C++, Python, Ensamblador y fundamentos de sistemas operativos (Windows Internals especialmente).
- Estar familiarizados con conceptos de malware, vulnerabilidades e ingeniería inversa.
Temario
- Introducción de las herramientas más comunes y conceptos generales.- Puesta en marcha de un laboratorio de Ingeniería Inversa.- Análisis de vulnerabilidades.Identificar tipos de fallos: remotos, locales, kernel, user-mode....
Evaluar la posible explotación y el riesgo que representan.
Identificar vias de infección en un ataque dirigido.
Identificación de vulnerabilidades mediante análisis diferencial de binarios.
- Depuración y explotación.Vectores de ataque
Shellcodes.
Exploits en PDFs, Documentos de Office...
Depuración en User-Mode vs Kernel-Mode.
Exploits en User-Mode.
Exploits en Kernel-Mode
Medidas de contención y protecciones.
Elaborar una prueba de concepto o exploit
- Automatización.Creación de herramientas propias, scripts, extensiones, plugins..
Reconocimiento de patrones. - Representación de la información Informes ejecutivos
Informes técnicos. Rubén Santamarta es un investigador independiente de seguridad de 27 años con cerca de una década de experiencia en el mundo de la ingeniería inversa. Ha descubierto docenas de vulnerabilidades en productos de empresas líderes como Microsoft, Apple, Symantec, Intel o Novell.
Así mismo ha publicado artículos técnicos en revistas como Hakin9 o MSCoder además de papers técnicos donde se desarrollan nuevas técnicas de explotación o análisis de malware. Su trabajo ha hecho que se le reconozca internacionalmente, colaborando con importantes empresas de distintos países. Durante su carrera profesional trabajó en empresas como Panda Security, desarrollando una actividad de analista de malware, para posteriormente pasar a ser un consultor técnico independiente.
Actualmente desarrolla software de seguridad para diversos clientes, así como productos Antiphishing o de monitorización. A la vez, mantiene una línea de investigación en el campo de las vulnerabilidades que le lleva a publicar advisories de una manera regular.Referencias |
|
