Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Update Learning Path 2 Modules “module-2” #185

Merged
merged 1 commit into from
Jan 31, 2025
Merged

Update Learning Path 2 Modules “module-2” #185

Show file tree
Hide file tree
Changes from all commits
Commits
Show all changes
1 commit
Select commit
File filter

Filter by extension

Filter by extension
Conversations
Failed to load comments.
Loading
Jump to
Jump to file
Failed to load files.
Loading
Diff view
Diff view
4 changes: 3 additions & 1 deletion content/learning-path/2/module-2.ar.md
View file
Open in desktop
Original file line number Diff line number Diff line change
@@ -1,8 +1,10 @@
---
style: module
title: متطلبات الأمان التشغيلي للكشف عن البرمجيات الضارة
description: سيسمح هذا الموضوع الفرعي للممارس بضمان أمن العملية والأفراد
المعنيين وتنفيذ سياسة أمنية داخل بيئة الحوسبة التي يستخدمها الممارس للكشف عن
البرمجيات الضارة.
weight: 2
description: سيسمح هذا الموضوع الفرعي للممارس بضمان أمن العملية والأفراد المعنيين وتنفيذ سياسة أمنية داخل بيئة الحوسبة التي يستخدمها الممارس للكشف عن البرمجيات الضارة.
---

## حالة استخدام
Expand Down
6 changes: 4 additions & 2 deletions content/learning-path/2/module-2.en.md
View file
Open in desktop
Original file line number Diff line number Diff line change
@@ -1,8 +1,10 @@
---
style: module
title: OPSEC prerequisites for detecting malware
description: When you set up your malware detection environment, it's a good
idea to create some rules and processes to reduce the risk of any security
breaches
weight: 2
description: When you set up your malware detection environment, it's a good idea to create some rules and processes to reduce the risk of any security breaches
---

## Use Case
Expand Down Expand Up @@ -78,4 +80,4 @@ Talk to your peer / mentor about what data stays on your VM and what doesn’t.

{{% resource title="Virtual machine chapter of the Field Guide to incident response for civil society and media (chapter 6)" languages="English" cost="Free" description="An introductory overview of how malware analysts can start working with virtual machines and an installation of the Linux distribution" url="https://internews.org/resource/field-guide-to-incident-response-for-civil-society-and-media/" %}}

{{% resource title="Technical simulation with canary tokens" languages="English" cost="Free" description="A guide on how to use canary tokens, an offensive security tool, to simulate malware trackers. Can be very useful in teaching defenders what data can be easily exfiltrated" url="https://internews.org/resource/guide-to-facilitating-a-technical-simulation-with-canary-tokens/" %}}
{{% resource title="Technical simulation with canary tokens" languages="English" cost="Free" description="A guide on how to use canary tokens, an offensive security tool, to simulate malware trackers. Can be very useful in teaching defenders what data can be easily exfiltrated" url="https://internews.org/resource/guide-to-facilitating-a-technical-simulation-with-canary-tokens/" %}}
47 changes: 25 additions & 22 deletions content/learning-path/2/module-2.es.md
View file
Open in desktop
Original file line number Diff line number Diff line change
Expand Up @@ -4,17 +4,17 @@ title: Prerrequisitos OPSEC para detectar malware
weight: 2
---

## Caso de Uso
## Estudio de caso

Antes de comenzar a analizar cualquier malware, debes configurar un entorno seguro para hacerlo. Definitivamente, el malware daña los sistemas en los que se ejecuta. No deseas ejecutarlo en tu sistema principal. Además, probablemente querrás evitar que el malware realmente establezca conexiones con los servidores de C&C (comando y control) del autor de amenazas. Ambos significan que debes configurar una máquina virtual para utilizarla al realizar análisis de malware.

## Objetivos

Después de completar este subtema, el profesional debe ser capaz de garantizar la confidencialidad e integridad de los datos, lo que incluye:
Al acabar este módulo, el profesional debe ser capaz de garantizar la confidencialidad e integridad de los datos, lo que incluye:

- Cifrado durante el almacenamiento y la transferencia.
- Hacer sumas de comprobación después de la adquisición de datos.
- No utilizar dispositivos sospechosos de estar comprometidos.
- No utilizar dispositivos sospechosos de haber sido vulnerados.
- Uso de entornos air-gapped (sin conexión física o inalámbrica).
- Garantizar la seguridad de los dispositivos y servidores utilizados en el proceso.
- Modelado de amenazas y evaluación de riesgos.
Expand All @@ -23,57 +23,60 @@ Después de completar este subtema, el profesional debe ser capaz de garantizar
---
## Sección Principal

La seguridad operativa para detectar malware se puede dividir en preocupaciones relacionadas con escenarios específicos:
La seguridad operativa para detectar malware genera preocupaciones que se pueden agrupar en los siguientes escenarios específicos:

- Interactuar directamente con un dispositivo de estado desconocido.
- Usar un dispositivo "bueno" separado para interactuar con un dispositivo de estado desconocido.
- Interactuar con archivos o enlaces de estado desconocido.

### Usando un dispositivo de estado desconocido
### Usar un dispositivo de estado desconocido

En muchos casos, te entregarán un dispositivo y te pedirán que lo inspecciones en busca de malware (o es posible que necesites hacerlo en tu propio dispositivo).
En muchos casos, le entregarán un dispositivo y le pedirán que lo inspeccione para detectar malware (o es posible que necesite hacerlo en su propio dispositivo).

Ten en cuenta que en caso de que el dispositivo esté comprometido, tus actividades pueden ser monitoreadas, lo que puede afectar el riesgo y la seguridad de tu cliente. Se pueden capturar todas las pulsaciones de teclas, incluido el acceso a cuentas en línea o comunicaciones. Los dispositivos de almacenamiento externos, como discos duros o memorias USB, pueden convertirse en objetivos para la transferencia de código malicioso, y cualquier conexión a la red puede ser utilizada para propagar o exfiltrar código malicioso.
Tenga en cuenta que en caso de que el dispositivo haya sido vulnerado, sus actividades pueden ser monitoreadas, lo que podría arriesgar la seguridad de su cliente. Entre las cosas que se pueden detectar se incluye el pulsar las teclas en el dispositivo, el acceso a cuentas en línea y otras comunicaciones. Los dispositivos de almacenamiento externos como discos duros o memorias USB, pueden convertirse en objetivos para la transferencia de código malicioso, y cualquier conexión a la red puede ser utilizada para propagar o filtrar código malicioso.

También ten en cuenta que la introducción de herramientas de análisis puede activar un 'kill switch' (interruptor de apagado) en algunos malware que ha sido diseñado para evadir la detección y el análisis. En tales casos, puede ser necesario capturar una imagen de disco y otros registros forenses para un análisis más profundo. No se cubre en esta ruta de aprendizaje, pero se cubre en el [Análisis de Malware](/es/learning-path/3/).
También tenga en cuenta que la introducción de herramientas de análisis puede activar un kill switch (interruptor de apagado) en algunos malware. Este interruptor ha sido diseñado para evadir la detección y el análisis. En tales casos, puede ser necesario capturar una imagen de disco y otros registros forenses para realizar un análisis más profundo posteriormente. Este aspecto no se cubre en esta ruta de aprendizaje, pero si en la ruta sobre [Análisis de Malware](/es/learning-path/3/).

### Usar un dispositivo "bueno" separado durante el proceso de detección de malware

Si sospechas que un dispositivo está infectado con malware, debes hacer lo menos posible con él hasta conocer más sobre su estado. Por esta razón, siempre debes usar un dispositivo en el que no sospeches ninguna infección por malware para manejar cualquier información sensible.
Si sospecha que un dispositivo está infectado con malware, deberá manipularlo lo menos posible hasta conocer más detalles sobre su estado. Por esta misma razón, siempre debe usar un dispositivo del que no sospeche ninguna infección por malware, especialmente cuando maneje información confidencial.

Por ejemplo, si una persona a la que está asistiendo sospecha que su computadora portátil o de escritorio podría haber sido vulnerada, pídale que utilice solo su teléfono móvil para comunicarse con usted. Por lo general, es buena idea apagar la computadora portátil o de escritorio potencialmente vulnerada o, al menos, desconectarla de Internet. Si su cliente tiene sus cuentas de Signal, WhatsApp y otras vinculadas a la computadora potencialmente vulnerada, podría ser recomendable desvincularlas del todo (hacerlo desde un dispositivo que no esté infectado) mientras el proceso de detección está en curso.

Si, por ejemplo, una persona a la que estás dando soporte sospecha que su computadora portátil o de escritorio podría haber sido comprometida, pídeles que utilicen solo su teléfono móvil para comunicarse contigo. Por lo general, es una buena idea apagar la computadora portátil o de escritorio potencialmente comprometida o, al menos, desconectarla de Internet. Si tu beneficiario ha vinculado sus cuentas de Signal, WhatsApp y otras a la computadora potencialmente comprometida, podría ser una buena idea desvincularlas (hacerlo desde un dispositivo que no sospeches que esté comprometido) mientras el proceso de detección está en curso.

### Interactuar con archivos o enlaces de estado desconocido

Al realizar el proceso de detección de malware, es posible que te encuentres con enlaces o archivos (ya sean archivos normales o ejecutables) sobre los que no estés seguro y que sospeches que podrían estar entregando payloads (cargas útiles) de malware. Si estás copiando esos enlaces o archivos desde un dispositivo potencialmente comprometido a un dispositivo de análisis, siempre existe el riesgo de que también infecten tu dispositivo de análisis. Para reducir las posibilidades de que esto ocurra, te recomendamos lo siguiente:
Al realizar el proceso de detección de malware, es posible que se encuentre con enlaces o archivos (normales o ejecutables) sobre los que no esté seguro y que sospeche que podrían estar filtrando cargas útiles de malware (payloads). Si copia esos enlaces o archivos desde un dispositivo potencialmente vulnerado a un dispositivo de análisis, siempre existe el riesgo de que este también se infecte. Para reducir las posibilidades de que esto ocurra, le recomendamos lo siguiente:

- Utilizar una máquina virtual en tu dispositivo de análisis y solo abrir los archivos allí. De esta manera, incluso si abres un enlace o archivo malicioso e infecta tu sistema, el daño estará contenido en tu máquina virtual.
- Usar servicios basados ​​en web y sandbox (los cubriremos más adelante en esta ruta de aprendizaje).
- Neutralizar todas las URL (consulta la sección relevante en el Subtema 3 en la ruta de aprendizaje sobre infraestructura maliciosa).
- Utilizar una máquina virtual en su dispositivo de análisis y solo abrir los archivos allí. De esta manera, incluso si abre un enlace o archivo malicioso que infecta su sistema, el daño estará contenido en su máquina virtual.
- Usar servicios basados ​​en web y entornos aislados o sandboxes. (Más adelante en esta ruta de aprendizaje se habla de estos servicios).
- Neutralizar todas las URL (consulta la sección relevante en el Módulo 3 en la ruta de aprendizaje sobre infraestructura maliciosa).
- Almacenar todos los archivos potencialmente sospechosos en carpetas comprimidas y protegidas con contraseña. Esto evita que se abran por accidente o sean escaneados por herramientas del sistema operativo cuando, por ejemplo, indexan carpetas. La contraseña no necesita ser compleja; literalmente puede ser "ABC". Todo lo que necesitas hacer es evitar la apertura automática o accidental del archivo.

Para obtener más información sobre el tema, revisa la guía de Defensive Lab Agency sobre cómo [manejar un dispositivo potencialmente comprometido](https://pts-project.org/guides/g6/), en particular:
Para obtener más información sobre este tema, revisa la guía de Defensive Lab Agency sobre cómo [manejar un dispositivo potencialmente vulnerado](https://pts-project.org/guides/g6/), en particular:

- Aislar dispositivos Android y iOS.
- Procedimientos para enviar y recibir físicamente dispositivos comprometidos para su análisis en caso de que estés trabajando con (o tú mismo sirvas como) un equipo de análisis técnico remoto.
- Procedimientos para enviar y recibir físicamente dispositivos afectados para su análisis en caso de que esté trabajando con un equipo de análisis técnico remoto o usted mismo sirva como tal.
- Consejos introductorios sobre la cadena de custodia durante el análisis de dispositivos.

Este último término cadena de custodia se refiere a las mejores prácticas en análisis forense digital y respuesta a incidentes para registrar el manejo de un dispositivo con el fin de preservar la evidencia y permitir que la evidencia recopilada se utilice en cualquier posible procedimiento legal. El artículo vinculado proporciona una buena introducción a las mejores prácticas de uso general que puedes seguir en caso de que te encuentres en una posición de manejar evidencia que podría ser utilizada en un escenario con una mayor responsabilidad de prueba sobre la evidencia.
El término cadena de custodia se refiere a las mejores prácticas en análisis forense digital y respuesta a incidentes. La práctica alude al registro del manejo de un dispositivo con el fin de preservar la evidencia, la cual podría ser usada en cualquier procedimiento legal eventual. El artículo vinculado proporciona una buena introducción a dichas prácticas.

## Práctica

Configura una máquina virtual que ejecute REmnux, siguiendo [los pasos descritos en la Guía de Campo para respuesta a incidentes para la sociedad civil y medios (capítulo 6, comienza en la página 30).](https://internews.org/resource/field-guide-to-incident-response-for-civil-society-and-media/)

## Verificación de habilidades

Después de haber configurado tu REmnux VM, instala y luego conéctate a una VPN confiable. Asegúrate de que tu sistema principal no esté conectado a una VPN o conectado a un servidor diferente al de tu instancia de REmnux. Pídele a tu colega o mentor que te envíe un canary token de web bug, el cual será abierto únicamente en REmnux, a través de un navegador web de tu elección. (Si aún no estás familiarizado con los canary tokens, [consulta esta guía](https://internews.org/resource/guide-to-facilitating-a-technical-simulation-with-canary-tokens/) que creamos sobre cómo podrías usarlos en entrenamientos de seguridad.)
Después de haber configurado su REmnux VM, instale y luego conéctese a una VPN confiable. Asegúrese de que su sistema principal no esté conectado a una VPN o a un servidor diferente al de su instancia de REmnux. Pídale a su colega o mentor/a que le envíe un canary token de web bug, el cual será abierto únicamente en REmnux, a través de un navegador web de su elección. (Si aún no está familiarizado con los canary tokens, [consulte esta guía](https://internews.org/resource/guide-to-facilitating-a-technical-simulation-with-canary-tokens/) que creamos sobre cómo podría usarlos en entrenamientos de seguridad.)

¿Qué dirección IP activó? ¿Qué agente de usuario?

Habla con tu colega/mentor sobre qué datos permanecen en tu VM y cuáles no. Si ejecutas una pieza de malware en tu VM que contacta a un servidor, ¿pasará esto a través de tu VPN o conexión de red doméstica/oficina?
Hable con su colega o mentor/a sobre qué datos permanecen en su VM y cuáles no. Si ejecuta una pieza de malware en su VM que contacta a un servidor, ¿pasará esto a través de su VPN o conexión de red doméstica u oficina?

## Recursos de Aprendizaje

## Recursos Educativos
{{% resource title="Guía intermedia - Cómo manejar un dispositivo potencialmente vulnerado" description="Una guía paso a paso sobre cómo manejar dispositivos con iOS o Android que sospeche puedan tener malware antes de comenzar el trabajo de detección" languages="Inglés" cost="Gratis" url="https://pts-project.org/guides/g6/" %}}

{{% resource title="Guía intermedia - Cómo manejar un dispositivo potencialmente comprometido" description="Una guía paso a paso sobre cómo manejar dispositivos con iOS o Android que sospechas que pueden tener malware antes de comenzar el trabajo de detección" languages="Inglés" cost="Gratis" url="https://pts-project.org/guides/g6/" %}}
{{% resource title="Capítulo de máquina virtual de la Guía de Campo para respuesta a incidentes para la sociedad civil y medios (capítulo 6)" description="Una visión general introductoria de cómo los analistas de malware pueden comenzar a trabajar con máquinas virtuales y una instalación de la distribución de Linux" languages="Inglés" cost="Gratis" url="https://internews.org/resource/field-guide-to-incident-response-for-civil-society-and-media/" %}}
{{% resource title="Simulación técnica con canary tokens." description="Una guía sobre cómo utilizar tokens canary, una herramienta de seguridad ofensiva, para simular rastreadores de malware. Puede resultar muy útil para enseñar a los defensores qué datos se pueden exfiltrar fácilmente" languages="Inglés" cost="Gratis" url="https://internews.org/resource/guide-to-facilitating-a-technical-simulation-with-canary-tokens/" %}}

{{% resource title="Simulación técnica con canary tokens." description="Una guía sobre cómo utilizar canary tokens, una herramienta de seguridad ofensiva, para simular rastreadores de malware. Puede resultar muy útil para enseñar a los defensores digitales qué datos se pueden filtrar fácilmente" languages="Inglés" cost="Gratis" url="https://internews.org/resource/guide-to-facilitating-a-technical-simulation-with-canary-tokens/" %}}
2 changes: 1 addition & 1 deletion content/learning-path/2/module-2.fr.md
View file
Open in desktop
Original file line number Diff line number Diff line change
Expand Up @@ -75,4 +75,4 @@ Parlez à votre pair ou mentor des données qui restent dans votre machine virtu

{{% resource title="Guide intermédiaire : Comment gérer un appareil potentiellement compromis" description="Un guide étape par étape sur la façon de gérer les appareils avec iOS ou Android qui, selon vous, pourraient contenir des logiciels malveillants avant de commencer le travail de détection" languages="Anglais" cost="Gratuit" url="https://pts-project.org/guides/g6/" %}}
{{% resource title="Chapitre sur les machines virtuelles du Guide d'intervention sur le terrain pour la société civile et les médias (chapitre 6)" description="Une introduction générale à la façon dont les analystes de logiciels malveillants peuvent travailler avec des machines virtuelles et une installation de la distribution Linux" languages="Anglais" cost="Plusieurs langues" url="https://internews.org/resource/field-guide-to-incident-response-for-civil-society-and-media/" %}}
{{% resource title="Simulation technique avec des jetons canaris" description="Un guide sur l'utilisation des jetons canaris, un outil de sécurité offensif, pour simuler les traqueurs de logiciels malveillants. Peut être très utile pour enseigner aux défenseurs quelles données peuvent être facilement exfiltrées" languages="Anglais" cost="Gratuit" url="https://docs.google.com/document/d/14YViryXq2id2PaLeT91KxS-u67-26BDuLPTP_O5BHTM/edit?usp=sharing" %}}
{{% resource title="Simulation technique avec des jetons canaris" description="Un guide sur l'utilisation des jetons canaris, un outil de sécurité offensif, pour simuler les traqueurs de logiciels malveillants. Peut être très utile pour enseigner aux défenseurs quelles données peuvent être facilement exfiltrées" languages="Anglais" cost="Gratuit" url="https://docs.google.com/document/d/14YViryXq2id2PaLeT91KxS-u67-26BDuLPTP_O5BHTM/edit?usp=sharing" %}}
Loading