En el presente artículo se identifican y exploran los elementos, enfoques, estrategias, claves, tácticas, técnicas, procedimientos, etc. utilizados por el malware ofensivo para diseñar, sintetizar e implementar malware defensivo desarrollado para neutralizar, anular, mitigar, eliminar, inactivar, bloquear, inhibir, fagocitar, etc. al malware ofensivo (objetivo-presa a cazar y destruir y cada día en expansión, tanto conocido como mayormente no detectado).

INTRODUCCIÓN.

El malware inteligente (es en esencia invisible y totalmente monolítico, aunque su comportamiento es de múltiples módulos, fragmentos, segmentos, semillas, etc. y en su operatoria tiene la capacidad de aumentar o disminuir dinámicamente el número de fragmentos, módulos, etc.). El malware inteligente actual no se detiene nunca, después de un objetivo va a por otros o incluso se coloca como entidad durmiente en múltiples ubicaciones. Así mismo, es una potente ciber-arma que ciber-ataca a todo (es de naturaleza software, firmware y hardware; por ejemplo, un disco duro tiene firmware, software y hardware) que puede ser tanto ofensiva (es decir, diseñada para realizar actividades perversas (se denomina malware ofensivo)) como defensiva (es decir, diseñada para ejecutar acciones de protección, neutralización, mitigación, inactivación, esterilización, etc. del malware ofensivo (se denomina malware defensivo)). Actualmente se van perfeccionando cada vez más las claves para el diseño, síntesis e implementación de malware inteligente defensivo o de protección (antagónico y divergente al malware ofensivo) utilizando un conjunto de elementos y enfoques disruptivos en base a un largo caudal acumulado y en curso de conocimientos, inteligencia e inferencias sobre el malware ofensivo (o malicioso) a derrotar. Estos elementos dotan almalware defensivo de un empoderamiento y capacidades contra el malware ofensivo no imaginables. La idea básica es transformar, transportar y amplificar en positivo todas las funcionalidades del malware ofensivo incluyendo predicciones basadas en inteligencia de datos (con Big-Data y Data-Analytics), AI (Artificial Intelligence; con mecanismos como machine-learning, redes neuronales profundas y convolucionales, sistemas expertos, algoritmos-chips neuromórficos, deep-learning, motores de inferencia replicados, NLP, etc.), VI (Vulnerabilities Intelligence), CTI (Cyber-Threat Intelligence), CTH (Cyber-Threats Hunting), ingeniería inversa, etc. La carga útil del malware inteligente incluye un elevado número de funcionalidades y capacidades (inteligentemente dispersas y ocultas en forma de semillas, fragmentos, módulos, etc.), además se comunica (a corta, media y larga distancia) utilizando canales subliminares con esteganografía, para dinámicamente añadir muchas más (ganancia dinámica de funciones a medida). El resultado es un malware defensivo (o de protección) que neutralice, inactive, elimine, aísle, esterilice, mitigue, degrade, fagocite, anule, inhabilite, cace, bloquee, etc. todo el malware ofensivo y repare retrospectivamente todas las operaciones maliciosas que haya podido realizar dicho malware ofensivo. La síntesis y fabricación de malware inteligente defensivo se basa en un conjunto de enfoques, tácticas, técnicas, procedimientos, acciones, operaciones automatizadas-guiadas por playbooks(que permite realizar las tareas ya estudiadas y repetitivas para una actuación robotizada. Actualmente no se necesitan planificar todas las jugadas de inactivación-neutralización (del malware ofensivo). El malware defensivo utiliza infinidad de paradigmas, arquitecturas, marcos de referencia, herramientas, actividades, como teoría de juegos, ZT (Zero Trust; antes de confiar verificar a fondo), ZK (Zero Knowledge; aquí el secreto no debe salir nunca de su propietario-emisor, el receptor sólo trabajará con una clave pública de dicho secreto), bases de conocimiento (dinámicas, en tiempo real, en expansión, de TTPs utilizadas por el malware ofensivo basadas en observación durante muchos años y continuada y que el malware defensivo utiliza para la neutralización del malware ofensivo). Opera con firmas digitales, hash, cifrados anidados, inferencias anticipadas, indicios, indicadores (como IoC, etc.), anomalías, señales sospechas, manifestaciones disonantes sin armonía, etc. Los escáner de vulnerabilidades, sólo ofrecen una vista en un único momento en el tiempo (las vulnerabilidades detectadas en un instante de tiempo no serán las de después ya que surgirán otras) y carecen de las capacidades para prever el futuro y diferenciar entre un ciber-riesgo potencial y una exposición real. 

IDENTIFICACIÓN Y NEUTRALIZACIÓN DE LAS TTPs UTILIZADAS POR EL MALWARE OFENSIVO.

    El malware inteligente utiliza un conjunto de TTPs (Tactics Techniques and Procedures) para realizar sus operaciones. Las tácticas están correlacionadas con las fases de un ciber-ataque malware y representan los “por qué” de un comportamiento y las “razones” por las cuales ejecutar las acciones. Un ejemplo de objetivo táctico del malware ofensivo es desear obtener acceso a las credenciales. Por su parte, las técnicas representan el “cómo” un malware realizará una táctica de ciber-ataque, por ejemplo, un malware puede realizar una técnica de “dump credentials” para lograr acceso a las credenciales. Dentro de las técnicas están las sub-técnicas que describen más específicamente el comportamiento del malware para lograr un objetivo, por ejemplo, un malware puede ejecutar “dump credentials” a las credenciales accediendo a los secretos de la LSA (Local Security Authority). Por su parte, los procedimientos son la implementación específica que un malware utiliza para las técnicas y sub-técnicas, por ejemplo, un procedimiento podría ser utilizar PowerShell para inyectar en lsass.exe y realizar conductas de “dump” a las credenciales. Cada táctica utiliza diferentes técnicas-subtécnicas y cada técnica-subtécnica emplea distintos procedimientos. El malware defensivo está diseñado para neutralizar (con todos sus procesos de inactivar, esterilizar, inhabilitar, mitigar, desbaratar, inhibir, paralizar, derribar, trastocar, anular, etc.) las TTPs utilizadas por los malware ofensivos. El malware defensivo actúa a todos los niveles, a alto nivel de abstracción contra las TTPs que caracterizan la naturaleza íntima y caótica del malware ofensivo. Por debajo se encuentran los niveles más bajos de abstracción (muy cambiantes) donde se opera con valores hash, direcciones MAC e IP, con nombres de dominio y URLs, IoCs (Indicators of Compromise), nombres de ficheros-carpetas, etc. Las principales tácticas de los malware ofensivos son: 

1. Reconocimiento-sondeo inicial. Esta táctica permite explorar los objetivos analizando sus huellas digitales e integra las técnicas que posibilitan estudiar, investigar, identificar y seleccionar objetivos utilizando reconocimiento activo y/o pasivo. El malware 
2.  Esta táctica trata de trasladar fuentes de compromiso y engloba todas las técnicas que preparan las actividades utilizadas para establecer la infraestructura requerida en el acceso y ciber-ataque del malware ofensivo.
3. Esta táctica trata de inyectar elementos infecciosos e integra las técnicas que posibilitan la transmisión de un objeto armamentístico (de infección) al entorno del objetivo.
4. Ingeniería social. Esta táctica engloba todas las técnicas utilizadas en la manipulación de las personas (entidades, robots sociales, de operación, etc.) para que realicen acciones no seguras (con vulnerabilidades).
5. Desarrollo de recursos. Esta táctica permite al malware ofensivo intentar establecer recursos que pueda utilizar para soportar sus operaciones.
6. Acceso inicial. Esta táctica posibilita al malware ofensivo intentar obtener y acceder a un dispositivo/sistema/red víctima. Las técnicas integradas en esta táctica representan los vectores que usa el malware para ganar o alcanzar una posición inicial dentro de una red objetivo donde pretende actuar negativamente. La misión del malware defensivo es neutralizar cada vector que se pretenda utilizar. Algunas técnicas utilizadas por esta táctica son:“Drive-by compromise” (En este caso, el malware obtiene acceso a un sistema objetivo cuando un usuario de ese sistema visita un sitio Web infectado, incluso vía código QR o URL reducida). “External remote services”. “Cuentas válidas”. “Compromiso en la cadena de suministro”. “Relación de confianza”. “Añadidos hardware”. “Replicación a través de medios removibles”. “Adjunto en Spearphishing”. “Spearphishing Link”/ “Phishing Link/”(Engaña al usuario para que haga clic en un link o botón de un e.mail, IM, etc.). “Spearphishing via servicio” (Engaña al usuario para que ejecute un fichero adjunto de un correo electrónico). “Exploit Public Facing Applicacion”. “Spearphishing Link Domain-shadowing” (Se añaden registros de hosts maliciosos a los registros DNS de una organización y luego redirecciona a los visitantes a esas direcciones IPs maliciosas). “Malvertising” (El malware se descarga en los sistemas del usuario cuando éste hace clic en un anuncio-publicidad infectado que puede estar en cualquier sitio incluso que parezca de confianza). “Técnicas sigilosas LotL (Living off the Land)” (Hacen uso de todo lo que ya reside en los dispositivos/sistemas/objetivos sin necesidad de descargar ni instalar otras aplicaciones de fuera, son ciber-ataques a ficheros no ejecutables como documentos Office con macros, scripts y comandos maliciosos. Se ejecutan en memoria usan herramientas de doble uso como PoweSHELL, PsExec, utilizan binarios Windows como WMI para ejecutar código malicioso (LOLBins), etc.). 
7. Explotación. Esta táctica permite disparar mecanismos infecciosos y engloba todas las técnicas que permiten explotar vulnerabilidades en sistemas, personas, dispositivos, servicios, redes, etc. que pueden entre otros dar lugar a la ejecución de código del malware. 
8. Ejecución. Esta táctica permite al malware ofensivo intentar ejecutar código malicioso e integra las técnicas que permiten la ejecución de un código controlado por el malware en un sistema local o remoto. Esta táctica se utiliza junto con la táctica “acceso inicial” como medio de ejecución de código una vez obtenido el acceso y un movimiento lateral para expandir el acceso a sistemas remotos en una red. Algunas técnicas de esta táctica son: “Rundll32” (Ejecuta DLL (Dynamic-Link Library) vía rundll32.exe. Así mismo, posibilita la evasión ante posibles defensas y permite lanzar módulos adicionales. Esta técnica proporciona un vector de ciber-ataque difícil de monitorizar ya que también lo utilizan las funciones Windows benignas). ”Ejecución a través del API” (El malware lanza procesos llamando a la función “CreateProcessA” del API (Application Programming Interface) de Windows). “PowerShell” (Utiliza la línea de comandos PowerShell para ejecución. Ejecutar PowerShell y llamar a CreateObject para crear un objeto Shell para descargar y luego ejecutar malware. Se ha observado crear un Shell-inverso utilizando varios scripts Shell cifrados llamados a través de PowerShell). “WMI (Windows Management Instrumentation)” (Se trata de acceder a WMI para extraer información sobre el sistema operativo o el software anti-malware instalado. Se utiliza la línea de comandos de WMI (WMIC) en la ejecución de malware. WMIC crea procesos). “Service Execution” (Otro vector de ejecución importante es registrarse o ejecutar como servicio. Ser capaz de ejecutar procesos remotos vía PsExec.exe. Cuando la técnica “Service Execution” ejecuta directamente el servicio, es diferente de la técnica “New Service” que se utiliza como táctica de persistencia. Algunos malware utilizan PowerShell y WMI para ejecutar malware fileless. En la técnica “Service Execution” el malware utiliza WSCM (Windows Service Control Manager) como forma de ejecutar su código. El malware puede ejecutar un binario, comando o script utilizando un método que interactúe con los Servicios Windows como WSCM. Esto se puede hacer creando un nuevo servicio o modificando uno ya existente. La misión del malware defensivo es interponerse para inactivar o neutralizar esa ejecución de códigos maliciosos. La táctica “ejecución” engloba las técnicas que permiten la ejecución del código controlado por el malware en un sistema local o remoto). “CLI (Command-Line Interface)” (Ciertos malware interactúan con el sistema host utilizando el interfaz de línea de comandos cmd.exe para la ejecución de módulos. Ciertos malware invocan a cmd.exe para establecer una backdoor (puerta trasera) creando un Shell reverso TCP. Se utilizan argumentos de línea de comando ofuscados con cmd.exe para evadir las medidas de detección basadas en firmas). “GUI (Graphical User Interface)”. “WRM (Windows Remote Management)”. “MSHTA”. “Fichero HTML compilado”. “CMSTP”. “DDE (Dynamic Data Exchange)”. “Espacio después de nombre de fichero”. “User Execution” (Una forma de mitigar “execution prevention” es utilizar “application whitelisting” que puede prevenir la ejecución de ejecutables que enmascaren a otros ficheros).
9. Persistencia. Esta táctica permite al malware ofensivo intentar mantener sus posiciones. Se materializa en cualquier acceso, acción o cambio de configuración a un sistema que proporciona al malware ofensivo presencia persistente en ese sistema. Los malware necesitan mantener acceso a los sistemas a pesar de interrupciones como los re-arranques del sistema, logon de sesiones, pérdida de credenciales u otros fallos que deberían necesitar una herramienta de acceso remoto para re-arrancar o una backdoor para re-obtener el acceso a los malware. Existe una gran lista de mecanismos que utilizan los malware para ganar persistencia (además de las puertas traseras), por ejemplo, el malware Emotet crea servicios Windows; el malware Trickbot se basa en tareas planificadas. Otros malware se aprovechan de vulnerabilidades o falta de validación en la carga de DLLs (Dynamic Link Libraries) o bien se aprovechan del COM (Component Object Model) manipulando claves. En el malware Agent Tesla la carga útil se oculta en un fichero PNG utilizando esteganografía y arranca el malware en base a que Windows ejecuta las claves de registro. Los malware con persistencia tienen capacidades para sobrevivir a un rearranque del sistema, capacidades para auto-ocultarse como componente legítimo del sistema ciber-atacado, etc. Esta táctica engloba las técnicas que posibilitan cualquier acceso, acción o cambio a un sistema que dan a un malware presencia persistente en el sistema, red, etc. Algunas técnicas utilizadas por esta táctica son: “Registry Run Keys” / “Start Folder” (Permite añadir una clave de auto-comienzo al Registro Windows o Start Folder). “BITS Jobs” (El BITS (Background Intelligent Transfer Service) de Windows es un mecanismo de transferencia de ficheros asíncrono, de bajo ancho de banda expuesto a través de COM (Component Object Model). BITS se utiliza normalmente para actualizadores, messengers y otras aplicaciones para operar en segundo plano o background (utilizando el ancho de banda desocupado. El malware puede aprovecharse de BITS para descargar, ejecutar y limpiar después de la ejecución código malicioso. El interfaz para crear y gestionar “BITS-Jobs” esta accesible a través de PowerShell y la herramienta BITSAdmin) sin interrumpir otras aplicaciones de red. Las tareas de transferencia de ficheros se implementan como BITS-Jobs que contiene una cola de uno o más operaciones de fichero). “Dropping portable executable (PE) files” (Permite añadir directamente al “Start Folder” es una variación de la técnica “Start Folder”). “New Service” (Se instala el malware como un servicio del sistema. Crea un nuevo servicio para ejecutarse al arrancar Windows. Utiliza la función CreateServiceA y añadir DLLs maliciosas). “Scheduled Task” (El malware puede aprovecharse de “Task Scheduler” de Windows para realizar planificación de tareas para iniciar o repetir la ejecución de código malicioso. Se puede acceder a “Task Scheduler” de Windows, el “schtasks” puede ejecutarse directamente en la línea de comandos. El malware puede usar un wrapper .NET para el Task Scheduler de Windows. Se puede usar la librería netapi32 de Windows para crear una tarea planificada. Utilizando “at.exe y schtasks.exe” es posible disparar la ejecución del código malicioso en cada re-arranque o cada minuto). “Image File Execution Options Inyection”(Permite lanzar un nuevo proceso adjuntando un debugger a un proceso corriente). “Modify Existing Services” (Permite modificar las claves del registro utilizando reg.exe en HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\ o utilizando sc.exe para modificar “status Windows services” como Windows Update). “Hooking” (El proceso de interceptación de una función se denomina hooking). “AppInitDLLs” (Permite que en los procesos que carga user32.dll también cargue la DLL maliciosa). “ASEPs (Auto-Start-Executio Points)” (ASEPs nativos a los sistemas operativos comunes para mantener el acceso a los sistemas comprometidos). “Port Knocking” (El malware puede utilizar esta técnica para ocultar puertos abiertos en las tácticas de persistencia y de C&C. Para habilitar un puerto el malware envía una serie de conexiones intentadas a una secuencia predefinida de puertos cerrados. Después de completar la secuencia la apertura de un puerto a menudo la realiza el firewall basado en host pero puede también implementarse por software a medida).
10. Escalado de privilegios. Esta táctica permite al malware ofensivo intentar ganar permisos y autorizaciones más elevadas. Posibilita las acciones que permiten a un malware obtener un nivel mayor de permisos/autorizaciones en un sistema o red (para aumentar el control sobre el dispositivo, sistema o red infectada). Ciertas acciones necesitan un mayor nivel de privilegio para operar y son probablemente necesarias en muchos puntos durante toda una operación. Los malware pueden entrar a un sistema con acceso sin privilegios y deben aprovecharse de las vulnerabilidades del sistema para obtener privilegios de nivel administrador local o de root/system. También puede utilizarse una cuenta de usuario con acceso de administrador. También pueden considerarse escalado de privilegios las cuentas de usuario con permisos para acceder a sistemas específicos o realizar funciones concretas que necesitan los malware para llevar a cabo sus objetivos. Esta táctica engloba las técnicas que proporcionan al malware ofensivo mayores permisos en un sistema, dispositivo o red. Algunas técnicas utilizadas por esta táctica son: “Access Token Manipulation” (Además de servir para escalado de privilegios sirve para manipular la propiedad de un proceso Windows activo. La implementación más usual de esta técnica es utilizando llamadas a las funciones OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges). “Accesibility Features”. “AppCert DLLs”. “AppInit DLLs”. “Explotation for Privilege Escalation” (Accediendo a la función ShellExecute). “Process Injection” (Varios subtipos de la técnica “Process Injection” para Windows son “DDL Injection”, “Thread Execution Hijacking”, “TLS (Thread Local Storage)”. La técnica de “Process Injection” es difícil de mitigar con controles preventivos ya que se basa en abusar de las características de diseño del sistema operativo. Mitigar llamadas de API Windows tendrían efectos colaterales no deseados como impedir que el software legítimo, como productos de ciberseguridad, operen correctamente), “APC (Asynchronous Procedure Call) Injection”, “PE Injection”). “Scheduled Task” (Eleva los privilegios a SYSTEM). Crear “New Service” (Lanza un servicio con privilegios de administrador para ejecutar bajo privilegios de SYSTEM escalados). 
11. Evasión de las defensas. Esta táctica permite al malware ofensivo intentar evitar ser detectado. Consta de las técnicas que un malware ofensivo puede utilizar para evadir la detección o evitar otras defensas (salvo la de los “malware inteligentes de defensa” que ya lo saben y por tanto las inactivan). A veces estas acciones son las mismas o variaciones de técnicas de otras categorías que tienen el beneficio añadido de saltarse una defensa o mitigación concreta. La evasión de las defensas puede considerarse un conjunto de atributos aplicados a todas las fases de la operación. Esta táctica integra las técnicas que un malware utiliza específicamente para evadir su detección o evitar otras defensas. Algunas técnicas utilizadas por esta táctica son: “Software Packing” (Hace más difícil de detectar o analizar los malware ofensivos. Algunos packets son UPX, RAR). “Ofuscar ficheros o información” (Código fuente .NET codificado en Bse64.Código .NET que llama a funciones de descifrado “CreateDecryptor”. Inlined-NOP-Slides que sugiere código Shell ofuscado). “DLL Side-Loading”. “Masquerading” (Permite manipular o abusar de los nombres y localizaciones de ficheros legítimos para evadir defensas contra el malware. Ejemplos son crear una presencia en los ficheros de programas, Windows y directorios de drivers; crear ficheros dentro del directorio System32; Crear ficheros ejecutables con nombre similares a los ficheros de Windows existentes; Emplear nombres comúnmente utilizados en aplicaciones de terceras partes). “Ficheros o información des-ofuscada/decodificada” (Esta técnica oculta malware para hacerlo más difícil de detectar. Por ejemplo, utilizando funciones de descifrado de string para recuperar secciones ofuscadas; El codificar sólo las secciones maliciosas de un fichero malware y decodificarlas antes de la ejecución suele evadir la detección heurística de malware). “Instalar certificado de root”. “MSHTA”. “Run DLL32”. “XSL Script Processing”. “DCS Shadow”. “Borrado de ficheros”. “DLL Search Order Hijacking”. “Modificar permisos de ficheros”. “BITS Jobs”. “Ocultar ficheros y directorios”. “Binary Padding”. “cmstp”. “Scripting”. “Saltarse control de cuenta de usuario”. “Manipulación del token de acceso”. “Inhabilitar herramientas de ciberseguridad”. Algunas tácticas empleadas por los malware ofensivos pueden utilizar la misma técnica, por ejemplo, las tácticas “escalado de privilegios” y “evasión de defensas” utilizan la técnica “Access Token Manipulation” para aumentar sus niveles de permisos y evitar ser detectados.
12. Acceso a las credenciales. Esta táctica permite al malware ofensivo intentar robar nombres y contraseñas de cuentas u otros secretos que le permitan acceder a recursos/activos. Representan las técnicas que permiten el acceso o control de un sistema, dominio o credenciales de servicio que se utilizan dentro de un entorno concreto. Los malware probablemente intentarán obtener las credenciales legítimas de las cuentas de los usuarios o administrador (administrador local del sistema o usuarios del dominio con acceso de administrador) para utilizar dentro de la red. Esto posibilita al malware asumir la identidad de la cuenta con todos los permisos de la cuenta en el sistema o red y hace más difícil a los sistemas de protección detectar al malware (no así al malware defensivo que conoce la jugada). Con suficiente acceso dentro de la red un malware puede crear cuentas para posteriormente utilizarlas dentro del entorno. Esta táctica integra todas las técnicas que permiten el acceso o control de un sistema, servicio o dominio de credenciales. Algunas técnicas utilizadas por esta táctica son: “Credential-dumping” (o “Volcado de credenciales”) (Esta técnica describe todos los medios para obtener la información de login y password del sistema operativo y software (en forma de un hash o contraseña en texto en claro) que puede utilizarse posteriormente para movimientos lateral en la red y acceso a información restringida. Técnicas como recolección de la historia y contraseñas del navegador Web; pedir la localización de ficheros y claves del registro de herramientas FTP de terceras partes comunes; Pedir la clave del “Login Data Registry” utilizada por Chrome y “IntelliForms2” utilizado por Internet Explorer para almacenar contraseñas. Interrogar al sistema de ficheros. Buscar en el Registro de Windows credenciales almacenadas. Algunos métodos utilizados por la técnica “credential dumping son: SAM (Security Accounts Manager), cached credentials, secretos del LSA (Local Security Authority), credenciales en texto en claro, SPNs (Service Principal Names), ficheros de GPP (Group Policy Preference), NTDS desde el controlador de dominio, DCSync, etc. Algunos procedimientos utilizados por la técnica “credential-dumping” son: gsecdump, mimikatz, pwdumpx.exe). “Fuerza bruta”. “Credenciales en ficheros”. “Credenciales en el Registro”. “Capturar la entrada”(Captura la entrada del usuario vía el teclado con la función “SetWindowsHookEx” que intercepta lo que se teclea; Uso de funcionalidades para recuperar la información tecleada utilizando funciones como GetAAsyncKeyState, GetKeyState y MaoVirtualKeyA; Crear un objeto DirectInput utilizando la función DirectDrawCreateEx para capturar las teclas pulsadas). “Password Filter DLL”. “Autenticación forzada”. “Hooking” (El proceso de interceptar una función se denomina hooking. Una función para realizar inyecciones Web sobre Windows es “HttpSendRequestA”, interceptando esta función el malware puede escanear peticiones HTTP sobre datos sensibles como números de tarjetas de crédito y las envía al beneficiario del malware. Las inyecciones Web son una técnica del malware que intercepta funciones del API de Windows llamada por el navegador Web). “Manipulación de la cuenta”. “Bash-History”. “Keylogging”. “Envenenamiento LLMNR/NBT-NS”. “Kerberoasting”. “Sniffing de red”. “Explotación de acceso a las credenciales”.  
13.  Esta táctica permite al malware ofensivo intentar entender a fondo su entorno. Esta táctica consta de las técnicas que permiten al malware obtener conocimiento sobre el sistema y red interna. Es esencial una segunda iteración de reconocimiento utilizando técnicas para recoger información sobre un sistema infectado y su lugar en la red. Cuando el malware gana acceso a un sistema nuevo, debe orientarse a lo que ahora tiene control y que beneficios de operación desde ese sistema le da para su objetivo actual u objetivos globales durante la ciber-intrusión. El sistema operativo proporciona muchas herramientas nativas que ayudan en esta fase de recogida de información en este post-compromiso. La mayoría de las técnicas de la táctica “descubrimiento” utilizan funciones del sistema operativo nativo. Esta táctica integra las técnicas que permiten a un malware ganar conocimiento acerca del sistema, dispositivo, servicio, etc. y su entorno de red. Algunas técnicas utilizadas por esta táctica son: “Security Software Discovery” (Se trata de detectar la presencia de software de ciberseguridad como software anti-malware, reglas de firewall local, software de virtualización, debuggers, etc. Para ello se interroga a la función “SystemKernelDebuggerInformation” para detectar un ring 0-debugger vinculado al proceso corriente. Detectar un debugger comprobando la diferencia de tiempo entre dos llamadas a las Windows API, “GetProcessHeap y CloseHandle. Realizar una llamada a API a “IsDebuggerPresent”. Comprobar la presencia de un debugger poniendo GetLastError en el registro a un valor aleatorio y comprobar si ha cambiado después de llamar OutDebugString. Ejecutar una instrucción RDTSC (ReaD-Time-Stamp-Counter) para determinar la velocidad con que ejecuta las instrucciones el procesador, esto permite inferir la presencia de un debugger. La detección de máquinas virtuales y entornos sandbox es otra forma de impedir el análisis de malware ofensivo. Detectar varios productos de virtualización detectando las claves del registro específicas para la funcionalidad de compartir invitado, como HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VMTools. Llamar a la función “PhysicalDrive0” para comprobar los strings que pueden indicar que el drive esta virtualizado). “Query Registry” (Permite interrogar al registro Windows para descubrir información sobre “host system”. Capacidad para leer las políticas de restricción software del registro Windows enumerandoHKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers. El valor DWORD de “AuthenticodeEnabled” indica si la ejecución de binarios esta restringida por el sistema operativo. Interrogar el GUID (Globally Unique IDentifier) de la máquina desde el registro, presumiblemente es el identificador único del sistema infectado). “System Network Configuration Discovery” (Llamar a la función “GetAdaptersInfo” para recuperar información sobre el adaptador de red. Utilizar ipconfig, netstat o netsh para buscar la configuración de red de Windows. Interrogar los servicios de geolocalización e IP online estándar para determinar la dirección IP online del sistema infectado). “Process Discovery” (Se trata de recoger información sobre los procesos activos en el sistema host. Implementar esta técnica durante el runtime utilizando llamadas a funciones de Windows como “CreateToolhelp32Snapshot”, “Process32First” y “Process32Next”. Utilización de tasklist.exe para descubrir procesos ejecutándose en ambos sistemas local y remoto). “System Information Discovery” (Esta técnica soporta la ejecución adicional del malware interrogando al sistema operativo y hardware. Interrogar la versión de Windows utilizando la función “GetVersion”. Recuperar información local como idioma del interfaz de usuario interrogando las funciones “GetLocaleInfoA” o “GetLocaleInfoEx” del API de Windows. Obtener dicha información utilizando “VirtualQuery” y “VirtualAlloc” recoge información sobre los contenidos de memoria. Comprobar las instrucciones de CPU que pueden tener propósitos anti-análisis. Dependiendo de la llamada, la instrucción puede devolver el string Identificador del fabricante de la CPU, pero también la marca del hipervisor. Ciertos valores devueltos pueden indicar si el malware se está ejecutando sobre una máquina física o virtual. Se puede recuperar información del procesador de la clave del registro Windows HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor). “Descubrimiento de la hora del sistema”. “Descubrimiento de la política de contraseñas”. “Descubrimiento del usuario/propietario del sistema”. “Descubrimiento de las conexiones de red del sistema”. “Descubrimiento de grupos de permisos”. “Descubrimiento de dispositivos periféricos”. “Sniffing de red”.
14. Movimiento lateral. Esta táctica permite al malware ofensivo intentar moverse a través de su entorno. Integra las técnicas que posibilitan a un malware ofensivo acceder y controlar sistemas remotos en una red y nube (edge-fog-cloud-computing), pero no necesariamente incluye la ejecución de herramientas en sistemas remotos. Esta táctica puede permitir a un malware recoger información desde un sistema sin necesitar herramientas adicionales como una herramienta de acceso remoto. Esta táctica permite pivotar sobre la red a otros sistemas de interés. Las técnicas de esta táctica son difíciles de observar. Esta táctica engloba las técnicas que permiten a un malware acceder horizontalmente y controlar otros sistemas remotos. Algunas técnicas utilizadas por esta táctica son: “Replication Through Removable Media” (Tratan de infectar dispositivos de almacenamiento USB creando ficheros autorun.inf con una entrada Open o ShellExecute). “Remote Desktop Protocol” (Intentan arrancar el servicio “Remote Desktop” que puede ser una técnica sigilosa efectiva para el movimiento lateral, al mezclarse con el flujo normal del protocolo de red. Intentos de descarga de ficheros que hace un caso de monitorización de host de procesos no usuales estableciendo una conexión de red). “Remote File Copy” (Esta técnica permite actividades de descarga y carga de malware dentro de la red, así como infraestructuras controladas por el malware. Intentos de descargas de ficheros adicionales. Utilizar peticiones “HTTP GET” la mayoría almacenando el resultado en el directorio “Temporary Internet Files”. Establecimiento de conexones HTTPS). “Shared Webroot”. “Windows Remote Management”. “Logon scripts”. “Explotación de servicios remotos”.
15.  Esta táctica engloba las técnicas que permiten tunelizar el tráfico a través de un sistema controlado a otros sistemas que no son accesibles directamente.
16. Recogida de información. Esta táctica permite al malware ofensivo intentar recoger datos de interés para sus objetivos. Esta táctica consta de las técnicas utilizadas para identificar y recoger información, como ficheros sensibles, desde una red objetivo antes de la exfiltración. Esta táctica también encubre localizaciones en el sistema o red donde el malware puede buscar información para exfiltrarla. La mayor parte de las técnicas se basan en funciones Windows nativas para adquirir información sensible del usuario y uso de scripting. Esta táctica integra todas las técnicas utilizadas para identificar y recoger datos de una red, sistema o dispositivo objetivo antes de la exfiltración. Algunas técnicas de esta táctica son: “Email Collection”(Recogida de mensajes de correo electrónico utilizando interrogación de localizaciones de correos electrónicos y claves del registro asociadas con clientes de correo como Outlook y cliente Windows Mail) “Clipboard Data” (Obtención de datos desde el Windows clipboard. Realizar llamadas a “OpenClipboard” y “GetClipboardData”. Arrancar una ventana en la clase clipboard CLIPBRDWNDCLASS para obtener operaciones de “copy-paste”). “Screen Capture” (Capturar contenidos del GUI con llamadas a funciones como “GetDesktopWindows”, “GetWindowsRect” para recuperar las dimensiones de la ventana y “BitBlt” y “GetDIBits” para almacenar la captura en un buffer). “Captura de audio.” “Datos del drive compartido de red”. “Datos de medios removibles”. “Man-in-the-browser”. “Captura de video”. “Datos de repositorios de información”. “Captura de lo tecleado” (Por ejemplo, utilizando keyloggers). “Drive compartido”. “Recogida automatizada”. 
17. Exfiltración. Esta táctica permite al malware ofensivo intentar robar datos. Esta táctica se refiere a todas las técnicas y atributos que permiten al malware extraer ficheros e información desde una red objetivo al malware. Esta táctica también encubre las localizaciones del sistema o red donde el malware puede buscar información para exfiltrarla. Se utilizan protocolos y canales subliminares sobre SMTP, DNS, FTP, HTTPS, etc. Engloba todas las técnicas que permiten o ayudan al malware a sacar datos de una red, dispositivo o sistema objetivo. Algunas técnicas de esta táctica son: “Exfiltración sobre medio físico”. “Exfiltración sobre protocolo alternativo”. “Exfiltración sobre canal C&C”. “Exfiltración sobre otro medio de red”. “Descarga de ficheros vía FTP”. “Llamada a la función “FtpPutFile” identificado como EOAP (Exfiltration Over Alternative Protocol)”. “Exfiltración automatizada”. “Datos comprimidos”. “Datos cifrados”. “Transferencia planificada”.
18. C&C (Command and Control). Esta táctica permite al malware ofensivo intentar comunicarse en sigilo con sistemas/redes/dispositivos comprometidos para controlarlos y posibilita acceder a la red objetivo desde una localización remota. Facilita a los malware que se comunican con sistemas bajo su control dentro de la red objetivo u otras redes. Existen muchas formas de que un malware pueda establecer un C&C con varios niveles de encubrimiento/subliminar, dependiendo de la configuración del sistema, topología de red, etc. Debido al amplio grado de variaciones disponibles para el malware en el nivel de red, la dificultad para las defensas convencionales es elevado (no así para el malware inteligente defensivo que conoce los posibles protocolos y servicios de red para comunicaciones). Esta táctica engloba las técnicas que permiten al malware comunicarse con los sistemas controlados dentro de una red objetivo. Algunas técnicas de esta táctica son: “Proxy de conexión” (Permite redirigir el tráfico de red entre sistemas o actuar como intermediario para las comunicaciones de red. Existen muchas herramientas para redirigir el tráfico a través de proxies o redirección de puertos como ZXProxy, HTRAN, ZXPortMap, etc.). “Domain Generation Algorithms” (El malware puede utilizar DGAs (Domain Generation Algorithms) para identificar dinámicamente un dominio destino para el tráfico C&C en vez de utilizar una lista estática de direcciones IP o dominios. Esto dificulta a las herramientas de defensa la trazabilidad, el bloqueo o el tomar el control del canal C&C ya que puede haber miles de dominios que el malware puede comprobar para intercambiar instrucciones). “Fast Flux DNS” (Permite al malware ocultar un canal C&C detrás de un conjunto de direcciones IP que cambien rápidamente vinculadas a una única resolución de dominio. Esta técnica utiliza un FQDN (Fully Qualified Domain Name) con múltiples direcciones IP a él asignadas que se intercambian con alta frecuencia utilizando una combinación de direccionamiento IP en cola circular y un corto TTL (Time-To-Live) para un registro de recursos DNS), “Junk data” (El malware puede añadir datos basura a los protocolos utilizados para C&C para dificultar la posible detección. Añadiendo datos aleatorios o sin sentido a los protocolos utilizados para C&C se puede impedir decodificar y analizar el tráfico. Ejemplos de esta técnica son añadir por delante o por detrás datos caracteres basura o escribir caracteres basura entre caracteres significativos). “Uncommonly Used Port” (Establece tráfico TCP o UDP sobre puertos no estándar. Esta técnica se despliega para saltarse configuraciones de proxy y de firewall impropias). “Web Service” (Realiza comunicaciones con medios sociales populares (RRSS) como Facebook, Tumbler, Pastebin, etc. se usan para C&C). “Protocolos criptográficos estándar”. “Multi-hop Proxy” (Se realizan conexiones Tor). “Named pipes” (Son un método para comunicaciones IPC (Inter-Process Communication) tanto con procesos locales como remotos. Una técnica para evadir la detección del tráfico C&C es establecer comunicación utilizando SMB y RPC. Se puede descubrir la técnica “named-pipes” ya que un proceso se espera que llame a la función del kernel32.dll CreateNamedPipe para crear un “named pipe”). “Puerto comúnmente utilizado”. “Comunicación a través de medios removibles”. “Protocolo criptográfico a medida”. “Protocolo C&C a medida”. “Codificación de datos” (Permite codificar los datos y conseguir que el contenido del tráfico C&C sea más difícil de detectar. La información C&C se puede codificar en hexadecimal, EBCDIC, ASCII, Unicode, Base64, MIME, compresión de datos con gzip, etc. o codificaciones modificadas a medida). “Ofuscación de datos”. “Proxy multi-hop”. “Canales fallback” (El malware puede utilizar canales de comunicación alternativos o fallback si el primario se ve comprometido o es inaccesible para mantener fiable el C&C y evitar umbrales de transferencia de datos). “Dead Drop Resolver” (El malware puede utilizar un servicio Web externo legítimo existente para hospedar información que señale infraestructura C&C adicional. El malware puede mandar contenido denominado “dead-drop-resolver” en servicios Web con dominios o direcciones IP gravadas, ofuscadas y codificadas. Una vez infectadas las víctimas se redireccionan por estos resolvers). “Comunicación multibanda”. “Cifrado multicapa”. “Esteganografía multinivel, redundante y anidada” (Estas técnicas permiten ocultar el tráfico C&C y dificultar de forma importante la posible detección. Estas técnicas posibilitan ocultar datos en mensajes digitales transferidos entre sistemas. Esta información oculta se utiliza para C&C de sistemas comprometidos, ganancia de funciones, etc. El paso de ficheros embebidos utilizando esteganografía en forma de imágenes, ficheros de documentos, cabeceras no utilizadas en PDUs de protocolos, etc. se utiliza para C&C). “Copia de fichero remota”. “Herramientas de acceso remoto”. “Domain fronting”. “Canales multi-etapa” (Los malware pueden crear múltiples etapas para C&C que se emplean bajo condiciones diferentes o para ciertas funciones. Utilizar múltiples etapas puede ofuscar el C&C para dificultar la detección). “Protocol Impersonation” (El malware puede suplantar el tráfico de los protocolos o de los servicios Web legítimos para disfrazar la actividad C&C e impedir su análisis. Suplantando los servicios Web o protocolos legítimos el malware puede mezclar su tráfico C&C con el tráfico de red legítimo).
20. Efectos en la red. Esta táctica permite al malware ofensivo intentar interceptar o manipular el tráfico de red hacia o desde un dispositivo, objeto, sistema, red.
21. Efectos de los servicios remotos. Esta táctica permite al malware ofensivo intentar controlar o monitorizar el sistema/dispositivo/red utilizando servicios remotos.
22.  Los objetivos socio-técnicos, geo-políticos (incluso de falsa bandera, uso de trastaferros, etc.) de un ciber-ataque malware que son planeados para llevar a cabo un objetivo estratégico.
23. Degradación de ICSs-CPSs. Esta táctica permite al malware ofensivo intentar degradar el sistema ICS/CPS objetivo, reduciendo la efectividad y/o eficiencia de los sistemas C&C legales y de los medios para recoger información. Utiliza técnicas como: (1) Reducción. Es la degradación de un elemento cuyo trabajo es obligatorio para proporcionar un servicio, puede realizarse en cualquier punto entre el sistema objetivo y sus usuarios autorizados. Los puntos de ciber-ataque son el propio sistema o los dispositivos de red (cuya degradación impacta en los usuarios. Normalmente el malware para maximizar el impacto, denegará el servicio al mayor número de usuarios). Existen cuatro sub-técnicas asociadas a la reducción: (i) Inundación. Degrada servicios enviando grandes cantidades de peticiones de servicio válidas. (ii) Amplificación. Se trata de enviar pequeño número de peticiones a servicios que producen respuestas de órdenes de magnitud muy elevadas, de modo que un malware puede saturar un servicio. Ejemplos son la amplificación basada en DNS, NTP, ICMP, etc. (iii) Reflexión. El malware envía peticiones, suplantando su dirección origen pretendiendo ser la víctima a un servidor reflector. Este reflector no puede distinguir las peticiones legítimas de las falsificadas, respondiendo directamente a la víctima, degradando su ancho de banda. (iv) Explotación. Consiste en explotar una o varias vulnerabilidades en una política o en el mecanismo-protocolo que ejecuta la política o explotar vulnerabilidades en el software que implementa el sistema objetivo y provocar que se consuman cantidades excesivas de recursos del objetivo enviando unas pocas peticiones fabricadas cuidadosamente. Queries maliciosas enviadas a una aplicación Web con una estructura de BD deficiente conduce a una degradación de la CPU en el servidor Web o de base de datos. (2) Interferencia. Se trata de introducir ruido o inyectar datos falsos para degradar los servicios del objetivo. Existen tres sub-técnicas asociadas a la interferencia: (i) Jamming. Utilizando señales de saturación o inhibición. Similar a los inhibidores de RF y a los generadores EMP (Electro-Magnetic-Pulse). (ii) Packet dropping. Se trata de que el emisor y receptor perciban desconexión o degradación de la calidad del camino. (ii) Misrouting. Se trata de un ciber-ataque de routing, modificando las rutas que conectan al emisor con el receptor (por ejemplo, con envenenamiento, black-holing, etc.). (3) Alteración. De los componentes del sistema. Existen dos sub-técnicas asociadas a la alteración: (i) Incapacitación. El malware inhabilita uno o varios componentes y cambia cuando el malware modifica las funciones o datos clave del objetivo (cualquier punto de la entrega de servicio, una infraestructura concreta, etc.). (ii) Corrupción. Del sistema de memoria volátil y el re-arranque del sistema normalmente recupera la funcionalidad perdida o degradada. 
24. Destrucción en ICSs-CPSs. Esta táctica integra un conjunto de técnicas como: (1) Borrado. De firmware, software, datos. Permite eliminar ficheros para interrumpir la disponibilidad de los servicios del sistema objetivo. Emplea dos sub-técnicas: (i) Clearing. Se realiza utilizando comandos o métodos del sistema que no destruyen realmente la información. (ii) Purging. Permite eliminar la información de modo que no se pueda ya leer (por ejemplo, sobre-escribiendo el espacio usado por el objeto con patrones aleatorios). Si es un disco duro se denomina disk-wiping y si se realiza contra carpetas, ficheros se denomina shredding. (2) Cifrado perverso. Puede ser reversible si se facilita la clave de descifrado e irreversible en caso contrario. En algunos casos se puede recuperar el fichero cifrado por criptoanálisis encontrando vulnerabilidades del algoritmo o implementación. (3) Corrupción. Es una modificación deliberada de información (por ejemplo, reemplazar el código “boot-time” en una BIOS con datos basura). Una sub-técnica es el “decaying” o corrupción gradual de los datos causada por fallos del sistema motivados por el malware ofensivo.
25. Manipulación en ICSs-CPSs. Esta táctica engloba los siguientes grupos de técnicas para ciber-atacar a la integridad: (1) Fabricación. Consiste en la inclusión de datos espúreos en elementos clave para causar un malfuncionamiento del sistema ciber-atacado (un parámetro en un fichero de configuración, un malware, etc.). (2) Modificación. Consiste en reemplazar datos legítimos por datos maliciosos para conducir a un malfuncionamiento. Pensemos en un detector de nivel de un fluido nocivo/radiactivo/tóxico cuyo valor de display se modifique y muestre un valor muy bajo cuando de hecho sea muy elevado y se produzca un escape peligroso-nocivo. La técnica “poltergeist” modifica los datos de los sensores de un CPS-vehículo para que detecte obstáculos donde no los hay y no vea obstáculos donde si los hay. (3) Cancelación. Consiste en eliminar datos clave en el objetivo a ciber-atacar con el propósito de generar un malfuncionamiento. La manipulación de datos afecta a todo tipo: metadatos en fotos/videos, datos de geolocalización, datos runtime, datos almacenados, datos transmitidos, estructuras de datos, recursos del sistema, datos de timing y de estado, etc.

CONSIDERACIONES FINALES.

El malware ofensivo trastorna el funcionamiento de todo: dispositivos de computación, realiza sabotajes, captura de forma ilegal información sensible (un malware dentro de un fichero al abrirlo determina la localización del que lo abre), obtiene acceso no autorizado a todo tipo de dispositivos (PCs, tablets, móviles como iPhone13, PLCs, routers, etc.), sistemas (lee datos de procesos), redes (WiFi-6/7, 4G/5G, fibra óptica, LoraWan, etc.), servicios (se puede realizar un “blackout-apagón de servicios” (como Redes Sociales, mensajería instantánea, etc.), ciber-atacar servicios para enviar-recibir dinero como Bizum, etc.), sistemas operativos (Linux, Windows10, iOS15, Android12, macOS, Solaris, Unix, etc.), personas, vehículos (barcos, aviones, trenes, drones, submarinos, automóviles conectados/autónomos con ADAS/sistema avanzado de ayuda a la conducción, etc.), CPS (Cyber Physical Systems), ICS (Industrial Control Systems), APPs, BDs, CRM, ERP, objetos IoT/IoMT/IIoT/AIoT, todo tipo de satélites [(de geolocalización-geoposicionamiento como GPS, Glonass, BeiDou, Galileo, GNSS, etc.), de comunicaciones (multimedia y enlace a Internet, como Hispasat, Iridium, Inmarsat, Hispasat, Eutelsat, Globalstar, SES, Intelsat, Thuraya, Terrestar, Indium, Astra, STSAT-2C, etc.), metereológicos (Meteosat-8, GOES-12, MTSAT-1R, MSG-3, TIROS-1, GOMS, RESURS, METEOR, NOAA-18, FENGYUN/FY-2D, etc.), de observación, vigilancia, reconocimiento y espías (Earth Observing EO-1 (NASA), Discover, Corona (USA), Spainsat, Yantar, Cartosat-1, Kosmos 2542 (Rusia), USA-245/NROL-65, Ofeq, Paz, Helios 2B, Vela, IGS, Keyhole-KH, SAR/Lupe, etc.), etc.], etc. Según un estudio de Juniper Research, la previsión es que en 2025 el número global de conexiones IIoT (Industrial Internet of Things) crezca un 107% alcanzando los 36.800 millones (un chollo para el malware en la Industria 4.0). Actualmente la evolución de las vulnerabilidades es disonante, vertiginosa y sin armonía, su misión es que progrese el malware inteligente. La CTH es una funcionalidad-actividad de ciber-defensa proactiva (integrada en el malware inteligente defensivo), así mismo es el proceso automático que iterativamente busca a través de las redes, dispositivos, aplicaciones, etc. de forma predictiva y proactiva para detectar con anticipación, neutralizar, aislar, restaurar, etc. las acciones del malware inteligente ofensivo capaz de saltarse los sistemas de ciberseguridad convencionales (por ejemplo, las medidas de gestión de ciber-amenazas con IDS, IPS, FW, SIEM, sandboxing, etc.). Un estudio de Mobieltron muestra que un 86% de las personas con smartphone han escaneado códigos QR y además al 34% no les preocupa la ciberseguridad de su utilización.

El malware ofensivo no se debe sufrir, se debe combatir (con ciber-armas de neutralización como el malware defensivo, nuevo paradigma operativo como ciber-arma defensiva). Los códigos QR son un vector de ciber-ataque y una forma de acceder desde un smartphone a un sitio Web sin teclear la dirección URL (y por tanto sin ver a que URL se accede). Por ejemplo, permiten ver el menú de un restaurante, acceder a una página Web maliciosa sin saberlo, a una hoja de rescate en formato digital perversa, activar e infectar servicios conectados a un sistema multimedia, el malware puede acceder a su geo-posición, puede descargarle software-firmware malicioso, espiar su móvil, efectuar pagos en su nombre, redirigirle a una página Web falsa e infectada que imite a una página autorizada y suplantarle la identidad (phishing), etc. Si el smartphone esta vinculado a un vehículo, casa, trabajo, identidad, salud, banco-finanzas, etc. aumentan exponencialmente los posibles ciber-riesgos. 

REFERENCIAS.

- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2020.

- Areitio, J. “Control del creciente empoderamiento del malware: identificación y exploración de los aspectos clave del malware”. Revista Conectrónica. Nº 240. Febrero 2021.

- Areitio, J. “Peligro del desconocimiento de la existencia de contaminación malware tendente a situaciones ciber-epidemiológicas globales muy graves”. Revista Conectrónica. Nº 241. Marzo-Abril 2021.

- Areitio, J. “Puntualizaciones sobre el malware, ciber-pandemias y escenarios críticos ciber-epidemiológicos. Protección contra el malware defensa anticipada”. Revista Conectrónica. Nº 242. Mayo-Junio 2021.

- Areitio, J. “Confluencias entre malware, vulnerabilidades y exploits: indicadores de infiltración, superficie-vector de infección y peligrosidad malware”. Revista Conectrónica. Nº 243. Julio 2021.

- Areitio, J. “Adaptación a la variabilidad de los eventos de infección malware no detectados en todo tipo de escenarios, entornos y ecosistemas actuales””. Revista Conectrónica. Nº 244. Septiembre 2021. 

- Areitio, J. “Dualidad del malware inteligente avanzado (ofensivo y defensivo), puntos de actuación y operativa de expansión transparente”. Revista Conectrónica. Nº 245. Octubre 2021.

- Metcalf, L. and Spring, J. “Using Science in Cybersecurity”. World Scientific Publishing Company. 2021.

- Stamp, M., Alazab, M. and Shalaginov, A. “Malware Analysis Using Artificial Intelligence and Deep Learning”. Springer. 2021.

- Karbab, E.B., Debbabi, M., Derhab, A. and Mouheb, D. “Android Malware Detection using Machine Learning: Data-Driven Fingerprinting and Threat Intelligence”. Springer. 2021.   

- Rains, T. “Cybersecurity Threats, Malware Trends, and Strategies: Learn to Mitigate Exploits, Malware, Phishing, and other social engineering Attacks”. Packt Publishing. 2020. 

- Bilge, L., Cavallaro, L., Pellegrino, G. and Neves, N. “Detection of Intrusions and Malware, and Vulnerability Assessment”. 18th International Conference, DIMVA 2021. Springer. 2021.

- Wardle, P. “The Art of Mac Malware: The Guide to Analyzing Malicious Software”. No Starch Press. 2021.

- URLs donde descargar muestras de malware para investigar: https://github.com/ytisf/theZoo; https://zeltser.com/malware-sample-sources/; https://contagiodump.blogspot.com/; http://openmalware.org/

- Sanders, C. “Intrusion Detection Honeypots: Detection through Deception”. Applied Network Defense. 2020. 

- Stanford, E. “Crypto Wars: Facked Deaths, Missing Billions and Industry Disruption”. Kogan Page. 2021.

- Di Pietro, R., Raponi, S., Caprolu, M. and Cresci, S. “New Dimensions of Information Warfare”. Springer. 2021.

- Malpedia (Repositorio de malware): malpedia.caad.fkie.fraunhofer.de/details/

- Patterson, W. and Winston-Proctor, C.E. “Behavioral Cybersecurity: Fundamental Principles and Applications of Personality Psychology”. CRC Press. 2020.

- Alrabaee, S., Debbabi, M., Shirani, P., Wang, L., Youssef, A., Rahimani, A., Nouth, L., Mouheb, D., Huang, H. and Hanna, A. “Binary Code Fingerprinting for Cybersecurity: Application to Malicious Code Fingerprinting”. Springer. 2020.

- Chiroma, H., Abdulhamid, S.M., Fournier-Viger, P. and García, N.M. “Machine Learning and Data Mining for Emerging Trend in Cyber Dynamics: Theories and Applications”. Springer. 2021.