Técnicas de inyección y ofuscación de archivos PE en la memoria de un proceso y el análisis de esta en sistemas Windows

Fagoaga Sancho, José (2020). Técnicas de inyección y ofuscación de archivos PE en la memoria de un proceso y el análisis de esta en sistemas Windows. Proyecto Fin de Carrera / Trabajo Fin de Grado, E.T.S. de Ingenieros Informáticos (UPM), Madrid, España.

Description

Title: Técnicas de inyección y ofuscación de archivos PE en la memoria de un proceso y el análisis de esta en sistemas Windows
Author/s:
  • Fagoaga Sancho, José
Contributor/s:
  • Rodríguez Martínez de Bartolomé, Ángel
Item Type: Final Project
Degree: Grado en Ingeniería Informática
Date: 5 June 2020
Subjects:
Faculty: E.T.S. de Ingenieros Informáticos (UPM)
Department: Arquitectura y Tecnología de Sistemas Informáticos
Creative Commons Licenses: Recognition - No derivative works - Non commercial

Full text

[img]
Preview
PDF - Requires a PDF viewer, such as GSview, Xpdf or Adobe Acrobat Reader
Download (11MB) | Preview

Abstract

Desde los años en los que la seguridad informática se basaba en medidas físicas, el hermetismo de las redes y la escasez de conectividad entre los pocos computadores que estaban en activo, los riesgos de ciberseguridad se han visto incrementados de forma sustancial. Actualmente el número de dispositivos con capacidades de computo, el exponencial crecimiento y la accesibilidad de Internet han cambiado por completo este panorama. La irrupción de sistemas y código abierto, también ha contribuido de forma notable al crecimiento y complejidad de este ecosistema tecnológico. Actualmente, el campo de la ciberseguridad está en auge ya que nos encontramos en un entorno en el que casi cualquier elemento tiene conexión a Internet y, por tanto, puede llegar a ser vulnerado por un atancante externo a dicho sistema. A raíz de esto, el “malware” es un elemento presente en el mundo empresarial tanto para profesionales que trabajan para proteger sus activos como para cibercriminales que intentan acceder a recursos que no son de su propiedad con el fin de obtener algún tipo de beneficio. Por ello en el presente trabajo se estudia un tipo de ejecución de código a través de lo que se denomina “fileless malware” cuyo objetivo es ejecutar código bajo un proceso legítimo y que este no sea detectado, en la medida de lo posible, por las herramientas de seguridad presentes el sistema. Para esto es necesario estudiar de manera completa el formato de fichero “Portable Executable” debido a que este tipo de fichero es el contenedor del código malicioso a ejecutar y debe montarse correctamente para tener éxito. El trabajo se completa con el desarrollo de una herramienta que aproveche la técnica de ejecución de código elegida. Esta dispondrá de dos versiones, una preliminar para afianzar el estudio formato de fichero “Portable Executable” y otra como prueba de concepto final.---ABSTRACT---Since the years when computer security was based on physical measures, the tightness of networks and the lack of connectivity between the few computers that were active, cybersecurity risks have increased substantially. Today, the number of devices with computing capabilities, the exponential growth and accessibility of the Internet have completely changed this landscape. The emergence of systems and open source has also contributed significantly to the growth and complexity of this technological ecosystem. Nowadays, the cybersecurity field is booming because we are in an environmente in which almost every element has an Internet connection and, for that, it may be violated by an external attacker. As a result of this, “malware” is an element present in professional environments both for professionals that works to protect their assets and for cybercriminals that wants to break into resources that do not belong to them with the purpose to obtain some kind of benefit. Because of that, in this work we study a type of code inyection through “fileless malware” which goal is to execute code under a legitimate process and avoiding its detection by the system’s security elements. To achieve that, it is necessary to study completely the “Portable Executable” file format because this file type is the container of the malicious code to be executed and it must be correctly built to be successful. This work ends with the development of a tool that takes advantage of the code execution technique chosen. This tool will have two versions, the first one to demonstrate the PE format study and the second one, the final, to show a proof of concept of this whole study.

More information

Item ID: 63040
DC Identifier: http://oa.upm.es/63040/
OAI Identifier: oai:oa.upm.es:63040
Deposited by: Biblioteca Facultad de Informatica
Deposited on: 16 Jul 2020 20:00
Last Modified: 16 Jul 2020 20:00
  • Logo InvestigaM (UPM)
  • Logo GEOUP4
  • Logo Open Access
  • Open Access
  • Logo Sherpa/Romeo
    Check whether the anglo-saxon journal in which you have published an article allows you to also publish it under open access.
  • Logo Dulcinea
    Check whether the spanish journal in which you have published an article allows you to also publish it under open access.
  • Logo de Recolecta
  • Logo del Observatorio I+D+i UPM
  • Logo de OpenCourseWare UPM