Papers imprescindibles en malware research
La industria de ciberseguridad se construye sobre papers. El framework MITRE ATT&CK empezó como un paper. El modelo Diamond de análisis de intrusiones es un paper. La Cyber Kill Chain de Lockheed Martin es un paper. Los bootkits UEFI que hoy preocupan a los equipos de respuesta fueron documentados primero en papers académicos años antes de aparecer in-the-wild.
Esta serie analiza los papers más influyentes en malware analysis y threat research. No son resúmenes superficiales: cada artículo sitúa el paper en su contexto histórico, explica las contribuciones técnicas clave, evalúa su relevancia actual y conecta el conocimiento teórico con la práctica defensiva.
Los papers están organizados en tres bloques:
Los blog posts explican lo que ya se sabe. Los papers documentan lo que se descubrió por primera vez. Leer el paper original de MITRE ATT&CK te da una comprensión del framework que ningún blog post puede igualar, porque entiendes las decisiones de diseño, las limitaciones reconocidas y la visión original de los autores.
Los mejores analistas leen papers. No todos los días, pero sí los papers fundamentales de su disciplina. Esta serie te da los 14 que más impacto han tenido.
14 análisis anotados de papers fundamentales.
| # | Paper | Año | Categoría |
|---|---|---|---|
| 1 | FU Rootkit | 2003 | Rootkits |
| 2 | DKOM: Direct Kernel Object Manipulation | 2004 | Rootkits |
| 3 | Hooking Nirvana | 2005 | Rootkits |
| 4 | Blue Pill: virtualización ofensiva | 2006 | Hypervisor |
| 5 | UEFI Bootkits in the Wild | 2022 | Firmware |
| 6 | BlackLotus: Secure Boot bypass | 2023 | Firmware |
| 7 | CosmicStrand firmware rootkit | 2022 | Firmware |
| 8 | Stuxnet technical analysis (Symantec/Langner) | 2010 | Operaciones |
| 9 | APT1 Mandiant report | 2013 | CTI |
| 10 | The Diamond Model of Intrusion Analysis | 2013 | Frameworks |
| 11 | MITRE ATT&CK paper original | 2015 | Frameworks |
| 12 | Cyber Kill Chain (Lockheed Martin) | 2011 | Frameworks |
| 13 | Modern malware evasion techniques survey | 2024 | Evasión |
| 14 | ML for malware classification (survey) | 2024 | ML/AI |
Análisis del FU Rootkit: el primer rootkit práctico que usó DKOM (Direct Kernel Object Manipulation) para ocultar procesos en Windows sin hookear nada.
Análisis de la técnica DKOM (Direct Kernel Object Manipulation): cómo funciona a nivel de estructuras del kernel Windows, qué puede ocultar y cómo se detecta con Volatility.
Análisis del paper Hooking Nirvana: técnicas de hooking en Windows, desde IAT hooking hasta inline hooks y SSDT hooks. Fundamentos de cómo rootkits y EDR interceptan funciones.
Análisis del concepto Blue Pill de Joanna Rutkowska: el primer rootkit basado en virtualización que convertía el SO en una VM sin que lo detectara. Impacto y evolución.
Análisis de los papers sobre UEFI bootkits: LoJax (primer bootkit UEFI in-the-wild), MosaicRegressor, MoonBounce, CosmicStrand y BlackLotus. Cómo funcionan y por qué son la amenaza más persistente.
Análisis del paper de ESET sobre BlackLotus: el primer bootkit UEFI comercial que bypasseaba Secure Boot en Windows 11 parcheado. CVE-2022-21894, técnicas y defensas.
Análisis del paper de Kaspersky sobre CosmicStrand: rootkit que modificaba el firmware UEFI para sobrevivir reinstalaciones, con una cadena de infección desde firmware hasta userland.
Análisis del informe técnico de Stuxnet (Symantec/Langner): cómo funcionaba, los 4 zero-days, el sabotaje de centrifugadoras nucleares y las lecciones para la ciberseguridad moderna.
Análisis del informe APT1 de Mandiant (2013): la primera atribución pública de ciberespionaje a una unidad militar china. Metodología, evidencias, impacto y lecciones para threat intelligence.
Análisis del Diamond Model of Intrusion Analysis: los 4 vértices (adversary, capability, infrastructure, victim), activity threads, activity groups y su aplicación práctica en CTI.
Análisis anotado del paper original de MITRE ATT&CK: cómo surgió, qué problemas resolvía, decisiones de diseño y por qué se convirtió en el estándar de la industria.
Análisis del paper de la Cyber Kill Chain de Lockheed Martin: las 7 fases de un ciberataque, su impacto en la industria, limitaciones y evolución hacia modelos más granulares como ATT&CK.
Survey de técnicas modernas de evasión de malware: EDR unhooking, direct syscalls, AMSI bypass, ETW patching, sleep obfuscation y living-off-the-land. Estado del arte 2024-2026.
Survey de técnicas de machine learning para clasificación de malware: features, modelos, datasets, adversarial attacks y estado del arte 2024-2026.