autopsia forense de un ataque dirigidoque se ejecutan al iniciar el sistema, crea archivos en el...
TRANSCRIPT
![Page 1: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/1.jpg)
AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDO
Trucos y técnicas
para la realización de
Un Análisis Forense extremo
Pedro Sánchez
![Page 2: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/2.jpg)
![Page 3: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/3.jpg)
1.- Repaso actual de la seguridad
2.- Caso real de una ataque APT
3.- Análisis
4.- Monitorización
5.- Medidas
Autopsia forense Agenda
![Page 4: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/4.jpg)
Repaso del estado actual de la seguridad
1#
![Page 5: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/5.jpg)
Virus
Gusanos de correo
Gusanos exploit
Rootkits
Troyanos de puerta trasera
DispositivoExtraíble
Clientes de Mensajería Instantánea
Adjuntos de correo
Script Kiddies
Repaso del estado actual de la seguridadANTES
![Page 6: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/6.jpg)
Virus
Gusanos de correo
Gusanos exploit
Gusanos P2P
Gusanos IM
Rootkits
Troyanos de puerta trasera
Spyware
Adware
Greyware
Fuentes de ataque
Sitios Web Multimedia Legítimos Comprometidos
Dispositivos extraíbles
Dispositivos Móviles
Redes PúblicasWi-Fi
Clientes de Mensajería Instantánea
Hackers
Aplicaciones Web 2.0
Tipos de amenazasMedios de Proliferación
Adjuntos de Correo SPAM
Empresas Legítimas
Redes P2PPhishingCrimen organizado
Gobiernos extranjeros
Repaso del estado actual de la seguridadAHORA
![Page 7: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/7.jpg)
APT
Repaso del estado actual de la seguridad
![Page 8: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/8.jpg)
Características2# Mecanismos de ataque
• Son invisibles e indetectables
• Los antivirus lo ven como algo propio del sistema
• Actúan en ciertos casos que el programador ha definido.
• Pueden estar años en el sistema
• Utilizan ingeniería inversa
• Utilizan comandos legítimos del sistema
• Utilizan aplicaciones como pasarela de datos
• Cifran las comunicaciones
• Interactúan con SCADA y otros elementos de Hardware
• También están en los móviles
![Page 9: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/9.jpg)
¿Cómo se detectan?2# Mecanismos de ataque
• Ante un fallo de la aplicación que provoca algún tipo de evento o alerta
• En revisiones rutinarias de logs (Fw, Routers, etc.)
• Monitorizando servicios y/o aplicaciones
• Ante sospecha del administrador de sistemas
• Ante la evidencia de un fallo repetitivo o fantasma
• Con un SIEM y correladores de registros
• Ante un fraude
![Page 10: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/10.jpg)
DEMOBANCA-APT
No intrusivo
Repaso del estado actual de la seguridad
![Page 11: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/11.jpg)
Forensics PowerTools2# Caso real de un ataque APT
2#
![Page 12: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/12.jpg)
• ACME es una empresa de Zaragoza dedicada al mundo de la química.Especializada en detergentes, papel, construcción, pinturas, tratamiento deaguas, materias primas de productos industriales; campos que cubrenaplicaciones tanto en la industria como en los bienes de consumo.
110 Empleados
24 Servidores
140 Puestos
BRASIL
MEXICO
CHILE
EEUU
Movilidad
Db Oracle / sap
/mssql
2# Caso real de un ataque APT
![Page 13: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/13.jpg)
2# Caso real de un ataque APT - FASE I
• El director de la empresa ACME recibe un correo electrónico de una consultoracolaboradora (DynCorp), con una lista de precios en una aplicación en EXCEL.
![Page 14: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/14.jpg)
2# Caso real de un ataque APT – FASE II
Iframe
Código QR
![Page 15: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/15.jpg)
2# Caso real de un ataque APT
CASO REALAPT
Exfiltración de datos
![Page 16: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/16.jpg)
2# PASOS A REALIZAR
1.- PRESERVAR - CADENA DE CUSTODIA
-REQUERIMIENTO NOTARIAL-CLONADO EXACTO- 2-3 COPIAS- ORIGINAL EN CUSTODIA- APERTURA DE ACTA- ETIQUETADO DE MATERIAL- VOLCADO DE MEMORIA
![Page 17: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/17.jpg)
2# PASOS A REALIZAR
2.- CONTENCION
- ACTUALIZACION DE MOTORES DE ANTIVIRUS
- ESTABLECIMIENTO DE PROXY- INSERCION DE SONDAS DE DETECCIÓN
![Page 18: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/18.jpg)
2# PASOS A REALIZAR
3.- MONITORIZAR
- REGISTROS DE ACCESO- SALIDA HACIA INTERNET- TRAFICO DE RED- PROCESOS EN MEMORIA- CREACIÓN DE FICHEROS
![Page 19: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/19.jpg)
Forensics PowerTools3# Análisis
3#
![Page 20: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/20.jpg)
3# ¿Cómo llegamos a la solución?
Lista de productosEjecución de macrosLlamada a procedimiento remoto
• Technical_Center.xls:
• Hoja de cálculo en Excel que contiene:
• Macros (ofuscadas) en VBA
• Realizan una descarga desde internet de entre 5 y 7 ficheros
• EXCEL.EXE
• 4.EXE, 4.DLL
• 5.EXE
• S.EXE
• S.DLL
• R.EXE
• Y.EXE
• Tras la descarga se ejecuta EXCEL.EXE
![Page 21: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/21.jpg)
3# ¿Cómo llegamos a la solución?
ARTEFACTOS FORENSES
![Page 22: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/22.jpg)
3# ¿Cómo llegamos a la solución?
ARTEFACTOS FORENSES
![Page 23: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/23.jpg)
3# ¿Cómo llegamos a la solución?
ARTEFACTOS FORENSES
![Page 24: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/24.jpg)
3# Caso real de un ataque APT - Procesos
Tras la ejecución de la aplicación en EXCEL se observan distintos procesos:
![Page 25: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/25.jpg)
3# Caso real de un ataque APT - Procesos
• 5.exe:• Se crea una ruta. En este caso:
• $4788345436574688425453436357
• Se descarga los ficheros netsvcs.exe , netsvcs_ko.dll y vcmon.exe
• Agrega las claves del registro para hacerlo persistente.• Comienza a:
• Realizar la búsqueda de documentos ofimáticos :• Docx, xls, ppt, mdb, pdf
• Una de las características es que busca certificados• Los clasifica en carpetas temporales asociadas a temporales de
word• Establece una transferencia de archivos por ¡¡teamviewer!!
![Page 26: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/26.jpg)
3# Caso real de un ataque APT - TeamViewer
netsvcs.exe - el cliente TeamViewer modificado
netsvcs_ko.dll - Biblioteca de recursos de cliente TeamViewer
vcmon.exe - instalación / arranque
Se crea el servicio " Servicio de acceso remoto ", ajustado para iniciarse
en C:\Windows\System32\vcmon.exe al iniciar el sistema.
Cada vez que el vcmon.exe se ejecuta, deshabilita el firewall y pone a
cero siguientes valores del registro:
HKLM\SOFTWARE\odhin\V3_365\InternetSec
UseFw = 0
UseIps = 0
![Page 27: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/27.jpg)
3# Caso real de un ataque APT - Tráfico
![Page 28: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/28.jpg)
3# Caso real de un ataque APT - TeamViewer
![Page 29: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/29.jpg)
3# Caso real de un ataque APT - TeamViewer
![Page 30: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/30.jpg)
3# Caso real de un ataque APT - TeamViewer
![Page 31: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/31.jpg)
3# Caso real de un ataque APT - TeamViewer
Y.EXEy.exe' añade al sistema funcionalidades de rootkit, ya que registra los procesos que se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo.
Entre ellos crea el fichero 'C:\WINDOWS\system32\prxy.dll' y un archivo por lotes de nombre 'sas.bat' a continuación se crea un proceso basando en 'cmd.exe' con el siguiente comando 'cmd /c rundll32 prxy.dll,RundllInstall’
![Page 32: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/32.jpg)
3# Caso real de un ataque APT - TeamViewer
S.EXE y S.DLL
![Page 33: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/33.jpg)
3# Caso real de un ataque APT - TeamViewer
4.EXE y 4.DLLEs el programa 7zip
![Page 34: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/34.jpg)
3# Caso real de un ataque APT - TeamViewer
IAM.EXE – IAM.DLL / I.EXE – I.DLL
Los ficheros 'iam.exe' e 'iam.dll' no sonexactamente malware y pertenecen a unconjunto de herramientas de la empresaCORE SECURITY. Estos ficheros (según seindica en la web) permite cambiar enmemoria las credenciales NTLM asociadoscon la sesión actual de Windows, es decir elnombre de usuario, dominio y hashes.
Todo apunta a que este 'raro-ware' estapensado para robar las credenciales de losusuarios.
![Page 35: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/35.jpg)
3# Caso real de un ataque APT - TeamViewer
![Page 36: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/36.jpg)
3# Caso real de un ataque APT
![Page 37: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/37.jpg)
3# Caso real de un ataque APT
Por lo tanto…• Suplantación en un correo dirigido a la empresa (Ingeniería social).
• Acceso a puestos de trabajo. (Entrada al perímetro de red)
• Envío masivo de phising dirigido (ingeniería social)
• Acceso a terminales Android.
¿Durante cuanto tiempo?
¿Qué se han llevado?
¿Qué impacto tiene?
¿Volverá a ocurrir?
¿Qué medidas ponemos?
![Page 38: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/38.jpg)
3# Caso real de un ataque APT
Por lo tanto…• Suplantación en un correo dirigido a la empresa (Ingeniería social).
• Acceso a puestos de trabajo. (Entrada al perímetro de red)
• Envío masivo de phising dirigido (ingeniería social)
• Acceso a terminales Android.
¿Durante cuanto tiempo?
¿Qué se han llevado?
¿Qué impacto tiene?
¿Volverá a ocurrir?
¿Qué medidas ponemos?
![Page 39: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/39.jpg)
4# - Monitorización
4#
![Page 40: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/40.jpg)
4# Detección
![Page 41: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/41.jpg)
4# Detección OPENIOC
• OpenIOC establece un estándar para la definición y el intercambio de información tanto interna como externamente en un formato legible.
• Los indicadores de compromiso se compone de diversos indicadores que se puede identificar en un host o una red, ante una intrusión.
• Hay 3 atributos principales para escribir un buen COI:• Reducir los falsos positivos
• No es complejo a la hora de crear las reglas.
• Debe de ser complicado para el atacante eludir los indicadores para llevar a cabo el ataque. El atacante tendría que cambiar la estrategia de ataque, herramientas y procesos de manera significativa para evadir metodología ataque anterior.
![Page 42: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/42.jpg)
![Page 43: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/43.jpg)
4# - Monitorización
wmi
![Page 44: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/44.jpg)
4# wmi
• Es la implementación de WBEM (Web-BasedEnterprise Management) de Microsoft, unainiciativa que pretende establecer normas estándarpara tener acceso y compartir la información deadministración a través de la red de una empresa.
• WMI proporciona compatibilidad integrada para elModelo de Información Común (CIM, CommonInformation Model), :Y que describe los objetosexistentes en un entorno de administración.
![Page 45: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/45.jpg)
5# MEDIDAS
![Page 46: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/46.jpg)
Monitorizar el tráfico. Geolocalización.
• Conocer patrones habituales de conexiones hacia según qué países.• Filtrado geográfico IDS/IPS.• Darknets.• HoneyNets
5# Detección
Esencial disponer de un inventario detallado de los
activos/servicios de nuestra red.
• Revisiones periódicas. Si se detecta uno nuevo seaverigüe su origen y se evalúe si supone amenaza.• Recomendable habilitar solo aquellos serviciosestrictamente necesarios.• En caso de equipamiento que esté expuesto en zonasDMZ o que deban ser accedidos desde Internet sedeberán tomar medidas adicionales de protección.(Bastionado)
Definir indicadores estadísticos que pueden variardependiendo de cada organización:
• Tamaño mediopaquetes UDP/TCPque entran/salen.• Número paquetes porpuerto.• Distribución de tráficopor servicio.• Etc.
![Page 47: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/47.jpg)
5# Detección
En una APT: tráfico cifrado o a través de Covert
Channels
• Detección perspectiva sencilla → Paquetes de
firmas.
• Detección perspectiva compleja →
Comportamientos anómalos que conlleven una investigación• Importante establecer indicadores estadísticos que tras ser superados nos alerten:
• Aumento considerable y repentino de paquetes ICMP.• Aumento de peticiones DNS.• Rango horario de las peticiones, regularidad en las mismas, tipo de peticiones…
Control del servicio DNS a través de Passive DNS.
• Réplica en pasivo del DNS de nuestra organización.• Ayuda a ver qué nombres de dominios maliciosos se están solicitando como medida complementaria para combatir el malware.• De gran ayuda en la gestión de incidentes
![Page 48: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/48.jpg)
5# Detección
![Page 49: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/49.jpg)
5# SIEM – SIEM – SIEM / IDS - IPS
http://mosaicsecurity.com/categories/85-log-management-security-information-and-event-management
![Page 50: AUTOPSIA FORENSE DE UN ATAQUE DIRIGIDOque se ejecutan al iniciar el sistema, crea archivos en el directorio Windows, modifica partes del registro y sustituye comandos de sistema operativo](https://reader030.vdocuments.pub/reader030/viewer/2022040909/5e817454a2bdf55c9b426568/html5/thumbnails/50.jpg)
¡¡ Muchas gracias !!
Email: [email protected]
Twitter: #conexioninversa
Blog: conexioninversa.blogspot.com
www: www.conexioninversa.com