Indicadores de compromiso ante APT

marzo 7, 2013 § Deja un comentario

Quizá soy el último en hablar del informe MANDIANT y a raíz de los comentarios de los maestros Jose Selvi, David Barroso y mi queridísimo Chema y sin entrar en detalles dado que ellos lo han definido y comentado perfectamente, voy a dar una visión sobre ‘como esta haciendo el Gobierno de EEUU para la detección de esta y otras intrusiones’.

El gobierno Americano dice que el informe MANDIANT y lo ocurrido es un ‘pearl harbor’ cibernético y el número de ordenadores y servidores comprometidos en grandes empresas y sitios gubernamentales es muy grande, para ello han tenido que pedir ayuda a agencias de investigación, empresas dedicadas al análisis forense y respuesta ante incidentes.

Un colega americano comentaba esta madrugada que lo descubierto hasta ahora, es mucho malware mejorado de lo antiguo y que los antivirus son testigos mudos de como la industria del malware vence una y otra vez. Que han encontrado sistemas de control remoto y aplicaciones que ‘roban’ documentos del tipo ‘office’ y que los laboratorios a día de hoy están ‘a tope’ de trabajo y que muchas muestras son idénticas en funcionamiento por lo que parece ser que se han basado en una arquitectura común en el método de infección de un ordenador.

También ha indicado, que dado que son muchos los analistas de distintas empresas los que están involucrados han empezado a aplicar múltiples indicadores de compromiso para evaluar el índice de penetración de los piratas analizando artefactos de Windows y la memoria RAM y virtual de los sistemas.

Efectivamente uno de los problemas que tenemos los equipos de investigadores, es que nos encontramos con muestras que muchas veces ya han sido analizados por otros compañeros y como no hay una comunicación fluida acabamos haciendo el trabajo dos veces. Los indicadores de compromiso, es una forma efectiva de tener (o no) una sospecha de un malware o proceso infectado.

Estos indicadores, son un sistema muy interesante y que a raíz del comentario de este colega quiero explicaros de que va. Para ello vamos a utilizar diversas utilidades de la empresa MANDIANT que por cierto colabora con el Presidente Obama para la detección de estos últimos incidentes que ha ocurrido.

Contenido completo en fuente original Conexión Inversa

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Indicadores de compromiso ante APT en Seguridad Informática.

Meta

A %d blogueros les gusta esto: