Encontrar información de una botnet

abril 8, 2013 § Deja un comentario

En muchas ocasiones cuando nos encontramos frente un malware y tenemos que realizar un análisis, existen una gran cantidad de herramientas que podemos utilizar. Cada una de ellas cumplen funciones determinadas y nos permiten conocer información acerca del comportamiento de dicha amenaza y las actividades que realiza en un sistema infectado. Hoy vamos a ver cómo hacer para conocer dónde se intenta conectar un código malicioso sin siquiera contar con acceso a Internet, simplemente mediante la utilización de herramientas como ApateDNS y FakeNet.

El principal momento para el uso de este estilo de herramientas es durante la recopilación de información. Si bien no será posible observar el comportamiento real de la amenaza, uno puede utilizar estos datos para conocer a qué sitios se intenta conectar, y qué información intenta obtener.

La primera de las aplicaciones que podemos utilizar para este cometido es ApateDNS, esta herramienta desarrollada por la gente de Mandiant, nos permite redirigir todas las consultas DNS (Domain Name Service) a través del puerto UDP 53 hacia dónde nosotros especifiquemos y de esta manera identificar los sitios a los cuáles se intenta conectar el código malicioso bajo análisis.

Contenido completo en fuente original ESET Latinoamérica

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

¿Qué es esto?

Actualmente estás leyendo Encontrar información de una botnet en Seguridad Informática.

Meta

A %d blogueros les gusta esto: