Juan Luis García Rambla MVP Windows Security

Slides:



Advertisements
Presentaciones similares
By: Iván Romeo.
Advertisements

para Exchange Archivo del correo interno y externo
INGEFOR - 08 Primer Congreso Internacional de Ingeniería Forense Madrid, 06 – 10 de Octubre de TÉCNICAS DE REINICIO EN FRÍO: INFLUENCIA EN LA PRÁCTICA.
JONATHAN SOLANO VILLEGAS
TechNet: Introducción a Microsoft Operations Manager Ana Alfaro García Coordinadora de Eventos TechNet.
Protección del ordenador
Sistemas operativos Arquitectura Cómo funcionan algunas cosas Knowledge Base applications Prefetching Internet Explorer Papelera de reciclaje.
Análisis Forenses en Sist. Inf.
Manuel H. Santander P. Equipo de Seguridad y Contingencia Informática
Tema 1 SAD Vicente Sánchez Patón I.E.S Gregorio Prieto
Tema: Software Antivirus Tatiana Tumbaco Juan Carlos Viñan Cesar Tuarez Paul Barreiro Bismar Bermeo Maestría En Gestión de Calidad y Productividad.
FOREFRONT TMG HTTPS INSPECTION Juan Luis García Rambla MVP Windows Security
SEGURIDAD INFORMÁTICA
Tema 3 – Técnicas de Acceso Remoto y Seguridad Perimetral
Gusanos. Recogen información del usuario y posiblemente produzcan problemas de espacio o tiempo, pero no ocasionan daños graves. Bombas lógicas o.
PROTECCIÓN DEL ORDENADOR
HOL – FOR06. ► Introducción. ► Configuración de Forefront. ► Amenazas web: Solución Antimalware ► Amenazas de correo electrónico. Malware y Spam ► Protección.
1.Firewall 2.Herramientas de detección de intrusión 3.Recuperación de datos PREVENCIÓN/DETECCIÓN Y RECUPERACIÓN ALARCON BELLO MIGUEL ANGEL.
Auditoría de Sistemas y Software
1 5. La Búsqueda (I) Los ordenadores almacenan gran cantidad de información…  Hay que clasificarla y ordenarla para encontrarla con facilidad. ¿Y si no.
POP3 UCLV Mapas Conceptuales para la enseñanza de Redes de Computadoras.
PROTECCIÓN DEL ORDENADOR
Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario.
Mantenimiento Mínimo de computadores Una de las formas en que el usuario puede alargar y optimizar el rendimiento de su computador es mediante su mantenimiento.
MICROSOFT ISA SERVER PRESENTADO A: FABIO LASSO
VIRUS INFORMATICOS.
Medidores de desempeño. En muchas ocasiones nos gustaría saber el rendimiento de nuestra red local a la hora de transferir archivos a nuestro servidor.
Tema 4: Los Virus informáticos
Servicio horario NTP - Protocolo NTP Luis Villalta Márquez.
PROTECCIÓN DEL ORDENADOR Kevin Victoria & Alex Clemente.
TEMA 3 PROTECCIÓN DEL ORDENADOR. Virus informáticos Gusanos: Viajan en secreto a través de equipos, recogiendo información programada. Bombas lógicas.
SEGURIDAD Seguridad en la máquina. Un ordenador es una herramienta aparentemente inofensiva que se puede convertir en un gran peligro si no se usa conociendo.
Andrés Felipe Hurtado Álvarez. Historia  1949: Se da el primer indicio de definición de virus. Julio Verne de la informática  1970:Nace "Creeper" que.
Andrea Sánchez Ferriol Jéssica Valcárcel Arantxa Valero.
PROTECCIÓN DEL ORDENADOR
 Un Firewall o Cortafuegos, es un componente de la red cuyo objetivo es impedir el acceso no autorizado desde internet (ingreso de mensajes no autorizados)
 La seguridad es la característica de un sistema que está libre de todo peligro. Al se difícil de conseguir hablamos de sistemas fiables en vez de sistemas.
Es un malware que tiene por objetivo dañar los programas de una computadora y hacerle daño a el usuario en sus trabajos y no permitirles que puedan navegar.
Introducción Recogida de evidencias Análisis de procesos. Análisis de ficheros y logs. Procedimiento.
 Los virus informáticos son programas que se introducen sin conocimiento del usuario en un ordenador para ejecutar en él acciones no deseadas.  Las.
VIRUS COMPUTACIONALES.
Seguridad en la red José miguel Tardío Fernández José Manuel Sancho Gómez Jesús Vozmediano Vázquez.
Análisis forense en sistemas informáticos
BIENVENIDOS.
Análisis forense en sistemas informáticos
S EGURIDAD Y A LTA D ISPONIBILIDAD Nombre: Adrián de la Torre López.
UNIVERSIDAD NACIONAL AUTONOMA DE MEXICO COLEGIO DE CIENCIAS Y HUMANIDADES PLANTEL VALLEJO VIRUS INFORMATICOS TALLER DE COMPUTO.
Gestión de sistemas operativos de red
S EGURIDAD INFORMÁTICA Alejandro García yus. Entendemos por seguridad informática el conjunto de acciones, herramientas y dispositivos cuyo objetivo es.
La seguridad de la Información
ANTIMALWARE POR:RODRIGO MEJÍA.
HERRAMIENTAS DEL SISTEMA DE WINDOWS PROFESOR: Fernando Mejía. ALUMNO: Luis Eduardo Valenzuela Hidalgo.
MALWARE Juan Manuel Londoño Valentina Vanegas 9ºD.
MATERIA: HERRAMIENTAS INFORMATICAS PROFESOR: CARLOS CARDONA ALUMNO: EVELYN MARTINEZ CEPEDA.
HECHO POR :NICOLAS GALEANO OSORIO FREDY ALEXANDER MAZO ARBOLEDA
MALWARE DANIEL ESTRADA MURCIA KEVIN MIRA COLORADO 9°D CARLOS FERNANDEZ I.E LA SALLE DE CAMPOAMOR 2015.
VIRUS INFORMÁTICOS Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento.
Notificándote ¿Qué hicimos?
ESTACIONES DE TRABAJO..
CRISTIAN ESPINOSA. JUAN DAVID RUIZ 9-A. ¿ Qué es un Malware y cómo se puede prevenir? O Los Malware son programas informáticos diseñados por ciber delincuentes.
UNIVERSIDAD TECNICA DE MACHALA FACULTAD DE CIENCIAS QUIMICAS Y DE LA SALUD ESCUELA DE INGENIERIA QUIMICA TRABAJO GRUPAL: Vanessa RamÒn Ludy Valdiviezo.
Elaborado por: Pablo Osorio Mateo guerra Grado: 9°D MALWARE.
ANTIVIRUS CLOUD COMPUTING. Definición Es un software de protección, como los antivirus tradicionales, que no consume muchos recursos y no necesita de.
ANTIVIRUS CLOUD COMPUTING. Los antivirus cloud o antivirus en la nube, son antivirus que aplican a los antivirus el concepto cloud computing. Instalan.
MALWARE Valentina blandon Juan diego castaño 9°D Carlos fernandez I.E la salle de Campoamor 2015.
Planificación Curso UNIDAD 1. INTRODUCCIÓN A LOS SERVICIOS EN RED UNIDAD 2. SERVICIOS DHCP UNIDAD 3. SERVICIOS DNS UNIDAD 4. SERVICIOS DE ACCESO REMOTO.
La computadora: mantenimiento y seguridad Unidad 2 Taller de herramientas para la traducción Traductorado Público en idioma inglés Facultad de Lenguas.
VIRUS. ¿QUÉ ES UN VIRUS?. Es un segmento de código de programación que se implanta a sí mismo en un archivo ejecutable y se multiplica sistemáticamente.
MALWARE. Un malware es un programa informático diseñados por ciberdelincuentes para causarle algún daño o perjuicio al usuario como el robo de información,
Recomendaciones en la detección de una APT Firewalls Análisis Forense del tráfico de red HIDS Correlación
Transcripción de la presentación:

Juan Luis García Rambla MVP Windows Security

Agenda -Introducción. -Preservar Evidencias. -Búsqueda de elemento ocultos. -Análisis de Procesos y procedimientos. -Análisis de datos. -Análisis del tráfico de red.

Introducción

El análisis forense Cuando algo ha pasado que nos queda: Deducir que ha pasado. Qué ha motivado que esto haya pasado. Qué ha permitido llegar a ello. Qué acciones han sido consecuencia de ello. Qué podemos hacer para evitar que vuelva a suceder.

Malware y Forense Actualmente las aplicaciones tipo Malware constituyen unos de los elementos de ataque más extendidos. Han evolucionado para adaptarse a las circunstancias y a los diferentes métodos de transmisión. Desconocemos de la existencia de todos los elementos Malware. Bajo determinadas condiciones el análisis forense puede determinar la existencia de alguno de estos elementos.

Procedimientos Uno de los elementos prioritarios cuando establecemos un análisis forense es definir un procedimiento. -Reconocer entorno. -Preservación de datos. -Búsqueda de elementos ocultos. -Análisis de los procesos. -Análisis offline de los datos almacenados. -Analizar el tráfico de la red.

Elementos para realización del analisis Herramienta de copia binaria de unidades de disco y memoria. Herramienta para analizar memoria. Análisis de elementos ocultos. Analizador de procesos. Analizador de datos. Recuperador de datos eliminados. Analizador del tráfico de red.

Reconocimiento del entorno Necesitaremos conocer el motivo que ha llevado a sospechar de la existencia de algún tipo de malware. Que elementos conocemos y han podido ser modificados. Cambios en los comportamientos. Elementos afectados.

Preservar Evidencias

Introducción Al igual que en otro tipo de escenarios Forense, una necesidad consiste en la preservación de Evidencias. Evitará que puedan esgrimir una posible manipulación de datos. En caso de la judicialización de los casos es uno de los requisitos fundamentales.

¿Qúe preservar? Discos Duros. Sistemas de almacenamiento. Ficheros de registros. Memoria Volátil.

¿Cómo preservar? Copias binarias de disco. Online.Offline. Copia y firma de ficheros. Mantener intacto las evidencias originales y trabajar sobre las copias.

DEMO Forense en Escenario de Malware con Troyano Reverso

Busqueda de elementos ocultos

Premisas Si realizamos un análisis online puede ser que algunos elementos pudieran estar ocultos. El análisis offline nos permitiría realizar un análisis de ficheros pero no conoceríamos realmente los procesos arrancados y la funcionalidad. Necesitaremos buscar posibles elementos ocultos para continuar con eficacia el análisis forense.

Análisis online Si tenemos activo un rootkit en el sistema podremos descubrirlo mediante alguna herramienta tipo Antirootkit. Realizan un doble procedimiento de petición de datos a nivel de Kernel y a nivel de Aplicación. Nos muestra las diferencias de los resultados obtenidos. Puede evidenciar la existencia de algún elemento oculto. Pueden dar falsos positivos.

Análisis offline Puede darse mediante análisis de disco externo o por análisis del binario del disco. Podemos analizar aquellos elementos que la aplicación Antirootkit nos haya podido ofrecer. Podemos recoger los ficheros y analizarlos mediante algún sistema antivirus o varios. Podemos acceder a los ficheros y evaluarlo a nivel hexadecimal.

Análisis de procesos y procedimientos

Procesos La mayor parte de las aplicaciones malware corren como procesos en nuestros sistemas. Deberemos evaluar todos los procesos que se están ejecutando sobre la máquina. Deberemos conocer bajo que servicios o ejecutables están corriendo los procesos. Analizaremos los subprocesos que pudieran estar vinculados a los procesos.

Análisis de procesos Aplicaciones pudieran estar corriendo como nombres de procesos del sistema. No hay que desdeñar la ingeniería social a la hora de reconocer los procesos. Malware disfrazados con procesos de aplicaciones inexistentes.

Búsqueda por comportamiento Podemos analizar comportamientos mediante la provocación de eventos: Navegación en Internet. Apertura de ficheros. Escritura de datos. Copiar y pegar datos. Herramientas de análisis. Monitorización de ficheros. Monitorización del registro.

Listado de Procesos

Proccess Handles

Análisis de datos

Analisis de ficheros offline Podremos mediante las herramientas de análisis forense la agrupación de ficheros mediante el establecimiento de filtros. Podremos realizar búsqueda de caracteres a nivel binario. Podremos realizar el análisis del Time-line de los ficheros. Podremos recuperar ficheros eliminados.

Filtrado de ficheros Podremos agrupar ficheros por tipología. Buscaremos ficheros de logs o cualquier otro tipo de ficheros donde puedan guardarse información. Buscaremos incoherencias en los ficheros almacenados.

Búsqueda de cadenas Podremos buscar información en los ficheros en base a cadenas de caracteres. Buscaremos posibles ficheros que contengan datos de navegación, de correo electrónico, de datos sensibles. La información deberá buscarse también en los posibles ficheros eliminados.

Análisis del Time-line Buscaremos incoherencias en la interpretación de los datos de tiempo. Si ha habido modificaciones de ficheros a las 3:00 A.M. pudieran reflejar una incoherencia. Evaluaremos la fecha de creación de los ficheros y buscaremos posibles fechas de creación entre las posibles horas en las cuales se sospecha el ataque o la intrusión.

Análisis del tráfico de red

Envío de datos Muchas herramientas de malware generan tráfico, bien para la conexión o bien para el envío de datos. El análisis puede establecerse localmente o en algún segmento de red. Si lo establecemos localmente, deberemos haber eliminado algún posible Malware de ocultación. Deberemos ser capaces de relacionar el tráfico con los procesos y las aplicaciones.

Sniffer Permiten recoger el tráfico y analizarlo posteriormente. No nos da la visión desde el punto de los procesos y las aplicaciones. Podremos diferenciar el tráfico por protocolos o puertos. Malware pueden disfrazar las conexiones con tráfico de procolos conocidos.

Logs de conexiones Tenemos herramientas que nos generan logs de las conexiones desde el punto de vista de los procesos y aplicaciones. No nos ofrecen los datos enviados, recogen solamente las conexiones realizadas. Nos ofrecen los puertos utilizados, la IP de conexión y las aplicaciones o procesos que intervienen en la conexión.

DEMO Forense en Escenario de Malware con Troyano Reverso

Contactos Juan Luis García Rambla Informatica64

Feedback: Política de privacidad Feedback
Do Not Sell My Personal Information
Sobre el proyecto: SlidePlayer Condiciones de uso

© 2024 SlidePlayer.es Inc. All rights reserved.