Documente Academic
Documente Profesional
Documente Cultură
http://ccn-cert.net/Lima
Contraseña: Lima2018
Definición
Es un programa pequeño que se ejecuta sin el
conocimiento o el permiso del usuario, teniendo como
objetivo infiltrarse o alterar el normal funcionamiento del
Sistema.
17/04/2018 2
Código dañino SIN CLASIFICAR
Reflexión
¿Debo de confiar en la pagina web
visitada?
¿Debo de confiar en el remitente?
¿Puedo confiar en archivos
adjuntos?
¿Realmente es un fichero de texto
(.txt) o un fichero con texto
enriquecido (.rtf)?
¿Puedo confiar en mensajes con
formato (.html)?
17/04/2018 3
Código dañino SIN CLASIFICAR
Objetivos
Muy diversos, según el tipo. De forma general:
Engañar al usuario
Suplantar su identidad
Robo de credenciales
BORRADO/SECUESTRO DE INFORMACIÓN
Fuga de información
Denegación de servicio
17/04/2018 4
Código dañino SIN CLASIFICAR
Métodos de Infección
Correo Electrónico
Visitar página WEB (Watering hole attack)
Dispositivos removibles
Amenazas de DIA-CERO (0-day attack)
(Documentos PDF, WORD, Códigos Java)
Estar conectado a Internet SIN tener actualizado el
Sistema Operativo/Programa
Ataques Laterales (Equipos de la misma red)
5
Código dañino SIN CLASIFICAR
Tipos de Virus
Falso Virus/Alertas (Hoax)
Gusanos
Troyanos
Rootkits
Correos NO deseados
SPAM
Espías
Adware, Spyware
Fraude Electrónico
Phising – Scam
Plataformas afectadas
17/04/2018 7
Código dañino SIN CLASIFICAR
Fraude – Dridex
Atacante envía correo con adjunto
dañino.
Adjunto en formato “Word” o “Excel”
con macros.
Troyano roba datos del navegador
del usuario.
Roba datos de autenticación (usuario,
contraseña, etc.).
Permite acceso a la red local
mediante una puerta trasera.
Suplanta al remitente de compañías
en correos electrónicos.
Monitoriza, intercepta y modifica
transacciones bancarias.
Código dañino SIN CLASIFICAR
17/04/2018 9
Código dañino SIN CLASIFICAR
17/04/2018 10
Código dañino SIN CLASIFICAR
RECOMENDACIONES
Kit de Herramientas
http://www.microsoft.com/technet/sysinternals
Process Monitor y Process Explorer
TcpView
Autoruns
http://vil.nai.com/vil/stinger
Diferentes versiones de stinger (Virus más activos)
http://www.gmer.net
Gmer / Catchme
Otras
HijackThis -> TrendMicro
12
Código dañino SIN CLASIFICAR
Posible solución
Windows 7 SP1
Cortafuegos : Zone Alarm pro/home.
Antivirus Microsoft Security Essentials/Panda free 2017.
Antispyware : spybot search and destroy
EMET: enhanced mitigation experience toolkit
Anti Ransom v2.0
Monitores:
Spywareblaster (http://www. brightfort.com)
Hijackthis/autoruns (de forma periódica)
Stinger (de forma periódica) / malwarebytes
Creación de diversos usuarios en el sistema operativo con distinto rol.
Borrado y limpieza del sistema
ccleaner
17/04/2018 13
Código dañino SIN CLASIFICAR
Vigilar/Comprobar
Centro de Seguridad de Windows (Security Center Service)
HKLM \SYSTEM\CurrentControlSet\services\wscsvc
Start:0x00000002
Componentes del Servicio de Seguridad
HKLM\SOFTWARE\Microsoft\Security Center\
AntivirusDisableNotifiy = 1 (Deshabilitado)
FirewallDisableNotify = 1 (Deshabilitado)
UacDisableNotify = 1 (Deshabilitado)
http://support.microsoft.com/kb/949737
Configurar qué carpetas y archivos se muestran
Mostrar archivos, carpetas y unidades ocultas
Mostrar archivos protegidos por el sistema operativo
Mostrar las extensiones de los archivos
17/04/2018 14
Código dañino SIN CLASIFICAR
Formación y
Concienciación
17/04/2018 15
Control de integridad SIN CLASIFICAR
Situación Actual
17/04/2018
17
Control de integridad SIN CLASIFICAR
17/04/2018
18
Control de integridad SIN CLASIFICAR
Detección
Se debe de detectar
Cambio en el firmware de la BIOS.
17/04/2018
19
Control de integridad SIN CLASIFICAR
Soluciones software…
Disponer de un programa que realice una
captura de la configuración del equipo –
“realización de una foto” del estado actual
del sistema.
Empleo de algoritmos hash para el
almacenamiento de la información.
Almacenamiento de la configuración en una
base de datos.
Permitir realizar comparaciones posteriores.
Las diferencias encontradas se mostraran en
pantalla y en fichero.
Las capturas y comparaciones se realizan
con/sin intervención del S.O. del ordenador.
17/04/2018
20
Control de integridad SIN CLASIFICAR
Soluciones hardware…
Poner etiquetas de seguridad
en teclado
en CPU
en monitor
17/04/2018
21
Borrado seguro SIN CLASIFICAR
Borrado seguro
17/04/2018
22
Borrado seguro SIN CLASIFICAR
Borrado seguro
Predominio de sistemas MS Windows.
Amplio manejo de programas ofimáticos, como procesadores de textos,
hojas de cálculos, mensajería, etc…
Gran intercambio de ficheros.
Repositorios públicos de ficheros.
Las aplicaciones emplean un elevado almacenamiento de “metadatos”.
17/04/2018
23
Borrado seguro SIN CLASIFICAR
Borrado seguro
Borrado del fichero swap de Windows en cada reinicio del sistema.
hklm\system\currentcontrolset\control\session maganer\memory
management
name : clearpagefileatshutdown type : dword value = 1
Desfragmentar el disco.
17/04/2018
24
Borrado seguro SIN CLASIFICAR
Borrado seguro
17/04/2018
25
Borrado seguro SIN CLASIFICAR
Borrado seguro
Metadatos SIN CLASIFICAR
Metadatos
Metadatos “data about data”,
según articulo q223790, los
metadatos pueden almacenar:
nombre.
organización.
texto oculto.
etc...
17/04/2018
27
Metadatos SIN CLASIFICAR
Metadatos
Empleo de herramientas para la eliminación de datos residuales en documentos.
- MetaShield - https://www.elevenpaths.com/es/tecnologia/metashield/index.html
17/04/2018
28
Control de integridad SIN CLASIFICAR
AIDE – http://aide.sourceforge.net
WINDOWS
UNIX - WINDOWS
17/04/2018
29
Borrado seguro SIN CLASIFICAR
METASHIELD – www.elevenpaths.com/es/tecnologia/metashield/index.html
17/04/2018
30
Recuperación de ficheros SIN CLASIFICAR
FILERECOVERY – www.lc-tech.com
GETDATABACK – www.runtime.org
ENCASE – www.encase.com
RECUVA – www.piriform.com
17/04/2018
31
SIN CLASIFICAR
3. Política de seguridad.
6. Concienciación de usuarios.
9. Intercambio de Información.
Muchas Gracias
E-mails
info@ccn-cert.cni.es
ccn@cni.es
sondas@ccn-cert.cni.es
redsara@ccn-cert.cni.es
organismo.certificacion@cni.es
Páginas web:
www.ccn.cni.es
www.ccn-cert.cni.es
http://ccn-cert.net/Lima
www.oc.ccn.cni.es Contraseña: Lima2018