Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
▼
2021
(Total:
730
)
-
▼
diciembre
(Total:
103
)
- Tecnología de Intel permite actualizar la BIOS de ...
- La Universidad de Kioto en Japón pierde 77TB de da...
- Redline Stealer es un malware que roba las contras...
- ¿Qué es un dropper? (Malware)
- Fundador de Signal asegura que Telegram es incluso...
- Diferencias entre el cifrado BitLocker y EFS en Wi...
- Mejores programas para reparar, recuperar y ver in...
- TWRP Recovery para teléfonos Android
- Herramientas para realizar ataques Man‑in‑the‑Midd...
- Vulnerabilidad en Azure App Service expone reposit...
- Las 20 mejores herramientas de Hacking de 2021
- Procesadores Intel 12th Alder Lake para el chipset...
- Alertan de una importante Campaña Phishing vía SMS...
- Extensiones Visual Studio Code para programar en ...
- ¿Qué es una APU (CPU + GPU) y un SoC?
- Crean un algoritmo capaz de adivinar el 41% de las...
- DuckDuckGo, la alternativa al buscador Google basa...
- Instalar MacOS Big Sur en una máquina Virtual con ...
- Editores de imágenes de vídeo gratuitos y de códig...
- Desinstalar todas las aplicaciones no deseadas que...
- Reparar tarjeta memoria SD dañada o estropeada
- Instalar aplicaciones Android en Windows 11: WSATo...
- Hackean servidores HP con CPUs AMD EPYC para minar...
- Logrotate: administra los registros (logs) de tu s...
- Las mejores shells para GNU/Linux
- Glosario términos en Linux: vocabulario básico
- Windows 10 versión 21H2 añade protecciones mejorad...
- Instalar varios sistemas operativos autoarrancable...
- Vulnerabilidad test de antígenos permite falsifica...
- Actualización de seguridad importante servidor web...
- Graves vulnerabilidades plugin SEO instalado en má...
- Vulnerabilidades Directorio Activo permiten hackea...
- Ministerio de Defensa de Bélgica es el primer país...
- La memoria DDR5 es apenas un 3% más rápida que la ...
- Actualizaciones de Windows 11 solucionan problemas...
- Disponible distro Hacking WiFi Wifislax de origen ...
- DuckDuckGo prepara navegador web que protegerá la ...
- Amazon patenta una red de cámaras que reconcen a p...
- Los mitos más comunes en ciberseguridad
- Hospital de Asturias (España) afectado por un ataq...
- Cable USB llamado BusKill permite borrar automátic...
- El hackeo con Pegasus para iPhone es uno de los at...
- Resumen de todas las vulnerabilidades de Log4j
- Instalación LineageOS en teléfonos Android
- Gestores de Contraseñas para Android
- Guía SysAdmin para SELinux
- Los mejores gestores de contraseñas gratuitos
- Configurar servidor DLNA para reproducir música y ...
- Instalar Kali Linux en tu teléfono móvil con NetHu...
- pfetch, screenfetch o neofetch : mostrar informaci...
- La estafa del supuesto familiar con la ‘maleta ret...
- Microsoft y Dell prepararan portátiles más reparables
- Contenedores en Firefox para mejorar privacidad al...
- Windows Terminal será la línea de comandos por def...
- Identificada una segunda vulnerabilidad en Log4j q...
- Protocolo WebDav permite conectar unidad de red re...
- Apple publica Tracker Detect para evitar que los u...
- Volvo Cars informa una brecha de seguridad
- Consejos de Seguridad para servidores Linux
- Vulnerabilidad en millones chips de WiFi y Bluetoo...
- Ataque de ransomware Lapsus al Ministerio de Salud...
- Configurar una VPN con Wireguard
- Distribuciones Linux para portátiles antiguos con ...
- Juegos retro para teléfonos móviles Androd e iPhone
- Solucionada vulnerabilidad de seguridad de Western...
- Ladrones de coches están utilizando AirTags de App...
- Cómo activar la autenticación en dos pasos en Goog...
- Detenida en España por estafar al Athletic de Bilb...
- ALPHV BlackCat es el ransomware más sofisticado de...
- Google permitirá ejecutar juegos de Android en Win...
- Google y Microsoft trabajan juntos para mejorar el...
- Vulnerabilidad crítica en Apache Log4j bautizada c...
- Nueva oferta de Microsoft 365 para los usuarios pi...
- Nueva versión de Kali Linux 2021.4 que mejora el s...
- Evitar que tus mails rastreen tus datos personales...
- Cómo configurar la privacidad y seguridad en Signal
- Google demanda a 2 rusos responsables de la botnet...
- Bots se hacen pasar por personal de Twitter para r...
- Importante vulnerabilidad en Grafana: actualizació...
- Descubiertos instaladores KMSPico para activar Win...
- Eltima SDK contiene hasta 27 múltiples vulnerabili...
- Mozilla publica Firefox 95 con mejoras destacadas ...
- Cómo migrar CentOS 8 a Rocky Linux 8, AlmaLinux 8 ...
- Freesync y G-Sync: tecnologías para monitores gami...
- Ansible permite automatizar tareas en distintos se...
- Syncthing es una herramienta gratuita multiplatafo...
- Curiosidades sobre el nuevo CEO de Twitter: 11.000...
- Filtros en Linux: pipes, tuberías: cut, sort, uniq...
- El auge del negocio de los ciberataques de denegac...
- ¿Qué son los (IoC) Indicadores de Compromiso?
- Teléfonos iPhone de empleados del Departamento de ...
- Mejores sistemas de rescate para recuperar fichero...
- Ciberataque denegación de servicio distribuido DDo...
- Hasta 9 routers de marcas muy conocidas acumulan u...
- Plantillas y archivos RTF de phishing contienen ma...
- Nvidia reedita la RTX 2060, ahora con 12 GB de RAM...
- Nueva versión IPFire mejora el rendimiento IPS e i...
- El perro robótico de Xiaomi usa Ubuntu de sistema ...
- WiFi 7 tendrá doble de velocidad (hasta 46 Gbps) y...
- Vulnerabilidad en impresoras HP tras 8 años afecta...
- ► septiembre (Total: 56 )
-
▼
diciembre
(Total:
103
)
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
¿Qué son los (IoC) Indicadores de Compromiso?
Un Indicador de Compromiso (IoC, por sus siglas en inglés) es un dato que surge producto de cierta actividad en nuestro sistema y que nos aporta información sobre el comportamiento, característica o descripción de una amenaza. En este sentido, un IoC funciona como evidencia que nos permite confirmar que nuestro equipo fue comprometido con malware, pero también es información que puede ser utilizada para prevenir futuros ataques. Dicho esto, un indicador de compromiso puede venir dado bajo la forma de un nombre de archivo, el nombre de un proceso en el administrador de tareas, una URL o dirección IP, comportamiento anómalo en el tráfico web, intentos de inicio de sesión fallidos, entre otros tantos más.
Explicamos qué son los Indicadores de Compromiso, cuáles son algunos los tipos de indicadores más comunes y cómo son utilizados como fuente de información para reconocer, detectar y prevenir amenazas.
Un poco de contexto sobre el papel de los IoC en la industria
Para comprender cómo funciona un malware y cuál es su objetivo final, una de las tareas que realizan los investigadores en el campo de la seguridad es el análisis y seguimiento de distintas amenazas que forman parte de campañas activas operadas por un actor malicioso. Estas amenazas pueden ser nuevas o ya conocidas. En caso de ser nuevas, el objetivo será comprender cómo funcionan, y en el caso de que hayan sido reportadas anteriormente, el objetivo será monitorear su evolución y posibles cambios. Para realizar esta tarea se suelen utilizar los indicadores de compromiso.
Los sistemas y soluciones de protección contra amenazas informáticas recopilan constantemente información y muestras de distintas campañas de malware alrededor del mundo. Muchas de estas muestras son conocidas y otras corresponden a archivos sospechosos que son analizados en detalle para averiguar si se trata de una detección falso-positiva o si se trata de malware. En caso de que sea lo último, nos enfocaremos en conocer:
- Qué recursos del sistema utiliza
- Cómo manipula y qué cambia del sistema para poder llevar a cabo sus acciones
- Cuál es la finalidad del malware y sus componentes si los hay
Indicadores de compromiso como evidencia de actividad maliciosa
Dado que el malware necesita realizar varias tareas en un sistema para poder llevar a cabo su objetivo, es raro que esto suceda sin dejar evidencia de su existencia ni indicios que nos ayuden a detectar que hubo o hay actividad sospechosa en el sistema, lo cual indicaría que hemos sido víctimas de una infección. Estos rastros o evidencia que deja una amenaza en el sistema son los indicadores de compromiso. Estos IoC son utilizados por las compañías de seguridad para desarrollar perfiles para que soluciones automatizadas, como puede ser un producto de antimalware, puedan detectar una infección en su etapa más temprana.
Sin embargo, algunas veces todos hemos sido investigadores. ¿Alguna vez te sucedió que tu PC funcionaba de manera extraña y buscaste en el Administrador de Tareas algún proceso con un nombre que te resultara poco familiar o que estuviera consumiendo demasiados recursos y sospechaste que podías ser víctima de malware? ¡Clásico! ¿Alguna vez leíste en un sitio de seguridad información sobre la descripción de una amenaza en la que figuraban archivos con el mismo nombre de ese extraño proceso? ¡Entonces tú también has estado haciendo uso de un IoC para detectar una amenaza en tu sistema.
¿Cómo generamos indicadores de compromiso para nuestros reportes?
Como mencionábamos anteriormente, esto se hace a través de un cuidadoso análisis de la funcionalidad y el comportamiento de la muestra de malware. La muestra en sí es un IOC: una práctica estándar en la industria es generar de cada muestra un identificador único por medio de algoritmos de hashing. Este identificador (hash) es único y no existen dos muestras de malware con diferentes datos y con el mismo identificador.
Los hashes como indicadores de compromiso
Los algoritmos de hashing no son un secreto exclusivo de las empresas de seguridad. Cualquier investigador o usuario con cierto grado de conocimiento puede generar con alguna herramienta un hash a partir de una muestra y utilizarlo para buscar información de la misma en bases de datos o plataformas de análisis online de amenazas, como VirusTotal o similares, que están abiertas al público.
Estos hashes son un recurso extremadamente valioso para la comunidad y para toda la industria. En cada análisis publicado se suele incluir los hashes de las muestras analizadas para el reporte. De esta manera, otras entidades pueden nutrirse de estos indicadores de compromiso para incorporarlos a sus sistemas y realizar sus propias investigaciones, lo cual a menudo aporta nuevos datos sobre una campaña que distribuye algún malware en particular.Esto último forma parte de un proceso de análisis de información que se conoce como Inteligencia de amenazas, en inglés Threat Intelligence. Este cruce y análisis de información es importante para detectar, mitigar, y realizar informes estadísticos de una campaña maliciosa en proceso, lo cual ayuda a la comunidad a mantenerse al tanto de las actividades de un actor malicioso durante un período de tiempo. Además, provee de información actualizada a los esfuerzos que se llevan adelante para detener a estas organizaciones y bandas criminales.
Por ejemplo ESET mantiene un repositorio en GitHub con IOCs correspondientes a diferentes campañas de malware que se desprenden de nuestras investigaciones.
Es importante mencionar que en una misma campaña de malware pueden detectarse docenas, cientos y hasta miles de variaciones del mismo malware. Por ejemplo, la variación más común es la adición de una nueva dirección para comunicarse con el servidor C&C, lo que produce un cambio en el hash resultante de la muestra. Por esto es que resulta tan importante y se recomienda siempre al usuario mantener sus soluciones antimalware actualizadas, y en completo funcionamiento.
Tráfico de datos y direcciones IP como indicadores de compromiso
No es inusual que la actividad maliciosa se detecte en alguna red por medio del monitoreo de tráfico y sistemas de detección de intrusos. En algunos casos se encienden las alarmas de estos sistemas cuando hay un importante tráfico de datos hacia afuera de la red, ya sea a servidores externos o pertenecientes a la organización. También puede suceder que esto ocurra entre equipos conectados en una red local. Este extraño movimiento de datos junto con el acceso a páginas web inusuales, también son posibles indicadores de compromiso.
Por otra parte, cuando analizamos un malware queremos saber cuál es la dirección IP del servidor de Comando y Control (C&C) con el que se comunica. Estos servidores son utilizados por los atacantes para distintos fines. Por ejemplo: para enviar comandos a un equipo comprometido y de esta manera controlar el malware de forma remota; para recibir informes detallados de los sistemas infectados; para exfiltrar información útil del equipo o sistema comprometido (incluyendo contraseñas, documentos con información sensible, etc), o incluso para descargar otra amenaza en el sistema comprometido (como suele hacer el troyano Emotet).
Por eso es muy importante encontrar las respectivas direcciones IP de estos servidores. Las mismas son luego agregadas a listas negras de bases de datos de sitios para que sistemas automatizados detecten un posible intento de conexión a estos sitios y nos alerten. Por lo tanto, estas direcciones también forman parte de indicadores de compromiso.
Indicadores de compromiso a partir de cambios en el Registro de Windows
Otra tarea del análisis de malware es comprender qué cambios realiza el código malicioso en el sistema y de qué forma lo manipula. Un ejemplo de los cambios que puede provocar el malware es la manipulación del Registro de Windows. Este registro es una base de datos que contiene valores de configuración para el funcionamiento del sistema, así también como los programas que lo componen y los software instalados por el usuario. Windows posee una herramienta para explorar el registro, llamada “Editor del Registro”, también conocido por su nombre de archivo: regedit.exe.
Muchos programas maliciosos crean entradas en el registro para almacenar su propia configuración, así como también componentes enteros para evitar guardarlos en el sistema de archivos, ya que puede ser fácilmente explorado por el usuario (por ejemplo: en C:\Windows). Algunas entradas del registro poseen un valor estratégico importante para el malware, ya que necesita persistir una vez que el equipo es apagado o reiniciado, pero también necesita poder iniciarse con el sistema para continuar con su actividad. A este tipo de entradas les llamamos “AutoRuns”, y allí es donde casi siempre podemos hallar la presencia de malware y de un indicador que nos confirme que nuestro sistema ha sido comprometido.
Otros tipos de indicadores de compromiso
Existen muchos otros tipos de IoC que se pueden reconocer, aunque algunos requieren un poco más de especialización por parte del usuario o una buena intuición, así como también del uso de algunas herramientas, pero no por eso podemos dejar de mencionar los más comunes:
- Trafico de red inusual hacia páginas web desconocidas, movimiento de grandes volúmenes de datos hacia páginas web, servidores externos, o entre equipos en la misma red.
- Cambios en la configuración del sistema, nuevas entradas en el registro que condicen con alguna actividad de actualización o instalación de programas legítimos.
- Intentos de acceso a equipos en la misma red, sobre todo con intentos fallidos.
- Archivos sospechosos no reconocidos en ejecución o en el disco o archivos de gran tamaño en lugares poco comunes.
- Actividad inusual que incrementa acceso al disco en algún/os procesos.
- Actividad sospechosa de la cuenta de administrador o de otros usuarios con privilegios, así como también cuentas no reconocidas o inicios de sesión sospechosos.
Recomendaciones de Seguridad
No existe un IoC infalible para detectar una amenaza, algunas veces por simple intuición o pericia somos capaces de observar que hay algo fuera de lugar ocurriendo en nuestros sistemas. Pero siempre debemos recordar que la primera línea de defensa somos nosotros: debemos prevenir este tipo de ataques tomando los recaudos necesarios, instalando, configurando y manteniendo actualizada la solución de seguridad que tengamos instalada. También tomando precaución necesaria a la hora de abrir, leer y responder correos de desconocidos que prometen algo demasiado bueno para ser cierto. Lo mejor que podemos hacer con estos correos es marcarlos como spam y eliminarlos.
Fuentes:
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.