IDG.es
Información y recursos para el responsable de seguridad

CSO España - Noticias, artículos y vídeos para el responsable de seguridad

Nueva herramienta para reconstruir los ataques que no dejan rastro en los discos duros



Existen determinados ataques que no dejan rastro alguno sobre los discos duros de los ordenadores, pero que ahora pueden ser descubiertos utilizando una nueva herramienta de la que se realizarán demostraciones en la conferencia Black Hat, que se celebrará la próxima semana en Las Vegas.

Los investigadores de Mandiant presentarán una manera de descubrir aquellas actividades maliciosas que puedan haber sido realizadas por los atacantes corriendo sólo en la memoria de los sistemas, y que, en consecuencia, evaden los métodos forenses basados en al análisis de discos tradicionales.

En concreto, la herramienta forense basada en memoria que presentarán los investigadores de Mandiant permite encontrar los rastros dejados en la memoria por aquellas actividades que puedan haber sido realizadas mediante Meterpreter, un módulo software para el sistema de código abierto de pruebas sobre penetración Metasploit.

Meterpreter puede ser inyectado en un proceso legítimo que se esté corriendo sobre el ordenador de la víctima y así evitar los sistemas de detección basados en software host IDS/IPS. Meterprefer puede ser después utilizados como plataforma para realizar ataques posteriores, según han explicado los investigadores de Mandiant.

Este escenario de ataque resulta efectivo para conseguir acceso a los procesos clave que se estén corriendo sobre la máquina de las víctimas, según explica, Steve Davis, uno de los investigadores. “Es un gran método para lograr este fin, y resulta difícil de detectar en el sistema”. A través de Meterprefer, los atacantes pueden registrar las pulsaciones del usuario sobre el teclado, procesos finales, cargar y descargar archivos y otros medios de comprometer los equipos.

Sistema basado en Memoryze

En este contexto, Mandiant ha utilizado una versión de su software forense comercial basado en memoria Memoryze para analizar los archivos Virtual Address Descriptor en Windows. La herramienta estudia la estructura de paquete que utiliza Meterpreter para comunicarse con su servidor. Basándose en los fragmentos de comunicación recuperados, los analistas pueden inferir qué ataques se han producido.

Dada la naturaleza volátil de los datos, la herramienta no puede recuperar el 100% de la actividad de Meterprefer, pero representa una prueba de concepto que podría ir mejorando con el futuro, según Mandiant.

La utilidad particular de la nueva herramienta reside en que los ataques tradicionales insertan procesos maliciosos sobre los discos de los ordenadores, siendo detectables por los sistemas forenses tradicionales, que funcionan analizando el disco, pero estos sistemas no revelan los ataques diseñados para evitar el uso de espacio de disco.
Autor: Marta Cabanillas
Fecha: 24/07/2009
Votos: 3
| Más
IDG.es

Hoy en IDG.es

©2010 IDG COMMUNICATIONS, S. A. U. Prohibida la reproducción total o parcial en cualquier medio (escrito o electrónico) sin autorización expresa por escrito de la editorial. En particular, IDG COMMUNICATIONS, S.A.U., se opone de manera expresa, salvo consentimiento por escrito, a la reproducción, recopilación, distribución, comunicación pública o puesta a disposición por parte de terceros de los contenidos publicados en los medios de su titularidad (ya se editen éstos en papel, a través de Internet o cualquier otro soporte), de conformidad con lo establecido en el artículo 32 de la Ley 23/2006, de 7 de julio, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril. En caso de estar interesado en una autorización para reproducir, distribuir, comunicar, almacenar o utilizar en cualquier forma los contenidos titularidad de IDG COMMUNICATIONS, S.A.U. debe dirigir su petición a la siguiente dirección de correo electrónico : idg_nt@idg.es
AdtechOJDidg.es