EF481 - Eurofach Electrónica

INVESTIGACIÓN 45 todos los sitios Web se basan en CMS y facilitan ciertos cambios en los contenidos del sitio sin comple- jidad. El CMS sirve como plataforma para soportar la creación de ficheros integrados, permite la navegación ininterrumpida, protege de ciertos ciber-ataques, etc.), etc. Los DGAs (Domain Generation Algorithms) son algoritmos utilizados para crear un elevadísimo número de nombres de dominio pseudo-aleatorios para ocultar servidores C&C (Command and Control) para el malware y eva- dir la detección. Como defensa se están utilizando RNNs (Recurrent Neural Networks) para identificar nombres de dominio de malware generados por DGAs. • Conectarse aWi-Fi públicas. Como contramedida utilizar tecnología VPN con proxies de anonimato. • Phishing. Utiliza la ingeniería social para engañar al usuario y obligar que haga cosas inconcebibles. Permite infectar una red con gusa- nos e infectar dispositivos finales para capturar información sensible del personal engañado utilizando técnicas de ingeniería social, al que se le dice abra un fichero, haga clic en un link embebido en un mensaje (de correo electrónico, de mensa- jería instantánea o de un post de medios sociales). El spear-phishing (es un phishing dirigido) está más orientado a un cierto grupo de empleados (con nombres y apellidos investigados por Internet), es más convincente y el éxito de infección es mayor. Podemos protegernos contra el phishing bloqueando comunicaciones sospechosas con filtros de spam utilizando políticas adecuadas y educando a los usua- rios/empleados. Como regla de oro, confirmar en persona o por teléfono si el mensaje recibido procede de la persona que dice ser. • Watering holes. Se trata de infectar un sitio-página Web o recurso com- partido utilizado por los empleados de una organización, inyectando malware en páginas Web de la red de la organización (home-page o sis- tema de time-tracking) para infectar los dispositivos de computación de los empleados cuando utilizan el sis- tema. Algunos anuncios embebidos en páginas YouTube han dirigido a direcciones secuestradas que contienen malware. Como defensa utilizar servidores modernos con antimalware profesional y con las actualizaciones y parches necesa- rios, realizar monitorización de los sistemas y observar modificaciones sospechosas de cualquier de los recursos que contienen o acceden • Malvertising . Gran parte de Internet se basa en los anuncios-publicidad que proporcionan ingresos amuchos sitios Web. El malvertising consiste en inyectar ciertas características a los anuncios en forma de scripts activos, contenido interactivo, embebiendo malware en los anuncios incluso de sitios Web con reputación, infectando a los usuarios utilizando un kit de exploit procedente incluso de pági- nas inocuas. Como defensa utilizar bloqueadores de scripts, filtros de anuncios, uso de whitelisting de sitios Web a través de firewall que impida el acceso a páginas no confiables, ADBLockers, etc. CIBER-FORENSIA MALWARE. PROCESO DE RESPUESTA A LOS CIBER-INCIDENTES MALWARE La ciber-forensiamalware es un tipo de ciber-forensia centrado en el malware cuyo proceso consta de cinco etapas: examen del malware (si se puede), iden- tificación del malware (si se puede), inutilizarlo/inactivarlo con métodos específicos, extracción del malware y deducir el conjunto de funciones maliciosas que integra. Este proceso presenta diversos desafíos como la no detectabilidad ya que el malware se suele proteger con mecanismos anti-ciberforenses, estrategias de engaño-deception-desinformación del malware y la reconstrucción del ciber- evento. Algunas herramientas para la ciberforensia malware son Fordroid, Famous, etc. El ciclo de vida o pro- ceso de la respuesta a ciber-incidentes malware (según el NIST SP 800-61) consta de cuatro fases: • Preparación anticipada. Se realizan las actividades preparatorias como desarrollar procedimientos de ges- tión del ciber-incidente malware y los programas de formación para los equipos de respuesta. También implica utilizar políticas (antimalware globales de anticipación), actividades de concienciación (que dejen huella), mitigaciónde vulnerabilidades y herra- mientas antimalwaremulti-nivel para reducir el número de ciber-incidentes malware. Apesar de todas estasmedi- das persistirá un cierto ciber-riesgo residual de infección. • Detección y análisis. La detección de infecciones es necesaria para alertar a las organizaciones siempre que ocurran ciber-incidentes malware (actualmente es una utopía debido a la elevada sofisticación del malware existente). La detección anticipada o temprana es vital, clave y funda- mental para aumentar la resiliencia frente a otras posibles infecciones malware paralelas y posteriores. Además, ayuda a reducir el número de dispositivos infectados (extensión) y a la naturaleza y profundidad de los daños. • Contención, erradicación y recu- peración. Para cada ciber-incidente malware se debe actuar adecuada- mente en base a la severidad del ciber-incidentemalware paramitigar sus impactos conteniéndolo (ais- lándolo, confinándolo, acotándolo,