El 14 de septiembre de 2017, publicamos una versión revisada de nuestra Política de privacidad. Tu uso continuado de video2brain.com significa que aceptas este documento revisado, por lo que te recomendamos que dediques unos minutos a leerlo y comprenderlo.

Fundamentos de la ciberseguridad para profesionales IT

Ocultar malware mediante cloaking

Prueba ahora LinkedIn Learning sin cargo y sin compromiso.

Prueba gratis Mostrar modalidades de suscripción
El cloaking o encubrimiento consiste en camuflar información o comunicaciones de forma que no destaque, normalmente para poder robar información o para que un atacante gestione el malware que despliega sin ser descubierto.

Transcripción

El Cloaking o encubrimiento, consiste en ocultar información donde no deberíamos tenerla. Por ejemplo, un atacante que mediante malware genera archivos con información de la computadora de su víctima para después descargarlos, tiene que guardar esa información fuera de la vista del usuario legítimo. Un método muy sencillo, pero funcional para sistemas que no están debidamente protegidos, es utilizar los recursos del propio sistema operativo, como hace Windows con el historial de navegación del Internet Explorer. Estamos en Windows 10 para ver cómo se oculta la información de forma nativa. En un intérprete de comandos accedemos a la información local de datos de aplicaciones. Si mostramos los directorios incluidos no vemos nada relativo a historiales. Sin embargo, si le decimos que nos muestre la información oculta y los enlaces, aparece Historial, dentro de la carpeta Microsoft/Windows/History. Si hacemos dir en esta carpeta vemos el archivo Desktop.ini que podemos mostrar en pantalla. El archivo Desktop.ini tiene una línea encabezada por CLSID que evita que el directorio se indexe al hacer búsquedas. El CLSID es una clave dada a un directorio que permite a Windows identificarlo sin conocer el nombre exacto, mediante una entrada en el registro de Windows. Algo así como si fuese un nombre de dominio. Basándose en este nombre y en unos atributos, sabe que no debe mostrar el directorio. La línea encabezada por UICLSID impide que el explorador de archivos de Windows muestre el directorio. Esta es la forma en la que Windows aprovecha sus propios recursos para ocultar directorios, y durante mucho tiempo, ha sido emulada por malware haciendo que algunos directorios pareciesen carpetas del sistema, básicamente identificándolas como tales en el registro de Windows, y, por lo tanto, haciendo que estuviesen ocultas e incluso fuesen ignoradas por muchas herramientas de antivirus. Otra cosa que un atacante tiene que ocultar son los flujos de información a través de la red, es decir, camuflar la comunicación entre el malware y el centro de control, sería equivalente a establecer una VPN pero mediante subterfugios. Un interesante ejemplo, es el publicado recientemente sobre el DNSMessenger backdoor/RAT investigado por Talos Intelligence. Este RAT o troyano de acceso remoto, utilizaba solicitudes DNS para comunicarse con el centro de control. Estamos hablando de un RAT que se instalaba en la máquina tras una explotación mediante PowerShell proveniente de un archivo Word con macros maliciosas. Una vez el malware se hacía persistente enviaba y recibía mensajes del centro de control mediante mensajes TXT dentro de las solicitudes DNS. Este tipo de cloaking es posible porque raramente se restringe el tráfico DNS dentro de las organizaciones. Una forma de solventar este problema sería forzar que este tipo de solicitudes se cursasen a través de un servidor de nombres de dominio interno y que solo este pudiese hacer consultas a servidores externos, es decir, que el firewall bloquee toda información DNS saliente que no provenga del servidor DNS corporativo, aparte de eso, se pueden implementar sistemas de alerta como IDS que detecten un exceso de solicitudes DNS. Este que hemos visto, DNSMessenger es solo un ejemplo concreto, ya que según investigaciones de Cisco Talos, hasta un 90 %del malware, utiliza de algún modo el protocolo DNS para procesos posteriores a la infección.

Fundamentos de la ciberseguridad para profesionales IT

Descubre distintos métodos de evaluación de riesgos y de gestión de incidentes basados en frameworks o marcos de trabajo preestablecidos de alto reconocimiento a nivel mundial.

2:58 horas (27 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Formadores:
Fecha de publicación:29/08/2017
Duración:2:58 horas (27 Videos)

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.