| Noticias | 24 JUL 2009

Investigadores de Mandiant encuentran la forma de descubrir ataques no basados en espacio de disco duro

Existen determinados ataques que no dejan rastro alguno sobre los discos duros de los ordenadores, pero que ahora pueden ser descubiertos utilizando una nueva herramienta de la que se realizarán demostraciones en la conferencia Black Hat, que se celebrará la próxima semana en Las Vegas.
Marta Cabanillas
Los investigadores de Mandiant presentarán una manera de descubrir aquellas actividades maliciosas que puedan haber sido realizadas por los atacantes corriendo sólo en la memoria de los sistemas, y que, en consecuencia, evaden los métodos forenses basados en al análisis de discos tradicionales.
En concreto, la herramienta forense basada en memoria que presentarán los investigadores de Mandiant permite encontrar los rastros dejados en la memoria por aquellas actividades que puedan haber sido realizadas mediante Meterpreter, un módulo software para el sistema de código abierto de pruebas sobre penetración Metasploit.
Meterpreter puede ser inyectado en un proceso legítimo que se esté corriendo sobre el ordenador de la víctima y así evitar los sistemas de detección basados en software host IDS/IPS. Meterprefer puede ser después utilizados como plataforma para realizar ataques posteriores, según han explicado los investigadores de Mandiant.
Este escenario de ataque resulta efectivo para conseguir acceso a los procesos clave que se estén corriendo sobre la máquina de las víctimas, según explica, Steve Davis, uno de los investigadores. “Es un gran método para lograr este fin, y resulta difícil de detectar en el sistema”. A través de Meterprefer, los atacantes pueden registrar las pulsaciones del usuario sobre el teclado, procesos finales, cargar y descargar archivos y otros medios de comprometer los equipos.
Sistema basado en Memoryze
En este contexto, Mandiant ha utilizado una versión de su software forense comercial basado en memoria Memoryze para analizar los archivos Virtual Address Descriptor en Windows. La herramienta estudia la estructura de paquete que utiliza Meterpreter para comunicarse con su servidor. Basándose en los fragmentos de comunicación recuperados, los analistas pueden inferir qué ataques se han producido.
Dada la naturaleza volátil de los datos, la herramienta no puede recuperar el 100% de la actividad de Meterprefer, pero representa una prueba de concepto que podría ir mejorando con el futuro, según Mandiant.
La utilidad particular de la nueva herramienta reside en que los ataques tradicionales insertan procesos maliciosos sobre los discos de los ordenadores, siendo detectables por los sistemas forenses tradicionales, que funcionan analizando el disco, pero estos sistemas no revelan los ataques diseñados para evitar el uso de espacio de disco.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información