Log in
logo

COUNTERING CYBER THREATS

barra-separadora

 


 10 DE DICIEMBRE 2013

TALLER 1. Destripando un troyano con objetivo "El IOC" (Plazas limitadas)*

Rafael Estevan. Incita Security

Lugar de celebración: Sala del Consejo

    16:00 - 18:00 h.    

Contenido

  • Análisis forense básico de un malware en un entorno controlado.
    • Análisis mediante herramientas de forense básicas (Iceword, Procexp, sigcheck) de una máquina infectada por un virus troyano
    • Análisis de la máquina con el componente de análisis de RedLine
  • Creación de IOC de manera manual
    • Creación de IOC mediante XML de configuración
      • Explicación de parametros
      • Explicación de herramienta IOC Editor
  • Creación automatizada de IOC mediante RedLine Mandiant.
    • Análisis del comportamiento del troyano dentro de la herramienta de RedLine
    • Definición de indicadores y riesgo a partir de los datos recogidos con el agente de Mandiant

 

TALLER 2. Análisis forense: ejemplos prácticos para responder ante incidentes en su organización (Plazas limitadas)*

Juan Antonio Calles. Flu Proyect

Lugar de celebración: Sala de Audiovisuales

 16:00 - 18:00 h.                                               

Resumen

A lo largo del presente taller se explicarán los aspectos clave sobre cómo actuar tras recibir un aviso, como pueda ser la sonda del SAT del CCN-CERT, de una posible intrusión en los sistemas de información de una organización. Se hará especial hincapié en los últimos dispositivos incorporados a las administraciones públicas y empresas, los móviles y tabletas.
En el taller se brindarán también las claves para realizar un análisis forense digital a PCs, servidores y dispositivos móviles, conservando las evidencias y la cadena de custodia.

Contenido

  • Evidencia digital
  • Introducción
  • Firmado de evidencias
  • Metodología para la adquisición de evidencias
  • La obtención de evidencias
  • Análisis de datos
  • Tratamiento de evidencias
  • El principio de Locard
  • La línea temporal
  • Forense de aplicativos: Windows y Linux
  • Buscando información a través de aplicaciones forense
  • Forense en redes de datos
  • Forense de memoria RAM
  • Análisis de malware
  • Forense de dispositivos móviles: iOS, Android y Blackberry
  • Preservación de evidencias
  • Obtención de información del dispositivo
  • Obtención de datos de la tarjeta SD
  • Volcado de memoria RAM
  • Adquisición de imagen física de la memoria interna
  • Live Forensics

 

TALLER 3. Desconectando el malware ¿Es posible trabajar en una red aislada?

Miguel Ángel Martín y Manuel Sanz. AUTEK

Lugar de celebración: Auditorio FNMT

   16:00 - 18:00 h.                             

Resumen

¿Por qué puede ser necesario aislar una red? ¿Cómo puede el aislamiento detener un APT? ¿Por qué que nadie aísla sus redes? ¿Cuáles son los errores más comunes al hacerlo? ¿Cuáles son los efectos colaterales?
El taller contesta de manera práctica a las preguntas que surgen a la hora de utilizar el aislamiento de redes como medida eficaz contra el malware moderno.

Se realizará una demostración de los obstáculos con los que se encuentra un APT en una red aislada y se presentarán algunas herramientas para que trabajar en una red aislada sea posible en muchos escenarios reales.

Contenido

  • ¿A qué llamamos red aislada?
    • Imposibilidad de establecimiento de conexiones entre las redes
    • Intercambio controlado de información con otras redes
      • Limitación y supervisión de los flujos
      • Exigencia de autorización en la salida
      • Registro de todos los datos intercambiados
  • Red aislada: barreras frente a un APT
    • Dificultades de entrada
    • Imposibilidad de C&C remoto
    • Imposibilidad de exfiltración de información
  • Red aislada: mejorando la usabilidad
    • Automatización de la entrada de información
    • Soporte de flujos estándar
    • Mecanismos de autorización
  • Conclusiones

(*) MUY IMPORTANTE: El personal perteneciente a alguna de las organizaciones que están adheridas a los Sistemas de Alerta Temprana del CCN-CERT (Internet o SARA) tiene prioridad para cursar estos talleres. Por este motivo, y dada la escasez de plazas, se ruega que en caso de causar baja, se comunique a la organización para dar cabida a otros solicitantes. Estos talleres pueden requerir del empleo de material del alumno (se comunicarán las necesidades) y requerimientos en el momento de confirmación de la plaza

Platinum


S2

 

Gold

incitasecurity

 

Silver

 

 
Go back

Esta web utiliza cookies, puedes ver nuestra política de cookies Si continuas navegando estás aceptándola Modificar configuración