Contenido

• Análisis forense básico de un malware en un entorno controlado.
  • Análisis mediante herramientas de forense básicas (Iceword, Procexp, sigcheck) de una máquina infectada por un virus troyano
  • Análisis de la máquina con el componente de análisis de RedLine
• Creación de IOC de manera manual
  • Creación de IOC mediante XML de configuración
    • Explicación de parametros
    • Explicación de herramienta IOC Editor
• Creación automatizada de IOC mediante RedLine Mandiant.
  • Análisis del comportamiento del troyano dentro de la herramienta de RedLine
  • Definición de indicadores y riesgo a partir de los datos recogidos con el agente de Mandiant

Resumen

A lo largo del presente taller se explicarán los aspectos clave sobre cómo actuar tras recibir un aviso, como pueda ser la sonda del SAT del CCN-CERT, de una posible intrusión en los sistemas de información de una organización. Se hará especial hincapié en los últimos dispositivos incorporados a las administraciones públicas y empresas, los móviles y tabletas.
En el taller se brindarán también las claves para realizar un análisis forense digital a PCs, servidores y dispositivos móviles, conservando las evidencias y la cadena de custodia.

Contenido

• Evidencia digital
• Introducción
• Firmado de evidencias
• Metodología para la adquisición de evidencias
• La obtención de evidencias
• Análisis de datos
• Tratamiento de evidencias
• El principio de Locard
• La línea temporal
• Forense de aplicativos: Windows y Linux
• Buscando información a través de aplicaciones forense
• Forense en redes de datos
• Forense de memoria RAM
• Análisis de malware
• Forense de dispositivos móviles: iOS, Android y Blackberry
• Preservación de evidencias
• Obtención de información del dispositivo
• Obtención de datos de la tarjeta SD
• Volcado de memoria RAM
• Adquisición de imagen física de la memoria interna
• Live Forensics

Resumen

¿Por qué puede ser necesario aislar una red? ¿Cómo puede el aislamiento detener un APT? ¿Por qué que nadie aísla sus redes? ¿Cuáles son los errores más comunes al hacerlo? ¿Cuáles son los efectos colaterales?
El taller contesta de manera práctica a las preguntas que surgen a la hora de utilizar el aislamiento de redes como medida eficaz contra el malware moderno.

Se realizará una demostración de los obstáculos con los que se encuentra un APT en una red aislada y se presentarán algunas herramientas para que trabajar en una red aislada sea posible en muchos escenarios reales.

Contenido

• ¿A qué llamamos red aislada?
  • Imposibilidad de establecimiento de conexiones entre las redes
  • Intercambio controlado de información con otras redes
    • Limitación y supervisión de los flujos
    • Exigencia de autorización en la salida
    • Registro de todos los datos intercambiados
• Red aislada: barreras frente a un APT
  • Dificultades de entrada
  • Imposibilidad de C&C remoto
  • Imposibilidad de exfiltración de información
• Red aislada: mejorando la usabilidad
  • Automatización de la entrada de información
  • Soporte de flujos estándar
  • Mecanismos de autorización
• Conclusiones