Llegamos a ustedes gracias a:



Noticias

Investigadores encuentran forma de descubrir ataques no basados en espacio de disco duro

[24/07/2009] Existen determinados ataques que no dejan rastro alguno sobre los discos duros de las computadoras, pero que ahora pueden ser descubiertos utilizando una nueva herramienta de la que se realizarán demostraciones en la conferencia Black Hat, que se celebrará la próxima semana en Las Vegas.

Los investigadores de Mandiant presentarán una manera de descubrir aquellas actividades maliciosas que puedan haber sido realizadas por los atacantes corriendo solo en la memoria de los sistemas, y que, en consecuencia, evaden los métodos forenses basados en al análisis de discos tradicionales.
En concreto, la herramienta forense basada en memoria que presentarán los investigadores de Mandiant, permite encontrar los rastros dejados en la memoria por aquellas actividades que puedan haber sido realizadas mediante Meterpreter, un módulo software para el sistema de código abierto de pruebas sobre penetración Metasploit.
Meterpreter puede ser inyectado en un proceso legítimo que se esté corriendo sobre la computadora de la víctima, y así evitar los sistemas de detección basados en software host IDS/IPS. Meterprefer puede ser después utilizado como plataforma para realizar ataques posteriores, según han explicado los investigadores de Mandiant.
Este escenario de ataque resulta efectivo para conseguir acceso a los procesos clave que se estén corriendo sobre la máquina de las víctimas, según explica, Steve Davis, uno de los investigadores. Es un gran método para lograr este fin, y resulta difícil de detectar en el sistema. A través de Meterprefer, los atacantes pueden registrar las pulsaciones del usuario sobre el teclado, procesos finales, cargar y descargar archivos y otros medios de comprometer los equipos.
 
Usando una versión adaptada del software comercial Memoryze de Mandiant, los investigadores señalan que pueden analizar los archivos Virtual Address Descriptor en Windows. La herramienta busca la estructura de paquete de los protocolos que Meterpreter usa para conversar con su servidor. En base a estos fragmentos recuperados de comunicación, los analistas pueden inferir qué ataque ocurrió. Por ejemplo, los restos de hashes podrían indicar que se comprometieron las contraseñas, indicaron.
Describimos en detalles la forma en que Meterpreter opera en la memoria y específicamente la forma en que la memoria se ve cuando los scripts/comandos de Meterpreter son ejecutados y el residuo que estos scripts crean en el espacio de memoria de los procesos explotados, dijeron los investigadores en el resumen de su exposición.
Debido a que los datos son volátiles, la herramienta no puede recuperar el 100% de la actividad de Meterpreter, pero es una prueba de concepto que posiblemente pueda ser refinada, afirman Silberman y Davis. Ellos esperan que otros investigadores se unan para ayudar a desarrollar más herramientas para ayudar en las actividades forenses en la memoria.
Los ataques tradicionales insertan procesos maliciosos en los discos de las computadoras, haciéndolas sujeto de actividades forenses tradicionales en los discos, pero aquellos métodos tradicionales no revelan los ataques que evitan usar el espacio de disco.
Silberman y Davis señalan que no conocen ninguna herramienta similar a la que planean demostrar.
Tim Greene, Network World (US)