Ciberseguridad, hacia una respuesta y disuasión efectivas
Transcript of Ciberseguridad, hacia una respuesta y disuasión efectivas
![Page 1: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/1.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT Ciberseguridad,
hacia una respuesta y disuasión efectivas
Agujas, pajares e imanes
Análisis forense de incidentes con malware fileless
![Page 2: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/2.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es www.ccn-cert.cni.es #XIIJornadasCCNCERT
Antonio Sanz
Analista de seguridad / S2 Grupo
asanz@s2grupo / @antoniosanzalc
![Page 3: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/3.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
!!!Advertencia!!!
Hay malware entre las evidencias
Está MUY desactivado
… pero no te fíes de NADIE
Consejo: Haz este taller desde una máquina virtual
![Page 4: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/4.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Evidencias para el taller
https://loreto.ccn-cert.cni.es/index.php/s/DG4oEF8jKihi94k
![Page 5: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/5.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Captura de evidencias en incidentes complejos: https://vanesa.ccn-cert.cni.es/userportal/#/player/vod/Ud1b1cb038d3f4d59a2642abd9ed
0d890
![Page 6: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/6.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Caso práctico: Análisis forense paso a paso
#XIIJornadasCCNCERT www.ccn-cert.cni.es
1.
![Page 7: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/7.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Un día cualquiera en un ministerio cualquiera …
MINAF: Ministerio de la Alegría y la Felicidad
![Page 8: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/8.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Detección del incidente
María Feliz, Subdirectora General de Festejos del MINAF
Se queja de que su correo hace “cosas raras”
Análisis inicial: acceso desde IP desconocidas a su webmail
![Page 9: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/9.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Detección del incidente
Se detectan accesos a otras cuentas de altos cargos
Paciente cero: Pepe Contento (Subdirector General Adjunto de Alborozo del MINAF)
Se solicita un análisis forense de su equipo. Se obtiene consentimiento del usuario para examen completo
![Page 10: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/10.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Timeline del incidente 3/Nov 11h: Acceso a la
cuenta de Pepe Contento
3/Nov 11 a 16h : Acceso a otras 7 cuentas de correo
3/Nov 16h: Detección del incidente
![Page 11: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/11.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Timeline: inicio de los eventos sospechosos
Primer acceso al correo: alrededor de las 11:00h
Usar siempre horas UTC
España = UTC+1 (en verano UTC+2)
![Page 12: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/12.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Adquisición de evidencias
Volcado de RAM: winpmem
Datos de triage: CYLR
Clonado del disco: DEFT LiveCD + dc3dd
![Page 13: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/13.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Entorno sintético en la nube
!USB Disco añadido a VM
Jump the shark with me
![Page 14: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/14.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Se documenta la adquisición
![Page 15: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/15.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Se verifican los hashes
![Page 16: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/16.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 1: Prefetch
Precompilación de apps de Windows
Objetivo: carga más rápida de las apps
Windows XP+ (no aplica en servidores o en SSD)
Análisis: Ver qué se ha ejecutado en un sistema
Tool: WinPrefetchView
![Page 17: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/17.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 1: Prefetch
![Page 18: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/18.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 1: Prefetch
![Page 19: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/19.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 1: Prefetch
![Page 20: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/20.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 1: Prefetch
![Page 21: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/21.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 1: Prefetch
Se ha ejecutado una instancia de wscript.exe
Se ha ejecutado el script felicidad.js desde IE
Outlook.exe aparece muy cercano temporalmente
![Page 22: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/22.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
IOC IOC: Presencia del fichero felicidad.js en un
equipo de usuario
Detección: Script que liste los ficheros del usuario y busque el fichero
Truco: Desplegar script vía GPO, volcar resultados a una unidad compartida
![Page 23: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/23.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 2: Historial de navegación web
Guardado en el perfil de cada usuario
Muestra navegación, búsquedas, caché
IE10+ WebCache
Webcache = ESE Database
Tool: ESEDatabaseView.exe
![Page 24: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/24.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 2 : Historial web
![Page 25: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/25.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 2 : Historial web
![Page 26: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/26.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 2 : Historial web
![Page 27: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/27.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 2 : Historial de navegación web
Acceso web a sharepoint.mina.es
MINA != MINAF
Dominio antiguo de la Organización recomprado por los atacantes
![Page 28: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/28.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
IOC IOC: Conexión a la web sharepoint.mina.es
Detección: Logs del proxy/cortafuegos
Truco: Buscar en TODOS los logs disponibles, buscar en los historiales
![Page 29: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/29.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 3: Logs de eventos
Registro de la actividad del sistema
Seguridad, Sistema, Aplicación + extras
Formato .evtx (binario)
EventID: identificador de evento
Tool: Visor de eventos de Windows
![Page 30: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/30.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 3 : Logs de eventos
![Page 31: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/31.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 3 : Logs de eventos
![Page 32: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/32.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 3 : Logs de eventos
Un administrador de dominio ha iniciado sesión en el equipo
Se ha iniciado un servicio extraño en el sistema
![Page 33: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/33.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 4: Persistencia
Persistencia: permanencia en el sistema
Objetivo: sobrevivir a un apagado
Habitual: sistema (HKLM) / usuario (HKCU)
Claves Run, Services, WMI, tareas programadas
Encontrar la persistencia = pillar el malware
![Page 34: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/34.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 4 : Persistencia
![Page 35: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/35.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 4 : Persistencia
![Page 36: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/36.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 4 : Persistencia
![Page 37: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/37.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 4 : Persistencia
![Page 38: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/38.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 4 : Persistencia
![Page 39: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/39.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 4: Persistencia
Persistencia en espacio de usuario
Clave en HKCU que llama a un Powershell
Script codificado en base64
![Page 40: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/40.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
IOC IOC: Existencia de la clave de registro
FeliciSoft + HappySoft
Detección: Script que busque la clave
Truco: Desplegar script vía GPO, volcar resultados a una unidad compartida
![Page 41: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/41.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 5: Análisis del malware
Decodificar el código base64
Objetivo 1: identificar el malware
Objetivo 2: extraer dominios o IP de comando y control (C2)
![Page 42: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/42.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Subimos a MARIA el malware sin decodificar
![Page 43: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/43.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Decodificamos el base64
Paso 5: Análisis del malware
![Page 44: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/44.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Powershell anidado (varias capas de ofuscación)
Paso 5: Análisis del malware
![Page 45: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/45.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Se puede usar Powershell para superar la ofuscación:
Paso 5: Análisis del malware
![Page 46: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/46.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Tercer nivel de ofuscación (matrioska code)
Paso 5: Análisis del malware
![Page 47: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/47.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
La decodificación en base64 genera un shellcode que puede ser analizado con scdbg.exe
Paso 5: Análisis del malware
![Page 48: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/48.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
… ! y conseguimos su C2 !
Paso 5: Análisis del malware
![Page 49: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/49.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Subimos a MARIA el malware decodificado
![Page 50: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/50.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 5: Análisis del malware
Se ha decodificado el malware
Varios niveles de ofuscación
IP del C2: 100.99.98.97:443
![Page 51: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/51.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
IOC IOC: 100.99.98.97, puerto 443
Detección: Logs del proxy/cortafuegos
Truco: Buscar en TODOS los logs disponibles, buscar en los historiales
![Page 52: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/52.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 6: Memoria RAM
Análisis con Volatility (Rekall es otra opción)
TODO está en la memoria
Conexiones, registro, ficheros, eventos…
(casi) Se podría resolver el incidente con la RAM
![Page 53: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/53.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Analizamos las conexiones de red con netscan:
Paso 6: Memoria RAM
![Page 54: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/54.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Analizamos las conexiones de red con netscan:
Paso 6: Memoria RAM
![Page 55: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/55.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Analizamos los procesos activos con pstree:
Paso 6: Memoria RAM
![Page 56: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/56.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Analizamos los procesos activos con pstree:
Paso 6: Memoria RAM
![Page 57: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/57.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Analizamos los privilegios con privs
Paso 6: Memoria RAM
![Page 58: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/58.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Analizamos los privilegios con privs
Paso 6: Memoria RAM
![Page 59: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/59.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Buscamos malware con malfind:
Paso 6: Memoria RAM
![Page 60: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/60.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Buscamos malware con malfind:
Paso 6: Memoria RAM
![Page 61: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/61.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Subimos a MARIA el trozo de memoria sospechoso
![Page 62: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/62.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Buscamos posibles comandos peligrosos:
Paso 6: Memoria RAM
![Page 63: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/63.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Encontramos uso de incognito (impersonación de usuarios)
Paso 6: Memoria RAM
![Page 64: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/64.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra: truco para detectar sesiones de Meterpreter
Paso 6: Memoria RAM
![Page 65: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/65.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 6: Memoria RAM
Se detectan conexiones y procesos maliciosos
Usuario con privilegios de administrador
Sesión de Meterpreter abierta
Posible ejecución de incognito
IP maliciosa: 101.132.122.231:443
![Page 66: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/66.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
IOC IOC: Posible IP del atacante:
101.132.122.231:443
Detección: Logs del proxy/cortafuegos
Truco: Buscar en TODOS los logs disponibles, buscar en los historiales
![Page 67: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/67.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 7: Correo electrónico
Se extrae el correo del usuario del disco
Microsoft Exchange .ost
Analizar correos, cabeceras y metadatos
Tool: Kernel OST Viewer
![Page 68: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/68.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 7: Correo Electrónico
![Page 69: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/69.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 7: Correo Electrónico
![Page 70: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/70.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 7: Correo Electrónico
![Page 71: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/71.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 7: Correo Electrónico
![Page 72: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/72.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 7: Correo electrónico
Spear-phishing contra un alto cargo
Contenido: enlace malicioso (ya conocido)
Se obtienen metadatos del correo
![Page 73: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/73.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
IOCs IOC1: IP del servidor de correo atacante =
101.132.122.231:443
IOC2: Message-ID = correo.mina.es
IOC3: Asunto = “Concurso felicidad suprema…”
Detección: Logs de la pasarela de correo
Truco: Buscar en TODOS los logs disponibles, buscar en los historiales
![Page 74: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/74.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Conclusiones del análisis forense
#XIIJornadasCCNCERT www.ccn-cert.cni.es
2.
![Page 75: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/75.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Conclusiones del análisis forense
Los atacantes envían un correo con un enlace malicioso a Pepe Contento
El usuario pincha en el enlace y abre el Javascript malicioso, infectando el equipo
Los atacantes toman control del equipo con una sesión de Meterpreter
![Page 76: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/76.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Conclusiones del análisis forense
El usuario Pepe Contento es administrador local del equipo y la cuenta dom.adm ha iniciado sesión en el equipo
[Hipótesis]: Los atacantes ejecutan Mimikatz y capturan las credenciales del admin de dominio
[Hipótesis]: Los atacantes acceden ejecutan DCSync / acceden al NTDIS.dit del DC
![Page 77: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/77.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Conclusiones del análisis forense
Los atacantes rompen offline las contraseñas de los altos cargos
Se producen los accesos al correo de los altos cargos a través del webmail
![Page 78: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/78.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 8: Sysmon
Sysmon: monitorización de endpoint
Captura info de nuevos procesos, conexiones…
Genera un log de eventos: Sysmon/Operational
Tool: Visor de eventos de Windows
![Page 79: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/79.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 8 : Sysmon
![Page 80: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/80.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 8 : Sysmon
![Page 81: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/81.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 8 : Sysmon
![Page 82: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/82.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Paso 11: Sysmon
Sysmon permite detectar diversas fases de la ejecución del malware
Consejo: centralizar la salida de Sysmon en un servidor externo
Sysmon tiene un potencial tremendo para detectar ataques dirigidos
![Page 83: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/83.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
![Page 84: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/84.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Pero … ¿y si los atacantes fueran MUY BUENOS?
![Page 85: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/85.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Acciones anti-forense
Se reinicia el equipo, se pierde la RAM Perdemos las acciones realizadas por el atacante
El atacante no quiere persistencia en memoria No lo podríamos localizar en el registro
Si el atacante solo quisiera las credenciales hace el DCSync y reinicia el equipo sin persistencia el único rastro es la (escasa) navegación web
![Page 86: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/86.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Acciones anti-forense
El atacante tira el servidor web no tendríamos el contenido de los felicidad*
El atacante borra el correo del cliente no sabríamos de dónde viene el ataque
![Page 87: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/87.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Máxima: LOS ATACANTES NO SON PERFECTOS
![Page 88: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/88.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Conclusiones
#XIIJornadasCCNCERT www.ccn-cert.cni.es
3.
![Page 89: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/89.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Forense = buscar una aguja en un pajar
![Page 90: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/90.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Forense tradicional (frío) vs Forense en vivo (caliente)
![Page 91: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/91.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
El malware es cada vez más listo
![Page 92: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/92.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
!Defendamos!
![Page 93: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/93.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es #XIIJornadasCCNCERT www.ccn-cert.cni.es
Trabaja como si estuvieras
COMPROMETIDO
![Page 94: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/94.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Evidencias: https://loreto.ccn-cert.cni.es/index.php/s/DG4oEF8jKihi94k
Email: [email protected]
Twitter: @antoniosanzalc
Canal de forense : t.me/forense
Captura de evidencias en incidentes complejos: https://vanesa.ccn-cert.cni.es/userportal/#/player/vod/Ud1b1cb038d3f4d59a2642abd9ed
0d890
![Page 95: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/95.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
XII Jornadas STIC CCN-CERT Ciberseguridad,
hacia una respuesta y disuasión efectivas
E-Mails
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
oc.ccn.cni.es
Síguenos en
![Page 96: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/96.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
!Defendamos!
![Page 97: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/97.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
EXTRA BONUS SLIDES (material adicional que por límites de tiempo se ha dejado fuera del taller)
![Page 98: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/98.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es www.ccn-cert.cni.es #XIIJornadasCCNCERT
1. Adquisición de evidencias
2. Caso práctico: Análisis forense paso a paso
3. Resultados del análisis forense
4. Conclusiones
Índice
![Page 99: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/99.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
(Breve) Introducción al análisis forense
#XIIJornadasCCNCERT www.ccn-cert.cni.es
1.
![Page 100: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/100.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Objetivo: Responder a las 5 preguntas
# ¿Qué ha sucedido?
# ¿Quién está implicado?
# ¿Dónde ha ocurrido?
# ¿Cuándo ha sucedido?
# ¿Por qué ha pasado?
![Page 101: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/101.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Objetivo: encontrar un hilo del que tirar
![Page 102: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/102.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Adquisición de evidencias
#XIIJornadasCCNCERT www.ccn-cert.cni.es
2.
![Page 103: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/103.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Orden de
volatilidad
![Page 104: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/104.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Capturar la memoria
RAM es prioritario
![Page 105: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/105.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Datos de triage: rapidez y eficacia
![Page 106: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/106.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Discos duros: siempre, y con
cuidado
![Page 107: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/107.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Conserva la cadena de evidencia
![Page 108: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/108.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Consejos
# Nunca escribas en el disco origen
# Ten un procedimiento de copia
# Haz una copia forense = bit a bit
# Documenta la adquisición
# Realiza otra copia de las evidencias
![Page 109: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/109.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra 1: MFT
MFT (Master File Table)
Sistemas de ficheros NTFS (Windows XP+)
Guarda un “índice” de los ficheros del sistema
Localización, tiempos MAC, tamaño…
Tool: mftdump
![Page 110: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/110.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra 1 : MFT
Convertimos la MFT de formato binario a .csv
![Page 111: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/111.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra 1 : MFT
![Page 112: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/112.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra 1 : MFT
![Page 113: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/113.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra 1 : MFT
![Page 114: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/114.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra 1 : MFT
Se verifica la descarga de felicidad.js
Acceso a una página web
Ficheros adicionales: felicidad.html, felicidad.xsl
![Page 115: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/115.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra 2: USB conectados
Comprobamos los USB conectados
Se guarda log en el registro
En offline con la clave SYSTEM
Tool: USBDeview
![Page 116: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/116.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra 2 : USB conectados
![Page 117: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/117.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra 2 : USB conectados
No se han detectado USB maliciosos
Confirmamos C2: web
Falta el vector de entrada
![Page 118: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/118.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra 3: Malware web
Se obtiene del disco duro la navegación
felicidad.js, felicidad.html, felicidad.xsl
Análisis: detectar las TTP del atacante
![Page 119: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/119.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Subimos a MARIA felicidad.xsl
![Page 120: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/120.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra 3 : Malware web felicidad.html
![Page 121: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/121.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra 3 : Malware web
felicidad.html
![Page 122: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/122.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra 3 : Malware web
felicidad.html
![Page 123: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/123.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra 3 : Malware web
felicidad.js
![Page 124: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/124.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra 3 : Malware web
![Page 125: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/125.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra 3 : Malware web
![Page 126: Ciberseguridad, hacia una respuesta y disuasión efectivas](https://reader036.fdocuments.mx/reader036/viewer/2022071417/62cf167e6422d377ee221749/html5/thumbnails/126.jpg)
#XIIJornadasCCNCERT www.ccn-cert.cni.es
Extra 3 : Malware web
Ataque a través de Sharpshooter
Múltiples niveles de ofuscación
Se carga en memoria ataque fileless
Difícil de detectar por los antivirus