¿Cómo localizar de manera eficiente el malware en un punto final? [cerrado]

Navega tus respuestas
0

Tengo una pregunta de una de las entrevistas que tuve, no tengo conocimientos sobre seguridad del sistema y, por lo tanto, no sabía cómo abordar cada una. La pregunta era:

  

Un cliente sospecha que uno de sus puntos finales se infectó con malware (el sistema operativo es Windows 10 x64) y se le pidió que lo analizara.

     

Construya un plan de análisis a partir de las técnicas más simples para   Métodos más avanzados. Trate de centrarse en el más eficiente y   Métodos efectivos para detectar el malware.

     

Evite mencionar otras cosas triviales como verificar la configuración del Firewall   o Actualizaciones de seguridad, sino concentrarse en encontrar el malware.

Intenté buscar en Internet pero no pude encontrar nada útil, excepto por las mismas soluciones de uso de Malwarebytes o programas similares. Supongo que no es lo que se hace en una situación real cuando hay un tiempo limitado para localizar y aislar el malware.

¿Puede alguien decirme cuáles son los puntos clave para comenzar o cómo abordar esto?

    
pregunta Keselme 01.10.2017 - 16:21
fuente

1 respuesta

2
  

de una de las entrevistas que tuve, no tengo conocimiento sobre seguridad del sistema

Conozco a varias personas con CISSP que tendrían dificultades para responder la pregunta de manera competente: ¿para qué fue la entrevista? Realmente mi pregunta es ¿qué nivel de habilidad / esfuerzo espera la persona que hace la pregunta?

  

cosas triviales como verificar la configuración del firewall o las actualizaciones de seguridad

Eso es algo extraño de decir. Si la respuesta de los entrevistados primero fue comenzar a observar el vector de infección, el entrevistador debería cuestionar su enfoque. OTOH, consideraría evaluar el vector de infección como un método útil para identificar posibles candidatos para el malware.

Siempre debes comenzar con los controles obvios / baratos:

  

Un cliente sospecha que uno de sus puntos finales se infectó con malware

Mi primer paso sería establecer por qué el cliente sospecha eso. A partir de ese momento, los pasos subsiguientes se ramifican: no hay un solo camino que lo lleve a la respuesta en todos los casos. Usted prioriza las acciones que maximizarán la cantidad de información sobre el malware por la cantidad mínima de esfuerzo / costo.

Algunas de las cosas a tener en cuenta:

  • ¿hay un momento en que el sistema estaba en un estado de buena reputación?
    • ¿Qué archivos han cambiado desde el buen estado conocido?
  • ¿hay anti-malware instalado en el sistema?
    • está funcionando
      • si no, ¿cuándo se detuvo?
    • está reportando algo
  • ¿Qué procesos se están ejecutando?
    • ¿Cómo se compara esto con un sistema similar que no está infectado?

etc.

Es posible que en algún momento tenga que intervenir con el funcionamiento del sistema. Si bien esto tal vez va más allá del alcance de la respuesta esperada por el entrevistador, es esencial preservar el estado de la máquina antes de la intervención para identificar el malware, incluso si no estamos hablando de una escena del crimen, trazar un mapa del problema. la red de causa / efecto a menudo requiere un seguimiento.

    
respondido por el symcbean 02.10.2017 - 14:12
fuente

Lea otras preguntas en las etiquetas

Ataque conocido de texto cifrado / texto simple AES-ECB ¿Cómo automatizar la salida de Nikto?