¿Qué elementos deberían estar en una lista de verificación de remediación de malware? [cerrado]

Navega tus respuestas
0

Editar: supongamos que Windows 7 y potencialmente Windows Server 2003/2008.

En mi humilde opinión, cualquier máquina que tenga malware debe volver a crear imágenes / formatearse / reinstalarse el sistema operativo antes de volver a implementarse en el entorno. Sin embargo, esto no siempre es práctico. Si el tipo de malware puede ser identificado y potencialmente eliminado, a veces la empresa dicta que una máquina está remediada. Entonces, mi pregunta asume que la administración insiste en que una máquina está remediada y ha aceptado el riesgo de hacerlo. Además, suponga que todo el análisis de la causa raíz de la infección ya se ha completado. Me gustaría construir una lista de verificación de cosas para ver con el objetivo de revertir cualquier cambio que el malware haya hecho en un sistema.

Editar: Debido a la amplia naturaleza de esto, tal vez aquellos que están familiarizados con el análisis de malware pueden comentar sobre las cosas más comunes que ven el cambio de malware en un sistema que está relacionado con el mantenimiento de la persistencia, incluso si el malware está deshabilitado / eliminado. (por ejemplo, cree una cuenta u otra puerta trasera que permita el acceso remoto a un sistema). Obviamente, hay libros enteros y cursos sobre este tema. Esto no pretende ser exhaustivo. Más bien, es una lista de verificación de cosas comunes para verificar / corregir una situación en la que reinstalar el sistema operativo no es una opción y se cree que el malware ya se ha eliminado.

Aquí hay algunos ejemplos: 

*review all autostart locations and verify persistence mechanisms are removed
*multiple virus/malware scans of the drive slaved to another system (using multiple tools)
*all local/network account passwords changed
*local accounts/groups reviewed for issues (e.g., new accounts)
*etc/hosts file reviewed
*sfc /scannow
*review firewall configuration
*review MBR
*review and file/folders created/modified at the time of compromise.
*review $MFT for timestomping (assumes NTFS)

Aunque estoy de acuerdo en que una nueva imagen es mucho más simple y una mejor solución, pensé que sería una buena idea desarrollar una mejor práctica para intentar verificar que una máquina haya sido remediada. Muchos de estos pasos también entran en la categoría de detección de malware.

Revisé las siguientes publicaciones relacionadas:

Malware: ¿son aceptables las herramientas de eliminación o la simple instalación es la reinstalación completa?

Recuperación de malware en el registro

está haciendo una instalación limpia lo suficiente como para ¿Eliminar malware potencial?

¿Cómo trato con un servidor comprometido?

Gracias.

    
pregunta Matt 24.05.2015 - 17:12
fuente

1 respuesta

1

Nuevos servicios, tareas programadas, extensiones de shell, DLL, módulos de programa ... La lista de formas de inicio automático en Windows es enorme, consulte sysinternals autorun para aquellos disponibles solo en el sistema operativo .

Además del rootkit secreto que no tenía idea de que se había instalado.

Solo consideraría limpiar una máquina de producción en lugar de volver a crear imágenes si estoy trabajando con una falta de equipo o si supiera de qué se trata ese malware específico.

Es como si un gobernador de EE. UU. descubriera que había agentes secretos soviéticos instalados en los micrófonos espía de su automóvil y varios explosivos controlados a distancia (es decir, un compromiso completo). Sin embargo, cuando se le ofrece gratis un auto completamente nuevo, decide limpiar el anterior y aceptar el riesgo.

Así que me gustaría profundizar en por qué

  

la administración insiste en que una máquina está remediada y ha aceptado el riesgo de hacerlo

  • ¿Tal vez temen perder datos? (haga una imagen de la computadora vieja)

  • ¿Creen que el proceso de reinstalación es demasiado lento? (Tal vez pueda tener por adelantado imágenes de disco con todo el software necesario instalado, o incluso un disco duro / PC de repuesto listo para reemplazar uno infectado)

  • ¿El usuario debería pasar mucho tiempo reconfigurando el sistema / programas? (incluya la configuración en las copias de seguridad)

Un error común al considerar las desinfecciones es no tomar en cuenta el tiempo del técnico. Desinfectar una máquina es bastante costoso. ¿Creen que la solución antivirus la desinfectará de inmediato con solo presionar un botón? Muy probablemente ¡ni siquiera detectará la amenaza! Espere realizar exploraciones de disco completas con varios proveedores, investigar manualmente qué tipo de malware lo infectó, buscar información en la web para encontrar soluciones ...

En comparación, volver a crear imágenes de la PC es reproducible y comprobable, puede ser realizado incluso por el técnico de menor rango (confiable) e incluso completamente automatizable. Es un procedimiento bien definido cuya eficiencia se puede medir y mejorar. Mientras que nunca se sabe qué malware lo atacará a continuación, ni qué pasos de remedio se realizarán para la siguiente variante (y lo que es peor: ni siquiera se puede determinar si una solución funcionó completamente).

Y aún necesita un procedimiento de reinstalación rápida, ya que no todo el malware es tan bueno como para permitir la desinfección / recuperación (por ejemplo, un malware que destruye el disco duro). No creo que los requisitos comerciales sean diferentes según el malware que te haya infectado. Por lo tanto, necesita copias de seguridad y procedimientos de reinstalación de emergencia (que, por lo general, también serían su último recurso de remediación) que funcionan, de todos modos (con la ventaja de ser reutilizables). Saltar la solución costosa y menos confiable sería lo lógico.

    
respondido por el Ángel 26.05.2015 - 00:05
fuente

Lea otras preguntas en las etiquetas

¿Qué factores hacen que el código de la aplicación de Android sea vulnerable a los ataques de falsificación de solicitudes entre sitios? ¿Los tokens seguros que se envían por correo electrónico son seguros? [duplicar]