Documentos de Académico
Documentos de Profesional
Documentos de Cultura
This document may not be. In whole or in part it will be copied. Photocopying.
Reproduced. translated, reduced or transferred to any electronic medium or machine•
readable form without prior written consent of
winw.mlle2.com
Introducción.
Temas
• Espionaje
• Pérdidas financieras
Esto será diferente para cada organización en función de su tipo de negocio, activos,
datos, responsabilidades y tolerancia al riesgo. Por ejemplo, una agencia puede
necesitar promulgar su plan de respuesta a incidentes inmediatamente después de la
detección de cualquier cuenta de usuario no autorizada independientemente de su
origen. Por otro lado, una pequeña instalación de fabricación sólo puede querer
promulgar su plan de respuesta si un hacker ha irrumpido en sus sistemas de contabilidad
o RRHH. La tolerancia al riesgo y las filosofías de gestión de la organización deben
tenerse en cuenta al crear el plan de respuesta a incidentes de una organización.
• Preparación • Recuperación
• Identificación y respuesta inicial • Seguimiento
• Contención •Seguimiento
• Erradicación
Preguntas y respuestas
Respuesta: A
Respuesta: C
a. b. v. C.
Respuesta: D
Módulo 01: Algunos eventos comunes de seguridad de interés son eventos de código
malicioso, exploraciones de redes y aplicaciones, sondas e intentos de penetración,
ataques de denegación de servicio, uso inapropiado de los activos de la empresa,
espionaje, no autorizado o intento de no autorizado acceso, y violación o intento de
violación de información sensible (ataques a la confidencialidad, integridad y / o
disponibilidad.
Respuesta: A
Respuesta: Módulo B 01: Paso uno del enfoque de seis pasos para el manejo de
incidentes es la preparación.
Capítulo 2: Amenazas, vulnerabilidades y vulnerabilidades
Temas
Es muy fácil infectar a los usuarios y a veces muy difícil de eliminar o asegurarse de que
se elimina. Tiene múltiples funciones:
Atiware:
Virus:
Bulos:
Gusanos:
Spyware.
• Considerado un tipo de virus • Puede ser de diferentes formas Adware troyanos Key
registradores software de vigilancia - Anton Tracker
Troons
• Un programa que presente; como inofensivo • Un virus suele estar oculto • Ihrs Social
Engineering para convencer a la víctima de activar el programa
Backdoors:
Rootkits:
Bomba lógica:
• Un virus que se activará con una condición lógica como una fecha, hora o acción del
usuario
Botnets:
Ataques: Suplantación de IP
Un ataque donde un atacante crea paquetes con una dirección IP falsa o falsificada
con el fin de ocultar la identidad del remitente o para suplantar a otro sistema
informático. El encabezado de cada paquete IP contiene la dirección numérica de
origen y destino del paquete. La dirección de origen es típicamente la dirección desde
la que se envió el paquete. Al falsificar o falsificar el encabezado, un atacante hace
que parezca que el paquete fue enviado por una máquina diferente.
Técnica utilizada para asegurarse de que los paquetes entrantes son realmente de las
redes de las que dicen ser. Normalmente, un paquete contiene la dirección IP del
equipo que lo envió originalmente, lo que permite que los otros equipos de las redes
sepan de dónde proviene. En algunos casos, la dirección IP de envío se suplanta como
parte de un ataque, por lo que el equipo atacado no sabe de dónde viene el ataque.
El Address Resolution Protocol (ARP) asocia las direcciones IP a las direcciones MAC.
Cuando los paquetes viajan una red conmutada, el Switch transmitirá el paquete en el
cable/puerto que el MAC de destino existe encendido y ningún otro. Los
emparejamientos IP y MAC se almacenan temporalmente en la memoria caché ARP.
Para ver la memoria caché ARP: arp -a. para borrar la memoria caché ARP: arp -d.
Cuando usted quiere comunicar con otra máquina, el OS marca la memoria caché ARP
para cualquier entrada, si no hay ninguna, transmitirá un paquete de la detección ARP
cuando usted recibe la respuesta ARP, los datos relevantes se ingresan en el caché ARP.
La base del envenenamiento es que el protocolo ARP permite las respuestas ARP no
solicitadas. Puesto que las entradas en el tiempo de espera de caché ARP, el atacante
debe enviar un par de paquetes de respuesta ARP suplantados sobre una base
recurrente.
Contramedidas
Utilice los productos IDS (tales como Snort) para monitorear para cambiar los
emparejamientos de dirección IP a MAC. Utilice programas de monitoreo ARP•cache,
como ARPWatch. ARPWatch es un programa Unix que mantiene una tabla de
emparejamientos IP-a-MAC con el objetivo de alertar a un administrador de la
intoxicación ARP. Utilice interruptores sofisticados. Dispositivos de red sofisticados como
Cisco
Los switches Catalyst tienen inspección mtP dinámica (DAI) para detectar la
intoxicación DE ARI.
Suplantación de DNS
Estos Cols pueden emitir respuestas DNS falsas para redirigir a un cliente al servidor
falso/fraudulento de un atacante
Secuestro de sesiones
Muchos atacantes suplantan sus direcciones, lo que significa que la dirección dentro de
la trama que se utiliza para confirmar el ataque tiene una dirección IP que no es suya.
Esto hace que sea mucho más difícil rastrear al atacante, que es el propósito del
atacante de suplantar en primer lugar. Esto también permite a un atacante secuestrar
sesiones entre dos usuarios sin ser notado.
El atacante con acceso físico puede intentar oralmente la clave de sesión mediante la
obtención del archivo o el contenido de memoria de la panorámica adecuada del
usuario. computadora o servidor.
Secuencias de comandos entre sitios: el atacante engaña al sistema del usuario para
que ejecute código. que parece confiable porque Weals pertenece al servidor, que a
su vez. permite al atacante obtener una copia de la cookie o realizar otras operaciones.
Métodos para evitar que la sesión 'Marcado Use un número aleatorio largo como clave
de sesión para evitar que un atacante adivine la clave de sesión. La regeneración del
identificador de sesión después de iniciar sesión correctamente evita la corrección de
la sesión porque el atacante no conoce el identificador de sesión del usuario después
de iniciar sesión. especialmente la clave de sesión. Esto evita los ataques de estilo de
sniffing. Algunos servicios realizan comprobaciones secundarias con respecto a la
identidad del usuario. Un servidor Web podía comprobar, con cada solicitud realizada,
que la dirección IP del usuario era la misma que la última utilizada durante esa sesión.
Algunos servicios cambiarán el valor de la cookie con cada solicitud. Esto reduce el
tiempo en el que el atacante tiene que hacer un ataque y hace que sea fácil descubrir
si se ha producido un ataque.
Desbordamientos de búfer
Phishing
Ingeniería Social
El arte de manipular a las personas para que divulguen información o realicen una
acción, lo que en última instancia pondría en peligro la seguridad de la información.
Uso de SET
Facilita los aspectos de la "ingeniería social". que existe en cada ataque. Facilita la
creación de:
Dcnial•of•Service distribuido:
Amenazas internas
Ataques inalámbricos
Los puntos de acceso no fiables pueden proporcionar una puerta trasera seria que son
muy fáciles de implementar. Podría conducir a la compartición de acceso inalámbrico.
Algunas contramedidas son:
Conducción de guerra
Vulnerabilidades WEP
Inyección SQL
o 71 intentos por hora en producción normal o Más de 800 intentos mientras está bajo
ataque
Herramientas de escaneado
Técnicas de evaluación
Pruebas de penetración
Metodología genérica:
a. b. c. d.
Respuesta: A
2. : El atacante utiliza el rastreo de paquetes para leer el tráfico de red entre dos partes
para robar la cookie de sesión. Muchos sitios utilizan el cifrado SSL para las páginas de
inicio de sesión para evitar que los atacantes vean la contraseña, pero no usan el cifrado
para el resto del sitio.
Respuesta: B
Módulo 02: Sidejacking de sesión: El atacante utiliza el rastreo de paquetes para leer el
tráfico de red entre dos partes para robar la cookie de sesión. Muchos sitios utilizan el
cifrado SSL para las páginas de inicio de sesión para evitar que los atacantes vean la
contraseña, pero no usan el cifrado para el resto del sitio.
3. con acceso físico puede tratar de robar la clave de sesión mediante la obtención del
archivo o el contenido de memoria de la parte apropiada del ordenador o servidor del
usuario.
Respuesta: C
Módulo 02: El atacante con acceso físico puede intentar robar la clave de sesión
obteniendo el contenido del archivo o la memoria de la parte adecuada del equipo o
servidor del usuario.
4. • El atacante engaña al sistema del usuario para que ejecute código, que parece
confiable porque parece pertenecer a la
servidor, que a su vez, permite al atacante obtener una copia de la cookie o realizar
otras operaciones.
a. b. c. d.
Respuesta: D
Módulo 02: Scripting entre sitios: El atacante engaña al sistema del usuario para que
ejecute código, que parece confiable porque parece pertenecer al servidor, que a su
vez, permite al atacante obtener una copia de la cookie o realizar otras operaciones.
a. b. c.
Respuesta: C
¿Qué necesitas?
Qué informar
Las políticas establecen principios y se pronuncian para la toma de decisiones. Debe ser
fácil de entender, y sólo se puede entender de una manera. No puede superponerse
con otras directivas. Se debe seguir una política, pero la gente debe ser capaz de seguir
una política.
Políticas básicas
Plan IH
Equipo de gestión
• Maneja las solicitudes y autorizaciones, tales como los gastos de esfuerzo de respuesta
a incidentes
• Asegura que los recursos adecuados se asignan a los equipos y los esfuerzos de
respuesta
• Asesores Jurídicos
• La estructura del equipo virtual a
menudo es efectiva cuando recursos
dedicados no están disponibles
El equipo de seguridad debe centrarse en los síntomas del problema, no en las causas
raíz, la correlación limitada de los datos de incidentes, ningún análisis de tendencias,
ningún proceso de análisis coherente y ningún punto único de generación de informes.
Equipo combinado
• Una combinación de equipo centralizado pero con miembros distribuidos del equipo
en unidades asociadas
• El objetivo es ofrecer los beneficios de los modelos centralizados y distribuidos
Equipo Coordinador
Asegúrese de que todas las listas de contactos estén disponibles para su equipo.
Establezca un punto de contacto principal y asigne un 'toma de notas'. Usted tendrá
que planificar posibles turnos de noche y horas extras. El plan de comunicación
ampliado debe consistir en:
Parámetros de incidente:
• Establecer los requisitos que deben cumplirse antes de la escalada a la alta dirección
o la aplicación de la ley
• Los miembros del Equipo IRT deben recibir capacitación técnica o Recibir
capacitación sobre sus responsabilidades de acuerdo con el plan de respuesta y las
políticas y procedimientos asociados. o Comprender los objetivos de la respuesta a
incidentes y cómo reportar un incidente
• Los administradores deben recibir capacitación técnica cuando sea apropiado para
otorgarles las habilidades para identificar posibles incidentes y saber a quién reaccionar
Preguntas y respuestas
a. Verdadero b. Falso
Respuesta: A
Módulo 03: Las formas de informar a la alta dirección son resúmenes ejecutivos,
representación gráfica e informes completos con archivos adjuntos.
2. poner principios y normas para la toma de decisiones. debe ser fácil de entender, y
sólo puede ser entendido de una manera, y debe ser seguido.
Respuesta: B
Módulo 03: Las políticas establecen principios y normas para la toma de decisiones,
entender, y sólo puede ser entendido de una manera, y debe ser seguido.
d. True e. Falso
Respuesta: B
Módulo 03: Los procedimientos son una descripción detallada de qué, cuándo y cómo
se hace algo dentro de los principios de una política.
4. ¿Cuáles son algunas de las ubicaciones en las que pueden ocurrir eventos de
seguridad y administración de información?
a. b. c. d.
Respuesta: D
Módulo 03: Algunas ubicaciones que los registros de seguridad y gestión de información
pueden revisar son Sistema operativo, firewall/IDS/IPS, sistemas de autenticación y
registros antivirus.
a. b. c.
Respuesta: B
Módulo 03: La ciencia forense digital tiene diferentes tipos de herramientas: adquisición
de datos, análisis de imágenes, informes de casos, duplicación de imágenes y
desinfección de escritorio.
Capítulo 4: Solicitar rastreador para el manejo de
incidentes
Temas
Un sistema de venta de entradas desarrollado por las mejores prácticas y cuenta con
características ricas y altamente personalizables y distribuidas de forma gratuita. Utiliza
varios complementos que se pueden agregar al rastreador de solicitudes básico. El
rastreador de solicitudes sigue un diseño muy flexible que permite su uso con muchos
motores de base de datos. La interfaz principal para el rastreador de solicitudes es a
través de un navegador web. El rastreador de solicitudes se puede integrar con las
puertas de enlace de correo electrónico para enviar notificaciones por correo
electrónico. El rastreador de solicitudes proporciona un gran conjunto de API que lo
permiten integrarse con otros sistemas. ¿Por qué usar Request Tracker?
Ayuda a mantener el flujo de trabajo organizado mientras evita que los equipos se
vuelven locos. Cada conversación es identificada y rastreada. El rastreador de
solicitudes se puede utilizar como base de conocimiento dentro de una organización. El
rastreador de solicitudes se puede utilizar para la gestión de incidentes. Seguimiento de
solicitudes Se utiliza para realizar un seguimiento del flujo de trabajo mediante el
seguimiento de la persona que es responsable de completar una determinada tarea
Tiene la capacidad de realizar un seguimiento de absolutamente todo y proporciona
un motor de búsqueda muy eficiente.
Más componentes
• Antecedentes
• Windows
• Linux
Fondo
Qué buscar
Volatilidad
Lo primero es lo primero
Windows
Eventos de registro
Cuando esté mirando los eventos de registro, querrá usar Windows 'Event Viewer
(ejecute eventvwr.msc). El evento sospechoso incluye:
Servicios
Cuando esté mirando los servicios, querrá usar el 'Administrador de tareas" de Windows
(ejecutar taskmgr.exe). Compruebe los procesos con un usemame de ''SYSTEM- o
"Administrador. Ejecutar "net start" y buscar sospechoso
Uso de la red
Ejecuta la "vista neta n.o 127.0.0.1" y comprueba si hay recursos compartidos de archivos
inusuales en el sistema informático. Ejecute "sesiones netas" y compruebe quién ha
iniciado una sesión abierta actual. Ejecute "net use" y compruebe con quién esta
máquina ha iniciado una sesión. Ejecute -nbtstat -s' y compruebe el NetBIOS sobre la
actividad TCP/IP. Ejecute enetstat • ano" y compruebe los puertos de escucha inusuales
y el identificador del proceso de propiedad.
Tareas programadas
Ejecute los comandos "at" o "schtasks" o utilice la interfaz gráfica de usuario del
programador de tareas. Compruebe las tareas programadas por 'SYSTEM' o con un
nombre de usuario en blanco Compruebe los directorios de inicio automático de los
usuarios:
Herramientas
• Sistemas Apache o Mayor número de entradas que digan "error" o Gran número de
reinicios Gran número de reinicios de aplicaciones
Procesos
Ejecute "top o
•ps aux' para comprobar si hay procesos con privilegios raíz (MD 0). Ejecute "Isof -p (pid)"
para mostrar todos los archivos y puertos abiertos mediante un solo proceso. Es mejor
tener "chkconflg" para comprobar los procesos en ejecución. Se necesita una línea de
base de los procesos normales.
Uso de la red
Tareas programadas
• Ejecute acrontab -u root -r - comprobar las tareas programadas por las cuentas DID 0
• Runt "cat /etc/crontab" - para revisar los trabajos cron • Ejecutar "Is /etc/cron", - lista
de trabajos cron de todo el sistema.
Cuentas
• Ejecutar "sort -nk3 -t: /etc/passed I less" -comprobar si hay nuevas cuentas y para UID
inferior a 500
• Ejecutar "grep :0: /etc/passwd" - comprobar si hay cuentas con UID 0
Archivos
• Ejecutar "find /
• Ejecutar "encontrar /
•tamaño
•9000k
• Ejecutar "Isar
•I.1 " - comprobar los procesos de acceso a archivos ocultos y evidencia de archivos
ocultos
• Antecedentes • Analizar
Fondo
Clasificar incidentes
• Acceso no autorizado
• Una aplicación registra varios intentos fallidos de inicio de sesión desde un host remoto
desconocido
• El n nombre de un nuevo weskit; que apunta a la versión exacta del servidor del centro
comercial
Recibir
Analizar
El análisis inicial debe comprometerse con los datos después de que lleguen al
mecanismo de recopilación. Se debe proporcionar un análisis automatizado y manual
durante esta fase
• Permitir que varios analistas trabajen juntos o pasen la investigación a otros analistas
• Extracción de datos e informes
Documentación de incidentes
Priorización de incidentes
Un punto de decisión crítico donde los incidentes no se pueden manejar por orden de
llegada. Los factores prioritarios
Notificación de incidentes
Una vez que el incidente es analizado y priorizado, las entidades indicadas deben ser
notificadas. Los informes oportunos permitirán a las personas y organizaciones
desempeñar correctamente su función. Los requisitos exactos de información sobre
incidentes pueden variar entre las partes interesadas.
Preguntas y respuestas
1. puede ser detectado a través de varios medios, pero con diferentes niveles de
información y confianza.
Respuesta. B
Módulo 06: Los incidentes pueden detectarse a través de varios medios pero con
diferentes niveles de información y confianza.
Respuesta D
a. Indicación b. Precursor
Respuesta. Un
Módulo 06: La indicación es un incidente que podría haber ocurrido o podría estar
ocurriendo ahora.
a. Indicación b. Precursor
Respuesta B
Respuesta B
Módulo 06: El análisis inicial debe realizarse en los datos después de que lleguen al
mecanismo de recolección.
Capítulo 7: Sysinternals
Temas
• Antecedentes
• Gestión de procesos
• Autoruns
• Pstools
• Disco
• Seguridad
• Red
Fondo
Gestión de Procesos
Autoruns
prompt - y hace que sea fácil de desactivar o eliminar esos Inicios Automáticos.
Pstools
Disco
Seguridad
Red
Tcpview. Software GUI que muestra listas detalladas y de up•to-bate o todas las
conexiones TCP y UDP desde y hacia el sistema.
Preguntas y respuestas
a b.
Respuesta. B
Módulo 07: Process Explorer está considerado como una de las herramientas más
famosas de la suite Sysinternals.
Respuesta. Un
Módulo 07: Psexec ejecuta procesos tanto locales como remotamente con salida
redirigida
3. Es una utilidad de monitoreo en tiempo real que registra la actividad del disco duro a
nivel de sector.
Respuesta: B
Módulo 07: El monitor de disco es una utilidad de supervisión en tiempo real que registra
la actividad del disco duro a nivel de sector. 4. Es una gran herramienta para mostrarle
una representación gráfica orientada a clústeres de un volumen con formato NIBS, que
le permite determinar en qué clúster se encuentra un archivo y si un archivo está
fragmentado o no, o determinar qué Ale ocupa un sector en particular.
Respuesta. Un
Módulo 07: Utilidades de disco es una gran herramienta para mostrarle una
representación gráfica orientada al clúster de un volumen NTFS.formatted, que le
permite determinar en qué clúster se encuentra un archivo y si un archivo está
fragmentado o no, o determinar qué archivo ocupa un sector en particular.
S. es una herramienta de línea de comandos que se utiliza para verificar la firma digital
de Ales y la lista de hashes de archivo.
Respuesta. D
Módulo 07: Sigcheck es una herramienta de línea de comandos que se utiliza para
verificar la firma digital de Ales y la lista de los hashes.
Capítulo 8: Contención
Temas
Fondo
A veces, la contención puede necesitar ser retrasada para monitorear la actividad del
atacante. Por lo general, para recoger más pruebas. El riesgo del sistema comprometido
podría dar lugar a responsabilidades legales. Consulte con el director de seguridad
antes de decidir retrasar la contención.
Las estrategias de contención varían en función del tipo de incidente. La estrategia para
contener una infección por malware transmitida por correo electrónico es muy diferente
de la de un ataque de Distributed Dental-of-Service basado en la red
• Robo de recursos
• Necesidad de preservación de pruebas
• Efectividad de la estrategia
Procedimientos de contención
Determine si el equipo necesita tener su acceso de red bloqueado. Si es así, esto puede
ser logrado de varias maneras por el equipo de la red CTS:
• Bloquee la dirección MAC en todas las redes inalámbricas del campus (asegúrese de
bloquearla en todas las redes inalámbricas, no solo en las salas de residencia. Además,
bloquee la interfaz de red cableada para el mismo equipo si se conoce)
• Esto puede ser a través del puerto del conmutador de red al que está conectado, o
localizando físicamente el dispositivo y desenchufándolo.
Mantenga una lista de equipos bloqueados en un sitio protegido con contraseña y al
que solo se pueda acceder desde las direcciones IP del campus. Este sitio enumera la
dirección IP, la dirección MAC, la ubicación del edificio, el nombre de NetBIOS si se
conoce, el motivo del bloque y la fecha del bloque. El procedimiento para
bloquear/desbloquear equipos comprometidos debe publicarse en un sitio y
mantenerlo accesible para los usuarios. Una alternativa al bloqueo de todo el acceso a
la red es poner el equipo en una cuarentena de red que redirige su tráfico de red a un
servidor web con instrucciones para el propietario sobre cómo proceder. Esto se puede
hacer en Impulse SafeConnect.
Puede haber casos en los que un protocolo específico o un puerto UDP/TCP necesite ser
bloqueado en el borde del campus o en alguna otra interfaz de red para evitar la
propagación del malware o para proteger el campus de nuevos ataques. Consulte al
equipo de seguridad si considera esto, ya que tendrán que implementarlo en los firewalls
del campus o en las listas de controles de acceso del enrutador.
Hacer recomendaciones
•control, miembros del equipo RT, grupos de apoyo. propietarios de sistemas y otras
partes enlazadas en los progresos realizados.
Capture Digital Evidence con datos de estado actuales del sistema* y copia de
seguridad/copia forense de la(s) unidad(es):
• Utilice herramientas forenses cuando sea posible Capturan todo el disco incluyendo
archivos borrados o Le permiten demostrar que la copia de seguridad no ha sido
manipulada
• Los binarios del sistema pueden producir resultados falsos o Por ejemplo, el comando
ps en un servidor Linux comprometido puede ser una versión hackeada y no reture los
procesos de hackers o Asegúrese de que su kit de respuesta tiene los binarios que
necesita
• Si la red fuente de intruso se encuentra, no haga ping, dedo, telnet la fuente, ya que
esto puede incitar al atacante a cubrir sus huellas
Cambie las contraseñas de las cuentas que interactúan con los sistemas afectados. Si
se encuentra un sniffer, amplíe la solicitud de cambio de contraseña a todos los sistemas
y usuarios que posiblemente se vean comprometidos. No escatimes en este paso) Lo
peor que puede suceder es que todo el esfuerzo de respuesta se va a desperdiciar
debido a una repetición causada por credenciales comprometidas.
Preguntas y respuestas
a True b. False
Answcr. Un
Respuesta: C
Módulo 08. Usted querrá mantener sus equipos pequeños porque cada miembro podría
ser llamado como testigo .1 en el caso va a la corte.
3 Mantenga una lista de computadoras en un sitio que sea protetado por pasword•y al
que solo se pueda acceder desde las direcciones IP del campus
a Desbloqueado b. Bloqueado
Respuesta: B
Módulo 08: Mantenga una lista de equipos bloqueados en un sitio protegido con
contraseña y al que solo se pueda acceder desde las direcciones IP del campus.
4. Si hay un incidente, recomendamos cambiar para todas las cuentas que interactúan
con el sistema Impacted.
a b. C
Respuesta: A
Módulo 08: Si hay un incidente, recomienda cambiar las contraseñas de todas las
cuentas que interactúan con el sistema impactado.
S. Verdadero o Falso. Cambie las contraseñas de las cuentas que interactúan con los
sistemas afectados.
a True b. False
Respuesta. Un módulo 08: cambie las contraseñas de las cuentas que interactúan con
los sistemas afectados.
Capítulo 9. Erradicación
Temas
• Antecedentes
Fondo
• Debe saber qué sucedió y qué se vio afectado para recuperarse del incidente
• Determinar los puertos de red abiertos y los procesos que escuchan esos puertos
• Tome una captura de paquetes de red y analice el tráfico de red • Datos de flujo de
red de Analyre
• Buscar datos confidentul que pueden haberse perdido en los analistas iniciales
Más defensas:
• Ilse ant onrus software para todos los • Monitorear el tráfico de la red en
sistemas y medios busca de actividad maliciosa
• Buscar una copia de seguridad muy reciente antes de una intrusión • En caso de un
ataque de estilo rootkit, no utilice copias de seguridad • Si hay evidencia de un ataque
de estilo rootkit, puede ser mejor evitar las copias de seguridad. En su lugar, vuelva a
formatear el disco, vuelva a generar el sistema operativo (sin la vulnerabilidad y vuelva
a cargar las aplicaciones y los datos
• Eliminar/limpiar el malware
Respuesta. C
a. Verdadero b. Falso
Respuesta :A
Respuesta. D
Módulo 09: Realizar análisis adicionales, que pueden incluir: Buscar malware mediante
la ejecución de un antivirus y / o software de detección de rootkit, o buscando moscas
específicas que se sabe que están asociadas con amenazas actuales, recuperar
archivos eliminados y fragmentos de archivos, realizar un análisis de vulnerabilidades, y
comprobar si hay procesos en ejecución inusuales y entradas de registro sospechosas,
especialmente los que se ejecutan en el inicio.
4. Verdadero o Falso. Los compromisos que permiten el control remoto del sistema,
obtener privilegios de root/Admhilstrator y/o Instalar una puerta trasera requieren una
reinstalación completa del sistema.
a. Verdadero b. Falso
Respuesta A
Módulo 09: Los compromisos que permiten el control remoto del sistema, obtener
privilegios de root/administrador y/o instalar una puerta trasera requieren una
reinstalación completa del sistema.
S. Verdadero o Falso. Si hay evidencia de un ataque de estilo rootldt debe instalar desde
las copias de seguridad más recientes.
a. Verdadero b. Falso
Respuesta. B
Módulo 09: Si hay evidencia de un ataque de estilo rootkit, puede ser mejor evitar las
copias de seguridad. En su lugar, vuelva a formatear el disco, vuelva a generar el sistema
operativo (sin la vulnerabilidad y vuelva a cargar las aplicaciones y los datos.
Capítulo 10: Recuperación
Temas
• Antecedentes
• Procedimiento de recuperación
Fondo
• Informe de los hallazgos o Informe de los hallazgos y el estado a las partes necesarias,
incluidos los propietarios de comandos y control y sistemas
• Restaurar sistema
• Cómo probar y verificar que los sistemas comprometidos son limpios y totalmente
funcionales La duración de la supervisión para observar comportamientos anormales
• Monitorear los sistemas o Puertas traseras y otro código malicioso puede estar muy bien
oculta o Una vez que el sistema está de vuelta en línea, continuar monitoreando para
las puertas traseras que escaparon de la detección o Continuar monitoreando para la
actividad sospechosa
Preguntas y respuestas
a.b. d.
Respuesta D
a. Verdadero b. Falso
Respuesta: B
Módulo 10: Informar de los hallazgos y el estado a las partes necesarias, incluidos los
propietarios de sistemas y comandos y control.
a. Verdadero b. Falso
Respuesta: A
4. Verdadero o Falso. Una vez que el sistema se ha restaurado, verifique que la operación
se realizó correctamente y que el sistema está de nuevo en su estado normal.
a. Verdadero b. Falso
Respuesta. Un
Módulo 10: Una vez que el sistema se ha restaurado, verifique que la operación se realizó
correctamente y que el sistema está de nuevo en su estado normal.
S. Verdadero o Falso. Supervise los sistemas y busque (o puertas traseras y otro código
malicioso
a. Verdadero
b. Respuesta falsa. Un
Módulo 10: Supervise los sistemas y busque puertas traseras y otro código malicioso.
Capítulo 11: Seguimiento
Temas
Fondo
El paso final del proceso de incidente es seguir. hacia arriba. Siga siempre el proceso de
recuperación. Siga los pasos realizados para que el incidente no pueda volver a
producirse. Haga recomendaciones para evitar que incidentes similares vuelvan a
ocurrir. Emitir informes finales. archivo evidente y documentación, y cerrar el incidente.
Procedimiento de seguimiento
• Problema
• Comience lo antes posible o Las personas que esperan hasta semanas después de
que el polvo se haya asentado aprender que la memoria humana, a diferencia del vino
fino, no mejora con el paso del tiempo
• Asignar la tarea al equipo en el sitio o Con el fin de hacer que la sección aprendida
de las lecciones sea tan positiva y efec tive como sea posible, la mayoría de los sitios
requieren que el equipo de manejo de incidentes para redactar el informe de lecciones
aprendidas como una parte integral de su manejo del incidente o El trabajo no está
terminado hasta que se hace el papeleo
• Pida a las personas que preparen el informe que se centren en responder a las
preguntas sobre las lecciones aprendidas
• Aliente a todas las partes afectadas a revisar el proyecto
• Lleve a cabo una reunión de lecciones aprendidas o porque usted tiene recopiló
comentarios de todas las partes, y los distribuyó por adelantado, generalmente puede
planificar una reunión de lecciones aprendidas de una hora o Enfocar la reunión en el
recuento del incidente y ratificar cualquier cambio en el proceso
• Crear un resumen ejecutivo o Resumir el incidentes que induyen el costo y los impactos
para la administración o Incluir los costos de tiempo y dinero gastado tratando con el
incidente o Enviar el resumen a la gerencia con la promesa de que los cambios
recomendados seguirán
Gestión de Pruebas
• Esto incluye archivos de registro, plazos, archivos recuperados, notas, datos de flujo de
red y correos electrónicos.
Preguntas y respuestas
Respuesta C
Respuesta:A
3. Con el fin de solucionar los problemas, usted debe llevar a cabo una reunión
aprendida.
a. Lecciones b. Procesos
Respuesta. Un
Respuesta A
a. Verdadero b. Falso
• Antecedentes
• Componentes de virtualización
• Ataques de virtualización
Fondo
Componentes Virtualizatlon
Hardware: todo el hardware físico que hospedará los sistemas operativos invitados, así
como el hipervisor. Hipervisor: una pieza de software que se utiliza para asignar sistemas
operativos invitados al hardware. Funciona como intermediario proporcionando a las
máquinas virtuales invitadas los recursos que necesitan. Sistemas operativos invitados:
Múltiples imágenes de diferentes sistemas operativos que se ejecutan en la parte
superior del hipervisor y cada uno de ellos aparecen como si tuvieran su propio
hardware dedicado.
Ataques de virtualización
Ataques de máquina virtual invitado: estos ataques se dirigen a las máquinas invitadas
mediante la explotación de vulnerabilidades en el sistema operativo de la máquina
virtual o los ataques de hipervisor de aplicaciones: estos ataques se dirigen al hipervisor
que se ejecuta en el hardware, este tipo de ataque explota vulnerabilidades en el
hipervisor y podría afectar a todas las máquinas virtuales invitadas que se ejecutan
encima de él. Ataques de escape del hipervisor: estos ataques se producen debido a
la vulnerabilidad del hipervisor. por lo tanto. permitiendo que una máquina virtual
invitada escape y ataque a otras máquinas virtuales violando el principio de separación
mencionado anteriormente.
1. Un software de pieza 01 que se utiliza para asignar los sistemas operativos invitados al
hardware.
Responder la
El hipervisor del módulo 12 es una pieza de software que se utiliza para asignar sistemas
operativos invitados al hardware.
Respuesta C
3. Verdadero o Falso. La máquina virtual invitada ataca los ataques de arco dirigidos al
hipervlsor que se ejecuta en el hardware.
a True b. False
Respuesta: B
Módulo 12: Los ataques de máquina virtual invitado se dirigen a las máquinas invitadas
mediante la explotación de vulnerabilidades en el sistema operativo o las aplicaciones
de la máquina virtual.
4. Verdadero o Falso. Los ataques de hipervisor son ataques dirigidos al hipervisor que se
ejecuta en el hardware.
a True b. False
Respuesta: A
Módulo 12: Los ataques de hipervisor son ataques dirigidos al hipervlsor que se ejecuta
en el hardware.
a. Verdadero
b. Respuesta falsa: A
• Categorías de Maiware
• Prevención de Maiware
Categorías de malware
Historia de Malware
Años 1990:
2000:
• Rootkits
• Registrador de claves
Virus
• Virus compilados
• Virus interpretados
Virus interpretados - Un código que puede ser ejecutado por una aplicación o servicio
en particular como un navegador
Gusanos
• Autocontenido
• Autopropagación
• Autorreplicación
Aproveche las vulnerabilidades conocidas del sistema y las configuraciones
predeterminadas:
Troyanos
Estos son programas noreplicantes que parecen ser benignos con propósito malicioso
oculto. El programa continúa realizando la función del programa original pero añade
una actividad maliciosa separada, reemplaza por completo la función del programa
original con una actividad maliciosa.
Rootkits:
• Muy sigiloso
Ataques combinados
Herramientas de ataque
Cookies
Un pequeño archivo de datos que contiene la actividad del usuario en un sitio web
determinado se conoce como una cookie. Las cookies de sesión son cookies temporales
de una sola vez. Las cookies persistentes se almacenan en el equipo cliente. Las cookies
de seguimiento son cookies almacenadas con el propósito de realizar un seguimiento
de las actividades en todos los sitios.
Registradores de llaves
• Manual y localmente
Prevención de malware
Debe hacer declaraciones claras que se dirijan a la prevención de malware. Debe servir
de base para esfuerzos adicionales. Es poco probable que se realicen actividades
adicionales sin una política muy querida.
• Restringir el uso de privilegios de nivel de administrador local por parte de los usuarios
del dispositivo
Seguridad de la cuenta
Los hosts deben configurarse para proporcionar solo los derechos mínimos a los usuarios,
procesos u otros hosts: privilegios mínimos. El malware requiere acceso administrativo y
los permisos adecuados pueden minimizar el daño y la propagación del malware.
Aplicaciones anti-Malware
• Desinfección de malware
Precisión de detección:
Colocación y Gestión
Un antivirus no puede detener todos los incidentes de malware y las nuevas firmas deben
probarse e implementarse. Los sistemas antivirus basados en red siguen siendo
necesarios y los controles de seguridad de red deben configurarse para detener la
propagación del malware.
Realice el análisis de paquetes del tráfico de red para identificar y detener actividades
malintencionadas y se implementan en línea, de forma similar a un firewall de red.
Permite la detección de algunos ataques antes de que alcancen sus objetivos previstos.
El IPS utiliza una combinación de firmas de ataque para el análisis del protocolo de
aplicación. Los productos IPS basados en red pueden ser eficaces para detener los
gusanos de servicio de red.
Los productos IPS generalmente no son capaces de detener código móvil malicioso o
caballos de Troya. Los productos IPS podrían ser capaces de detectar y detener algunas
amenazas desconocidas a través del análisis del protocolo de aplicación.
Los sistemas IPS basados en host supervisan las características y los eventos de un único
host. Supervisa el tráfico de red del host, los registros del sistema, los procesos en
ejecución, el acceso a archivos y la modificación. Supervisa los cambios intentados en
las moscas y puede detectar virus que intentan infectar archivos y caballos de Troya que
intentan reemplazar archivos.
Firewall y enrutadores
Un firewall de red es un dispositivo implementado entre redes para restringir qué tipos de
tráfico pueden pasar de una red a otra. Un firewall basado en host es una pieza de
software que se ejecuta en un único host que puede restringir la actividad de red
entrante y saliente solo para ese host.
• Filtro de spam
I. Confirme la infección
3. Evaluar la eficacia
Confirmación de infección
• Apague el sistema
Notificar a la organización:
• Esté atento a un brote emergente de maiware
Recopilar información:
• ¿Existe una expectativa para el tiempo de respuesta necesario para devolver los
sistemas a la operación?
• ¿Se han documentado políticas y procedimientos para aislar equipos infectados con
malware para que los usuarios y la empresa estén preparados para el impacto en la
productividad?
Limpiar el sistema
• Las opciones de limpieza son o Utilice software anti-malware instalado localmente con
firmas actualizadas, con el sistema operativo iniciado normalmente y/o en modo seguro
o Utilice herramientas de escaneo en línea, con el sistema operativo iniciado
normalmente y/o en modo seguro con soporte de red o Ejecutar un análisis en línea
utilizando el kit de escaneo fuera de línea o Limpie manualmente el sistema
• No se encuentra malware"
Reconstruir el sistema
• Como recordatorio... cualquier dato crítico en el sistema debe ser respaldado porque
la reconstrucción del sistema destruirá cualquier dato en el disco duro
• Restaurar la configuración del usuario y los datos o Asegúrese de que los archivos están
limpios antes de restaurarlos escaneándolos con un escáner mahvare
a b.c.
Respuesta. B
2. son cookies almacenadas con el propósito de rastrear actividades en todos los sitios.
a b.c.
Respuesta C
Módulo 13: Las cookies de seguimiento son cookies almacenadas con el propósito de
rastrear actividades en todos los sitios.
3. Verdadero o Falso. Los hosts deben configurarse para proporcionar solo los derechos
mínimos a los usuarios, procesos. u otros anfitriones - Privilegio I.east.
a True
b. Falso
Respuesta. Un
Módulo 13: Los hosts deben configurarse para proporcionar solo los derechos mínimos a
los usuarios. Procesos. u otros hosts - Menos privilegio.
a. Verdadero b. Falso
Respuesta:A
Módulo 13: El malware requiere acceso administrativo y los permisos adecuados pueden
minimizar el daño y la propagación del malware.
a. Verdadero b. Falso
Respuesta: A