esenfrdeitptru

Sinkhole

Los nombres de dominios de las IPs maliciosos se dirigen hacia un sistema pasivo...

Descripción

Los nombres de dominios de las IPs maliciosos se dirigen hacia un sistema pasivo para extraer la información de conexión, con el propósito de emular protocolos y funcionalidades.

Un sinkhole es una herramienta de seguridad, que acepta y analiza tráfico atacante, los ISPs son los que utilizan ésta herramienta para  atrapar ataques de tráfico, son utilizados también para monitorear, detectar ataques de actividades de escaneo.

El router del Sinkhole puede ser empleado para reenviar el tráfico de un ataque hacia un terminal de swith donde hay un analizador de red, un esniffer o ethereal, que permiten analizar el ataque.

Solución

Un computador detectado por una SINKHOLE debe usar el antivirus institucional.

Dentro de la tabla de campos el “type”, se puede encontrar del tipo “drone” este puede ser del tipo: “downaudup” , “sality”, “CITADEL – B54”, “B68-ZEROACCESS”, detalle de estos “drone”, se enuncian a continuación:

  • Downadup: Gusano basado en el código MS08-67 explotan el servicio RPC de Microsoft Windows.

Las carpetas compartidas en redes locales  con contraseñas débiles, se podría infectar la red en pocos minutos.

Los dispositivos extraíbles, podría tener el archivo infectado  autorun.inf, el cual  se auto ejecuta cada vez que conectamos el dispositivo extraíble.

Desactiva varios servicios como el Windows Defender, Windos System Restor, Windows Security Center,  Bloque la actualización del programa de antivirus, descarga falsos programas antiviurs, bloque sitios de seguridad, utiliza Google, Yahoo, Ask para descargar malware y actualización del gusano.

  • Saliyt 1- Sality 2: Win32.Sality es un virus que afecta archivos .exe y .src, crea archivos auto arrancables (autorun.ini) en dispositivos extraíbles.

La recomendación en algunos casos es formatear el equipo, si el antivirus no provee la capacitad de limpiarlo. Herramientas para limpiar este virus: http://support.kaspersky.com/sp/viruses/disinfection/1874.

Para reparar el registro de Windows: http://support.kaspersky.com/sp/viruses/disinfection/1874.

  • Citadel –B54: Es un botnet utilizado para robo de información de la banca en línea, se lo puede solucionar con la descarga de la herramienta de Microsoft Safety Scanner de Microsoft, o utilizar el antivirus institucional.

  • B68-ZEROACCESS: Es un Malware que afecta a sistemas operativos Windows, utiliza técnicas de rootkit, por ejemplo aparecene oculots o disfrazados en títulos de películas pirateadas. Una vez infectado el ZeroAccess rootkit, realiza una de las siguientes operaciones: La Bitcoin mining(genera bitcoins para su controlador) o la Click fraud(simula click en los anuncios. La solución es utilizar el antivirus institucional.

Solución: Para eliminar archivos maliciosos ZeroAccess utilizar la herramienta anti malware open: https://www.malwarebytes.org/antimalware/

Para eliminar las claves de registro malicioso añadiso por el rootkit ZeroAccess utilizar la herramienta:  http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe

Para quitar archivos maliciosos y reemplazar el archivo services.exe infectado, descargar la herramienta ComboFix: http://www.bleepingcomputer.com/download/combofix/dl/12/

Cómo Citarnos

Castellano: CSIRTEPN - Grupo  Respuesta a Incidentes de Seguridad de la Escuela Politécnica Nacional

Otro idioma: CSIRTEPN – National Polytechnic School Computer Emergency Response Team

Concepto de incidente

“Evento inesperado que compromete la operación de un sistema y su información, amenazando la confidencialidad, integridad o disponibilidad”

Ver Lista de incidentes

Contáctenos

Para contactarse con nosotros y resolver tus dudas o inquietudes, escríbenos a:

Correo:team@csirt-epn.edu.ec

Dirección: Madrid y Toledo Edificio de Aulas y Relación con el Medio Externo (EARME)
Planta Baja (Centro de Datos)

Teléfono: (+593) 22976300 Ext. 1436, 1452, 1453

Horario de Atención: De lunes a Viernes de 8H00 - 18H00

 

Reportar Incidente

Puedes reportar tu incidente de los siguiente forma:

Escribenos al correo: gestion.incidentes@csirt-epn.edu.ec

Comunícate con nostros al: (593) 2 2976 300 ext 1452 1453

Repórtalo desde nuestro formulario aquí

No olvides incluir:

  • Nombres completos.
  • Correo electrónico
  • Teléfono – extensión
  • Dependencia-oficina
  • Comentario del incidente