Escenarios de

ataques a redes

Cisco Advanced Malware

Protection para terminales

Caractersticas y funciones

AMP para terminales responde las siguientes

preguntas clave antes, durante y despus de
un ataque:

Cul fue el mtodo y el punto de ingreso?

Cules fueron los sistemas afectados?
Qu hizo la amenaza?
Puedo detener la amenaza y la causa principal?
Cmo nos recuperamos de ella y prevenimos que vuelva a suceder?

Beneficios

Deteccin y supervisin continua de malware, tanto de manera inmediata

como retrospectiva
Visibilidad y control totales para rastrear, analizar y detener malware
La proteccin se extiende a equipos PC, Mac, sistemas Linux, dispositivos
mviles y entornos virtuales
Integracin con Cisco AMP para redes
Opcin de nube privada in-situ para organizaciones con altos requisitos de
privacidad

Cisco Advanced Malware

Protection para redes

Caractersticas y funciones

Identificacin de ataques
encubiertos

Anlisis continuo que rastrea los archivos una vez que ingresan a la red.
Alertas de seguridad retrospectiva que permiten tomar medidas durante y
despus de un ataque.
Indicadores de riesgo de mltiples fuentes que correlacionan distintos
eventos para una mejor deteccin.

Keylogger

Al registrarte en la web, tendrs acceso a un panel de control en el cual

podrs comenzar a monitorear hasta 5 equipos, los cuales se identificaran
mediante un nico codigo ID, el cual ser asignado automticamente.
Luego solo debers utilizar nuestro activador para que Keylogger-Remoto
pueda hacer su trabajo.
Una vez activado en la pc local, Keylogger-Remoto comenzara a registrar
toda la actividad en absoluto sigilo. (chats, mails, ventanas activas y
absolutamente todo lo que se teclee.)
Toda la actividad registrada se enviara cada cierto tiempo a tu cuenta
personal en nuestros servidores, los cuales la mantendrn disponible las
24. (Dicha informacion se almacena de forma encriptada)
Con cualquier navegador o incluso desde tu celular, se puede acceder a
un rea privada, donde muestra toda la actividad registrada en la pc
victima.
Toda la actividad de tu equipo se organiza de forma tabulada segn la
fecha y hora, lo cual le brinda la posibilidad de consultar facilmente por la
actividad registrada en determinado da y hora en particular.
Hay la posibilidad de desinstalar el software en cualquier momento,
incluso de manera remota, sin necesidad de acceder fsicamente al equipo.

DOS ZM o MZ

Encontrar la firma que la aplicacin Anti-Virus, no es tan difcil si una vieja

tcnica se utiliza, que se realiza al dividir el archivo en varios archivos y
luego escanear cada archivo para ver cul de ellos contiene la firma.

A veces, la firma es bastante fcil de encontrar, por ejemplo, en caso de

que se utilice ncx99.exe. Este es un simple oyente netcat, que se une al
puerto 99 cmd.exe en la interfaz de red global. En la imagencita de abajo
del E77E desplazamiento para compensar E78F es la principal firma
ubicada.

Adems, la firma se encuentra en la seccin idata en este caso. Esto

significa que si nos gustara probar para codificar toda la seccin idata,
entonces nuestro archivito ejecutable podra no funcionar en absoluto, Por
lo tanto podramos intentar editar una parte de este, o codificar slo la
firma para evitar la deteccin AV. Sin embargo, es tambin importante
tener en cuenta, que las aplicaciones antivirus van a leer los encabezados
PE tambin y utilizar stos para determinar si el archivo ejecutable que
queremos ejecutar, es malicioso o no.

A veces, incluso la marca de tiempo y fecha dentro del archivo es una

parte de la firma que es una buena idea para cambiar o simplemente
reemplazar con nula. Si algunas de las tablas de la seccin, cabeceras o
banderas parecen estar invlida por la AV-escner, entonces podra
marcarlo como malicioso o potencialmente malicioso ya que asume, que
debe ser debido a que no puede leer el archivo ejecutable correctamente.

Primero abrimos nuestro archivo PE elegido en nuestro desensamblador y

depurador preferido. En este caso uso uno bien chido para alterar la puerta
trasera ncx99.exe se ha mencionado anteriormente.

En primer lugar seleccionamos el primer par de instrucciones (cdigos de

operacin) y copiarlos en un bloc de notas o cualquier programa que
preferimos para tomar notas, porque tenemos que volver a introducir
algunos de los primeros cdigos de operacin sobrescritos ms adelante,
antes de modificar el trazado de la ejecucin fluya de nuevo a su lugar
original.

Referencias
http://www.cisco.com/c/es_mx/produc
ts/security/ampappliances/index.html
http://www.cisco.com/c/es_mx/produc
ts/security/fireampendpoints/index.html