Módulo 11
Limpieza, cuidados posteriores, gestión de riesgos posteriores al incidente e intercambio de información
Última actualización en: 26 Julio 2024
Editar esta página en GitHubMódulo 11
Última actualización en: 26 Julio 2024
Editar esta página en GitHubSi se encuentra malware o tráfico malicioso en el dispositivo de una persona objetivo, necesitamos proporcionar cuidado posterior correctivo o recomendaciones específicas para permitir que un cliente determine los próximos pasos apropiados.
Después de completar este subtema, el profesional debe ser capaz de realizar lo siguiente:
Cuando descubras una infección de malware u otro indicador de compromiso en un dispositivo, querrás trabajar con el propietario del dispositivo afectado para devolver su dispositivo a un estado óptimo. Proporcionar el mejor soporte requiere considerar los objetivos de la persona y comprender la naturaleza de la amenaza encontrada en su dispositivo. La persona afectada puede estar interesada en deshacerse del malware lo más rápido posible para poder volver a su vida y trabajo, o, alternativamente, podría preferir usar otro dispositivo mientras mantiene el infectado para investigar qué sucedió y posiblemente quién fue el responsable.
Anteriormente en esta ruta de aprendizaje mencionamos algunas protecciones integradas del sistema operativo. Si el malware pudo ejecutarse en el sistema de una persona objetivo solo porque algunas de esas protecciones estaban deshabilitadas, volver a habilitarlas puede ayudar a evitar que el malware se ejecute o cause más daños. Por lo tanto, algunas piezas de malware menos sofisticadas podrían dejar de ejecutarse o incluso eliminarse simplemente accediendo a la configuración del sistema operativo y volviendo a habilitar las protecciones. En caso de que no puedas volver a habilitar estas protecciones o si se desactivan nuevamente después de algún tiempo, esto indica que el proceso malicioso está impidiendo el funcionamiento adecuado del sistema operativo y se requiere un trabajo de limpieza adicional o un restablecimiento de fábrica. Ten en cuenta que en algunos casos puedes encontrar instancias en las que las protecciones del sistema operativo se hayan desactivado para instalar software pirata, lo cual el usuario puede no comunicarte de inmediato. Es útil conocer este escenario y guiar al cliente en decisiones de gestión de riesgos y encontrar alternativas más seguras que preserven la integridad del sistema operativo.
Los restablecimientos de fábrica son a menudo la forma más simple y limpia de eliminar el malware en un dispositivo determinado. Si el usuario ha realizado el respaldo de todos los datos que desea conservar en un lugar en la nube o en una unidad de respaldo y puede reinstalar sus aplicaciones más utilizadas después de un restablecimiento de fábrica, esta es una opción preferible para tratar con el malware. Si no están seguros de haber realizado el respaldo de los datos importantes, puedes ayudarles a completar un respaldo local o en la nube. Ten en cuenta que los archivos maliciosos pueden encontrarse en archivos respaldados (aunque estarían inactivos hasta que se ejecuten), por lo que se recomienda escanear las carpetas de respaldo con un motor antivirus de reputación. Ten en cuenta que, a menudo, no se respalda las configuraciones de aplicaciones y otros dispositivos, dependiendo de la utilidad de respaldo utilizada. Siempre es buena idea probar los respaldos, por ejemplo, intentando restaurar todo el sistema o algunos archivos clave de ellos, antes de realizar un restablecimiento de fábrica.
Muchos analistas de malware prefieren usar restablecimientos de fábrica sobre en lugar de otros tipos de eliminación, ya que esto les proporciona una mayor certeza de que no quedaron rastros del malware en los sistemas de la persona objetivo. Siempre existe el riesgo de que los programas antivirus o las protecciones integradas del sistema operativo no eliminen todo el malware, especialmente si es novedoso o raro; un restablecimiento de fábrica será mucho más efectivo en este sentido. La única excepción a esto podría ser los rootkits UEFI y el malware que afecta el firmware del dispositivo en lugar del sistema operativo; hemos vinculado algunos artículos sobre esto más abajo.
A veces, un restablecimiento de fábrica no es factible debido a limitaciones de tiempo, limitaciones tecnológicas o la comodidad del usuario con la acción. Dependiendo de la naturaleza del malware y de qué tan bien se comprenda, puede ser factible eliminarlo mediante medios automatizados o manuales. Revisa la lista de consejos específicos de la plataforma a continuación para obtener orientación general.
En algunos casos, los esfuerzos de eliminación de malware pueden resultar ineficaces. Un ejemplo es el malware integrado en Android o las versiones crackeadas o con jailbreak de un sistema operativo (consulte la sección de Android a continuación para obtener más detalles). Los ataques de hardware/firmware son otra clase de malware que sería resistente a los esfuerzos de limpieza o restablecimiento de fábrica. Estos son relativamente raros, sin embargo ocurren, principalmente sólo en PC (Windows/Linux), por lo que vale la pena conocerlos. Algunos son detectables por los antivirus; consulta ESET sobre el tema de Rootkit UEFI descubierto por primera vez en 2018. Consejos y sugerencias adicionales de Microsoft sobre la caza de amenazas de rootkit UEFI están disponibles en BleepingComputer aquí.
Compartir tus hallazgos con tu cliente y trabajar con ellos para comprender cómo pudo haber ocurrido la infección por malware es un paso importante que les permite actualizar su enfoque de gestión de riesgos y comprender la importancia (o insignificancia) del incidente de seguridad.
Toma notas técnicas detalladas, capturas de pantalla y muestras (o, más probable, hashes de estas) y habla con tu cliente sobre su modelado de amenazas y en qué medida podrías compartir tus hallazgos con la comunidad en general. Compartir tus hallazgos es particularmente valioso si encontraste una amenaza novedosa o una que específicamente apunta a miembros de la comunidad basándose en cierto trabajo que realizan. en este caso, hablar con otras personas sobre los hashes de malware, los vectores de infección y los mecanismos de mitigación ayudará a proteger a quienes corren mayor riesgo. Puedes utilizar parte de la información de la sección Documentación de Hallazgos de la sección Detección, Investigación y Seguimiento de Infraestructura Maliciosa de la ruta de aprendizaje cuando elabores un informe breve y cuando consideres su difusión.
Elabora un diagrama de flujo o una lista de verificación que pueda ayudarte a eliminar malware de un dispositivo y garantizar que no omitas ningún paso. Discute este diagrama de flujo o lista de verificación con un compañero o mentor para asegurarte de que sea preciso y de que no se haya perdido nada.
Escribe un breve párrafo explicando en qué situaciones recomendarías que las personas que fueron objetivo de una infección de malware exitosa cambien las contraseñas de sus cuentas principales (correo electrónico, iCloud, redes sociales, trabajo) posteriormente, cómo se lo explicaría a una persona a la que está proporcionándole soporte. Presenta este párrafo a un compañero o mentor que comprobará si tu explicación es precisa.
Se descubre un ciberataque de rootkit UEFI
GratisEn 2018 un análisis realizado por una empresa de seguridad que describe un rootkit UEFI: una pieza de malware incrustada en un nivel inferior al del sistema operativo, por lo que no sería destruida con una simple reinstalación del sistema operativo
Microsoft comparte orientación para detectar ataques de bootkit BlackLotus UEFI
GratisUna visión general de otro, más reciente, pieza de malware que opera a un nivel inferior al sistema operativo, junto con los pasos que un analista podría tomar para detectarlo
Troyanos Una Amena Persistente: BADBOX y PEACHPIT
GratisUn informe detallado que examina el malware que está preinstalado en dispositivos, muy probablemente de fábrica, y por lo tanto es extremadamente difícil de eliminar. Buen ejemplo de por qué los dispositivos utilizados para trabajos sensibles deben provenir de fabricantes acreditados
Cómo funciona Safety Check en iPhone para mantenerte seguro
GratisUna característica de iOS que permite a cualquier usuario revisar qué información están compartiendo con otros y, si es necesario, evitar que se comparta.
Cómo saber si tu iPhone tiene jailbreak
GratisUn vistazo rápido a algunas heurísticas iniciales que puedes realizar para comprobar si tu dispositivo iOS tiene jailbreak
Cómo realizar el restablecimiento de fábrica de tu iPhone, iPad o iPod touch
GratisUna guía rápida sobre cómo borrar completamente un dispositivo iOS, que debería proporcionar una reconfirmación adicional de que se eliminó cualquier malware o perfil malicioso
Los mejores discos de rescate antivirus de 2024
GratisUna lista de herramientas que puedes utilizar para escanear y limpiar un sistema operativo infectado mientras arranca desde una unidad externa
Borra tu Mac y restablécela a la configuración de fábrica
GratisUna guía rápida sobre cómo borrar completamente un dispositivo macOS, que debería proporcionar una reconfirmación adicional de que se eliminó cualquier malware o perfil malicioso
Herramientas Objective-see
GratisUna serie de herramientas de seguridad para macOS, desarrolladas por un investigador de seguridad de gran reputación, que pueden utilizarse para detectar malware
¡Felicidades por terminar Módulo 11!
Marque la casilla para confirmar su finalización y continúe al siguiente módulo.
Marca el módulo actual como completado y guarda el progreso para el usuario.
Has completado todos los módulos en este camino de aprendizaje.