McAfee Support Webinars

Córdoba Support Team

Gestionar Incidentes de Malware

McAfee Support Webinars

Darío M. Menten Reynoso | Technical Support Engineer

AgendaInformación General sobre Malware

• Que es un Malware?

• Tipos de Malware

Manejo de incidentes de Malware desde el Portal de Soporte

• Procedimiento paso a paso para abrir un caso de Soporte de Malware

• Métodos para subir una muestra de Malware a McAfee Labs

Revisión y recomendaciones de Mejores Prácticas de seguridad

• Nivel de Sensibilidad de GTI

• Antimalware Scan Interface (AMSI)

• Reglas de Protección de Acceso

• Escaneos bajo demanda

• Monitoreo de la infraestructura

Adaptive Threat Protection

• Configuraciones Recomendadas

• Corrección Mejorada y Trazabilidad

Herramientas Adicionales

Q & A

Info

rmació

n G

en

era

l

Que es un Malware?

Definición de Malware

• Malware es un acrónimo del inglés de malicious software: programa malicioso

• Se llama malware a todos los programas que ejecutan acciones no deseadas en un sistema

Tipos de Malware

• Virus: pueden eliminar archivos, directorios y datos sin autorización.

• Spyware: colecta datos del usuario sin su permiso, desde mensajes de correos electrónicos hasta números de

tarjetas de crédito.

• Gusanos: se alojan en un sistema creando copias infinitas de sí mismos, con la finalidad de colapsar la red o el

dispositivo bloqueando cualquier trabajo adicional.

• Troyanos: al ser activados o abiertos, permite el acceso no autorizado a datos en el computador o sistema

informático infectado.

• PUP (Potentially Unwanted Program): Son programas legítimos que realizan acciones no deseadas

• Falsos Positivos: Programas que realizan acciones sospechosas, pero no llegan a ser maliciosos.

Soporte de McAfee: Malware

Man

ejo

de In

ciden

tes d

e M

alw

are

desd

e e

l Po

rtal d

e S

op

orte

Como abrir una solicitud de Servicio

Abrir un caso con Soporte | Subir una muestra de Malware

1. Ingresar a

support.mcafee.com

2. Colocar Usuario

3. Colocar contraseña

4. Hacer click en Log In

Paso 1

Man

ejo

de In

ciden

tes d

e M

alw

are

desd

e e

l Po

rtal d

e S

op

orte

Como abrir una solicitud de Servicio

Abrir un caso con Soporte | Subir una muestra de Malware

Paso 1 Paso 2

Man

ejo

de In

ciden

tes d

e M

alw

are

desd

e e

l Po

rtal d

e S

op

orte

Como abrir una solicitud de Servicio

Abrir un caso con Soporte | Subir una muestra de Malware

Paso 1 Paso 2 Paso 3

• Dar una descripción breve del problema en el campo

“Summary”

Ejemplo: Malware detectado pero no eliminado

• En el campo “Description”, explicar mas en detalle el

problema y que se necesita del soporte de McAfee

Ejemplo: ENS esta detectando el malware como

Generic.drp pero no lo esta eliminando. Solicitamos

ayuda para poder eliminar la amenaza.

• Haciendo click en Submit, la solicitud de servicio

queda registrada en soporte y automáticamente

asignada a un TSE. Se informará por correo el nro. de

SR asignado.

Métodos para subir una muestra de Malware

McAfee Service Portal

• Método preferido por McAfee Labs para recibir muestras de nuestros clientes.

• Este método es el mas rápido.

• Las instrucciones de como subir una muestra se encuentran en el artículo KB68030

GetSusp

• Utilidad descargable para subir muestras

• Analiza el sistema en busca de archivos sospechosos, luego sube las muestras recolectadas

• Aún sin tener un Número de Concesión valido, permite subir muestras

• Para mas detalles de la herramienta acceder al artículo KB69385

Email

• Se podrá subir muestras a McAfee Labs adjuntándolas a un correo y enviándolas a

virus_research@avertlabs.com

• Para adjuntar las muestras, estas deben estar en un archivo zip y con contraseña "infected".

FTP (Sin limite de tamaño)

• Este procedimiento se debe seguir solo si ha sido imposible subir una muestra por los métodos anteriores.

• Las instrucciones para realizar este procedimiento se encuentran en el articulo KB87703

Abrir un caso con Soporte | Subir una muestra de Malware

Man

ejo

de In

ciden

tes d

e M

alw

are

desd

e e

l Po

rtal d

e S

op

orte

Mediante Service Portal

Abrir un caso con Soporte | Subir una muestra de Malware

Man

ejo

de In

ciden

tes d

e M

alw

are

desd

e e

l Po

rtal d

e S

op

orte

Paso 1

Mediante Service Portal

Abrir un caso con Soporte | Subir una muestra de Malware

Man

ejo

de In

ciden

tes d

e M

alw

are

desd

e e

l Po

rtal d

e S

op

orte

• Recolectar todas las muestras en

una sola ubicación

• Generar un archivo zip con todas

las muestras o un archivo zip por

muestra

• Colocarle la contraseña ‘infected’ a

los archivos zip

• Las instrucciones se pueden

encontrar en el KB68030

Paso 1 Paso 2

Mediante Service Portal

Abrir un caso con Soporte | Subir una muestra de Malware

Man

ejo

de In

ciden

tes d

e M

alw

are

desd

e e

l Po

rtal d

e S

op

orte

• Especificar el Producto ENS o VSE

• Elegir la versión del producto

• Elegir el tipo de Falla

• Fallo en la detección

• Falso Positivo

• Subir la muestra guardada en .zip y luego hacer click

en Upload para que habilite el botón Submit

• Colocar la versión del DAT instalado en el equipo

que no detectó la muestra.

• Colocar cualquier comentario que encuentren útil

para la muestra.

• Hacer click en Submit al finalizar.

Paso 1 Paso 2 Paso 3

Usando GetSusp

Abrir un caso con Soporte | Subir una muestra de Malware

Man

ejo

de In

ciden

tes d

e M

alw

are

desd

e e

l Po

rtal d

e S

op

orte

• Descargar GetSusp

• Luego de ejecutar, revisar las preferencias. Si es

necesario modificar configuraciones

• Hacer click en Scan Now para iniciar el escaneo

• Entre 3 y 5 minutos después finalizará el proceso

• Si completó las preferencias correctamente,

intentará subir las muestras

• Puede subir las muestras, alternativamente por el

portal o cualquiera de los métodos nombrados

anteriormente.

Mediante Correo electrónico

Abrir un caso con Soporte | Subir una muestra de Malware

Man

ejo

de In

ciden

tes d

e M

alw

are

desd

e e

l Po

rtal d

e S

op

orte

Mediante FTP

• Enviar un correo a virus_research@avertlabs.com

• El asunto puede contener cualquier información

• La muestra debe estar en .zip y tener la contraseña

‘infected’

• El cuerpo del mensaje puede contener cualquier

información

• Recibirá una respuesta con un ID y/o un Extra.Dat

• Seguir las instrucciones del KB87703

• Colocar los comandos como muestra la

imagen.

• No cambiar a la carpeta msteg

Mayor protección con ENSTP

Mayo

r Pro

tecció

n co

n E

NSTP

Acerca de GTI

GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo

Servicio de reputación en la nube basado en:

• Sensores alrededor del mundo

• Gran equipo de investigación

• Muestras provistas por el cliente

Servicios entregados por GTI

• Reputación de Archivos de GTI (ENSTP y ATP)

• Reputación Web de GTI (ENSWC)

• Categorización Web de GTI (ENSWC)

• Reputación de redes de GTI (ENSFW)

• Reputación de certificados de GTI (ENSTP y ATP)

• Malware Zero-day y muy antiguos están en GTI

Perteneciente al módulo OAS de ENS Threat Prevention

• Anteriormente conocido como Artemis (Heurística en VSE)

Mayo

r Pro

tecció

n co

n E

NSTP

Configuraciones Recomendadas

• Tener activado GTI (ver artículo KB70130)

• Catálogo de Políticas: ENS

• Policy Category

• On-Access Scan

• [Policy Name]

• McAfee GTI

• Enable McAfee GTI

• Sensitivity Level: Alto

• Asegurar acceso a los sitios de GTI (KB79640)

• Verificar funcionamiento de GTI (KB53733)

• Preguntas Frecuentes sobre GTI (KB53735)

Porque esto es Importante?

Mejora notablemente el nro. de

detecciones de Malware

GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo

Mayo

r Pro

tecció

n co

n E

NSTP

Que es AMSI?

GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo

• Característica de Sist. Operativos Windows 10 y 2016

• Interface entre aplicaciones y productos antimalware

• Técnicas de protección antimalware para

• Archivos

• Memoria

• Verificación de reputación de URL/IP

Componentes protegidos por AMSI

• Control de cuentas de usuario (UAC)

• PowerShell

• Windows Script Host (wscript.exe y cscript.exe)

• JavaScript and VBScript

• Macros VBA Office

Mayo

r Pro

tecció

n co

n E

NSTP

Configuraciones recomendadas

Porque esto es Importante?Mejora la detección de amenazas File-less (scripts)

• Pertenece al módulo OAS de ENS Threat Prevention

• AMSI Activado por defecto en Modo Observación

• Catálogo de Políticas: ENS

• Policy Category

• On-Access Scan

• [Policy Name]

• Antimalware Scan Interface

• Enable AMSI

• Disable Observe Mode

• Artículo técnico McAfee ENS + AMSI

GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo

Mayo

r Pro

tecció

n co

n E

NSTP

Que es Protección de Acceso?

GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo

• Módulo de ENS Threat Prevention

• Reglas para proteger

• Archivos

• Registros

• Procesos

• Servicios

• Tipos de Reglas de Protección de Acceso

• Predefinidas por McAfee

• Previenen los cambios en config. y archivos

comunes

• No se pueden eliminar

• Se pueden cambiar algunas configuraciones

• Definidas por el usuario

• Se puede aplicar a ejecutables y/o usuarios

• Completamente configurables

Mayo

r Pro

tecció

n co

n E

NSTP

Cómo crear reglas de PA

GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo

Recomendación ImportanteManejar reglas de acuerdo a las amenazas mas frecuentes

• Catálogo de Políticas: ENS

• Policy Category

• Access Protection

• [Policy Name]

• Rules > [Add]

• Colocar nombre a la Regla

• Elegir la acción, Bloquear y/o Reportar

• Especificar los ejecutables

• Especificar los usuarios

• Generar la SubRegla

• Colocar nombre a la SubRegla

• Colocar el destino de la regla

Laboratorio activo Cómo generar reglas de protección de Acceso

Mayo

r Pro

tecció

n co

n E

NSTP

Consideraciones Generales

GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo

• Utilizar en contención de Incidencias de Malware

• Numero acotado de reglas activas

• Tratar de no utilizar para prevención de Malware conocido

• Reportar solo lo necesario

• Colocar Reglas en modo Bloquear o Reportar según se necesite

Artículos relacionados

• Crear reglas de protección de acceso (KB86577)

• Utilizar comodines adecuadamente (KB54812)

• Video: Escribiendo una regla de Protección de Acceso (Youtube)

• Como protegerse contra Emotet (KB90108)

Mayo

r Pro

tecció

n co

n E

NSTP

Aspectos Generales

GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo

• Basados en Política

• Full Scan

• Quick Scan

• Right Click Scan

• Basados en configuraciones personales

• Utilización de recursos de la tarea (KB55145)

• Por defecto utiliza el 100% del CPU

• Prioridad configurable desde la tarea

• Realizar Escaneos Completos Semanales (fuera de horarios

productivos)

• Realizar Escaneos Rápidos Diarios

• Prestar especial atención a las configuraciones:

• Pause scans automatically

• Scan only when system is idle

• Revisar las prácticas recomendadas de ODS (KB55145)

Porque esto es Importante?Tarea de mantenimiento que ayuda a asegurar el ambiente contra amenazas.

Mayo

r Pro

tecció

n co

n E

NSTP

Monitorear la Infraestructura

GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo

Paneles

• Endpoint Security: Compliance Status

• Verificar la conformidad de todos módulos

• Endpoint Security: Detection Status

• Verificar eventos de amenazas

• Verificar eventos de violación de reglas de A

Consultas (McAfee Groups > Endpoint Security)

• ENSTP: Systems not Completed a Full Scan in the last 7 Days

• ENSTP: Top 10 Access Protection Rules Broken

• ENSTP: Top 10 Computers with the Most Detections

• ENSTP: Top 10 Threat Sources

Reportes

• Generar reportes exportables a PDF

• Enviar reportes mediante correo electrónico

Adaptive Threat Protection

Ad

ap

tive

Th

reat

Pro

tectio

n

Qué es ATP?

Información | Configuraciones | Remediación y trazabilidad

• Protección basada en

• Reputación de archivos

• Reglas de contención

• Añade los siguientes beneficios

• Rápida detección y protección ante amenazas desconocidas

• Detecta el comportamiento de la amenaza

• Contiene y bloquea archivos específicos y certificados por reputación

• Integración con Real Protect para el análisis de la reputación

• Integracion con ATD y TIE (o GTI)

• Se integra con TP tomando exclusiones de este módulo

• Protección avanzada contra día cero y ransomware

• Funciones de Remediación e historial de la amenaza

• Artículo relacionado con el funcionamiento de ATP

• Prácticas recomendadas de ATP (KB87843)

Ad

ap

tive

Th

reat

Pro

tectio

n

Configuraciones Recomendadas

Información | Configuraciones | Remediación y trazabilidad

• Alto nivel de protección con configuraciones de fábrica

• Subir el nivel de protección en equipos críticos y servidores

• Catálogo de Políticas: ENSATP

• Policy Category: On-Access Scan

• [Policy Name]

• Real Protect Scanning

• Enable client-based scanning

• Sensitivity Level: High

• Enable cloud-based scanning

• Rule Assignment

• Rule Group: Security

• Verificar el grupo de reglas en ePO

• Menu > Server Settings > Adaptive Threat Protection

(Se actualizan periódicamente)

Porque esto es Importante?Módulo Indispensable para la detección de Ransomware.

Ad

ap

tive

Th

reat

Pro

tectio

n

Corrección Mejorada

Información | Configuraciones | Remediación y trazabilidad

AclaraciónLa remediación de archivos no viene habilitado por defecto.

• Permite la ejecución de procesos desconocidos sin retrasos

ni bloqueos

• Monitorea el comportamiento de procesos desconocidos

• Recupera los cambios realizados por el proceso malicioso

(Configuraciones y archivos)

• Elimina el proceso malicioso y bloquea sus predecesores y

sus sucesores

• Remueve referencias al proceso malicioso

• Entradas WMI

• Entradas de Registro

• Tareas Programadas

• Accesos Directo

Cómo Funciona

Proceso se

ejecuta

No excluido y

rep 50 o menor

Monitoreo del

proceso y sus

asociados

Es

malicioso?

Detiene

monitoreo y

remueve datos

respaldados

Detiene el

proceso y sus

asociados,

recupera

cambios

NO

SI

Nuevo

en ENS

10.7

Ad

ap

tive

Th

reat

Pro

tectio

n

Gráfico de Historia

Información | Configuraciones | Remediación y trazabilidad

• Provee una representación visual de las detecciones

• Permite examinar el contexto en el que se ejecutó una amenaza

• Ayuda a responder estos cuestionamientos:

• Qué fue ejecutado junto con el proceso?

• Porqué ENS sabe que es Malicioso?

• De donde provino la amenaza?

• En que momento ENS detuvo la amenaza

• La imagen muestra las secciones del grafico

1. Los procesos involucrados

2. Parentesco de los proceso y archivos

3. Detalles del evento seleccionado

4. El proceso que inicio el evento

Nuevo

en ENS

10.7

Laboratorio activo Cómo funciona Corrección Mejorada yGráfico de Historia

Herramientas Adicionales

Herra

mie

nta

s Ad

icion

ale

s

Herramientas | Artículos

McAfee Stinger

• Utilidad portable para remover malware

• Utiliza Real Protect

• Se puede utilizar en Modo Seguro

• Necesita acceso a Internet (GTI)

• Como usar Stinger (How to)

IPS Expert Rules

• Herramienta disponible en Exploit Prevention

• Similar a Access Protection pero mas versátil

• Se puede prevenir comportamientos maliciosos

• Videos de entrenamiento de Expert Rules (KB89677)

• Repositorio de Expert Rules en Github

Herra

mie

nta

s Ad

icion

ale

s

Herramientas | Artículos

Base de Conocimientos

• Encontrar posibles archivos infectados en caso de que no se detecte un

virus (KB53094)

• Configurar ENS para la protección ante Emotet y otras amenazas (Artículo)

• Cómo protegerse contra Ransomware (Artículo)

• Cómo responder a una infección por Ransomware (KB89805)

• Contramedidas para vectores de entrada de amenazas (KB91836)

Suscripción a boletines y Notificaciones

• McAfee Labs Security Advisories (Threat Center)

• McAfee Support Notification Service (SNS)

Contenido Multimedia

• Canal Oficial de Soporte de McAfee (YouTube)

• Canal Oficial Técnico de McAfee (YouTube)

Muchas Gracias.