Embed Size (px)
Citation preview
Córdoba Support Team
Gestionar Incidentes de Malware
McAfee Support Webinars
Darío M. Menten Reynoso | Technical Support Engineer
AgendaInformación General sobre Malware
• Que es un Malware?
• Tipos de Malware
Manejo de incidentes de Malware desde el Portal de Soporte
• Procedimiento paso a paso para abrir un caso de Soporte de Malware
• Métodos para subir una muestra de Malware a McAfee Labs
Revisión y recomendaciones de Mejores Prácticas de seguridad
• Nivel de Sensibilidad de GTI
• Antimalware Scan Interface (AMSI)
• Reglas de Protección de Acceso
• Escaneos bajo demanda
• Monitoreo de la infraestructura
Adaptive Threat Protection
• Configuraciones Recomendadas
• Corrección Mejorada y Trazabilidad
Herramientas Adicionales
Q & A
Info
rmació
n G
en
era
l
Que es un Malware?
Definición de Malware
• Malware es un acrónimo del inglés de malicious software: programa malicioso
• Se llama malware a todos los programas que ejecutan acciones no deseadas en un sistema
Tipos de Malware
• Virus: pueden eliminar archivos, directorios y datos sin autorización.
• Spyware: colecta datos del usuario sin su permiso, desde mensajes de correos electrónicos hasta números de
tarjetas de crédito.
• Gusanos: se alojan en un sistema creando copias infinitas de sí mismos, con la finalidad de colapsar la red o el
dispositivo bloqueando cualquier trabajo adicional.
• Troyanos: al ser activados o abiertos, permite el acceso no autorizado a datos en el computador o sistema
informático infectado.
• PUP (Potentially Unwanted Program): Son programas legítimos que realizan acciones no deseadas
• Falsos Positivos: Programas que realizan acciones sospechosas, pero no llegan a ser maliciosos.
Soporte de McAfee: Malware
Man
ejo
de In
ciden
tes d
e M
alw
are
desd
e e
l Po
rtal d
e S
op
orte
Como abrir una solicitud de Servicio
Abrir un caso con Soporte | Subir una muestra de Malware
1. Ingresar a
support.mcafee.com
2. Colocar Usuario
3. Colocar contraseña
4. Hacer click en Log In
Paso 1
Man
ejo
de In
ciden
tes d
e M
alw
are
desd
e e
l Po
rtal d
e S
op
orte
Como abrir una solicitud de Servicio
Abrir un caso con Soporte | Subir una muestra de Malware
Paso 1 Paso 2
Man
ejo
de In
ciden
tes d
e M
alw
are
desd
e e
l Po
rtal d
e S
op
orte
Como abrir una solicitud de Servicio
Abrir un caso con Soporte | Subir una muestra de Malware
Paso 1 Paso 2 Paso 3
• Dar una descripción breve del problema en el campo
“Summary”
Ejemplo: Malware detectado pero no eliminado
• En el campo “Description”, explicar mas en detalle el
problema y que se necesita del soporte de McAfee
Ejemplo: ENS esta detectando el malware como
Generic.drp pero no lo esta eliminando. Solicitamos
ayuda para poder eliminar la amenaza.
• Haciendo click en Submit, la solicitud de servicio
queda registrada en soporte y automáticamente
asignada a un TSE. Se informará por correo el nro. de
SR asignado.
Métodos para subir una muestra de Malware
McAfee Service Portal
• Método preferido por McAfee Labs para recibir muestras de nuestros clientes.
• Este método es el mas rápido.
• Las instrucciones de como subir una muestra se encuentran en el artículo KB68030
GetSusp
• Utilidad descargable para subir muestras
• Analiza el sistema en busca de archivos sospechosos, luego sube las muestras recolectadas
• Aún sin tener un Número de Concesión valido, permite subir muestras
• Para mas detalles de la herramienta acceder al artículo KB69385
• Se podrá subir muestras a McAfee Labs adjuntándolas a un correo y enviándolas a
• Para adjuntar las muestras, estas deben estar en un archivo zip y con contraseña "infected".
FTP (Sin limite de tamaño)
• Este procedimiento se debe seguir solo si ha sido imposible subir una muestra por los métodos anteriores.
• Las instrucciones para realizar este procedimiento se encuentran en el articulo KB87703
Abrir un caso con Soporte | Subir una muestra de Malware
Man
ejo
de In
ciden
tes d
e M
alw
are
desd
e e
l Po
rtal d
e S
op
orte
Mediante Service Portal
Abrir un caso con Soporte | Subir una muestra de Malware
Man
ejo
de In
ciden
tes d
e M
alw
are
desd
e e
l Po
rtal d
e S
op
orte
Paso 1
Mediante Service Portal
Abrir un caso con Soporte | Subir una muestra de Malware
Man
ejo
de In
ciden
tes d
e M
alw
are
desd
e e
l Po
rtal d
e S
op
orte
• Recolectar todas las muestras en
una sola ubicación
• Generar un archivo zip con todas
las muestras o un archivo zip por
muestra
• Colocarle la contraseña ‘infected’ a
los archivos zip
• Las instrucciones se pueden
encontrar en el KB68030
Paso 1 Paso 2
Mediante Service Portal
Abrir un caso con Soporte | Subir una muestra de Malware
Man
ejo
de In
ciden
tes d
e M
alw
are
desd
e e
l Po
rtal d
e S
op
orte
• Especificar el Producto ENS o VSE
• Elegir la versión del producto
• Elegir el tipo de Falla
• Fallo en la detección
• Falso Positivo
• Subir la muestra guardada en .zip y luego hacer click
en Upload para que habilite el botón Submit
• Colocar la versión del DAT instalado en el equipo
que no detectó la muestra.
• Colocar cualquier comentario que encuentren útil
para la muestra.
• Hacer click en Submit al finalizar.
Paso 1 Paso 2 Paso 3
Usando GetSusp
Abrir un caso con Soporte | Subir una muestra de Malware
Man
ejo
de In
ciden
tes d
e M
alw
are
desd
e e
l Po
rtal d
e S
op
orte
• Descargar GetSusp
• Luego de ejecutar, revisar las preferencias. Si es
necesario modificar configuraciones
• Hacer click en Scan Now para iniciar el escaneo
• Entre 3 y 5 minutos después finalizará el proceso
• Si completó las preferencias correctamente,
intentará subir las muestras
• Puede subir las muestras, alternativamente por el
portal o cualquiera de los métodos nombrados
anteriormente.
Mediante Correo electrónico
Abrir un caso con Soporte | Subir una muestra de Malware
Man
ejo
de In
ciden
tes d
e M
alw
are
desd
e e
l Po
rtal d
e S
op
orte
Mediante FTP
• Enviar un correo a [email protected]
• El asunto puede contener cualquier información
• La muestra debe estar en .zip y tener la contraseña
‘infected’
• El cuerpo del mensaje puede contener cualquier
información
• Recibirá una respuesta con un ID y/o un Extra.Dat
• Seguir las instrucciones del KB87703
• Colocar los comandos como muestra la
imagen.
• No cambiar a la carpeta msteg
Mayor protección con ENSTP
Mayo
r Pro
tecció
n co
n E
NSTP
Acerca de GTI
GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo
Servicio de reputación en la nube basado en:
• Sensores alrededor del mundo
• Gran equipo de investigación
• Muestras provistas por el cliente
Servicios entregados por GTI
• Reputación de Archivos de GTI (ENSTP y ATP)
• Reputación Web de GTI (ENSWC)
• Categorización Web de GTI (ENSWC)
• Reputación de redes de GTI (ENSFW)
• Reputación de certificados de GTI (ENSTP y ATP)
• Malware Zero-day y muy antiguos están en GTI
Perteneciente al módulo OAS de ENS Threat Prevention
• Anteriormente conocido como Artemis (Heurística en VSE)
Mayo
r Pro
tecció
n co
n E
NSTP
Configuraciones Recomendadas
• Tener activado GTI (ver artículo KB70130)
• Catálogo de Políticas: ENS
• Policy Category
• On-Access Scan
• [Policy Name]
• McAfee GTI
• Enable McAfee GTI
• Sensitivity Level: Alto
• Asegurar acceso a los sitios de GTI (KB79640)
• Verificar funcionamiento de GTI (KB53733)
• Preguntas Frecuentes sobre GTI (KB53735)
Porque esto es Importante?
Mejora notablemente el nro. de
detecciones de Malware
GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo
Mayo
r Pro
tecció
n co
n E
NSTP
Que es AMSI?
GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo
• Característica de Sist. Operativos Windows 10 y 2016
• Interface entre aplicaciones y productos antimalware
• Técnicas de protección antimalware para
• Archivos
• Memoria
• Verificación de reputación de URL/IP
Componentes protegidos por AMSI
• Control de cuentas de usuario (UAC)
• PowerShell
• Windows Script Host (wscript.exe y cscript.exe)
• JavaScript and VBScript
• Macros VBA Office
Mayo
r Pro
tecció
n co
n E
NSTP
Configuraciones recomendadas
Porque esto es Importante?Mejora la detección de amenazas File-less (scripts)
• Pertenece al módulo OAS de ENS Threat Prevention
• AMSI Activado por defecto en Modo Observación
• Catálogo de Políticas: ENS
• Policy Category
• On-Access Scan
• [Policy Name]
• Antimalware Scan Interface
• Enable AMSI
• Disable Observe Mode
• Artículo técnico McAfee ENS + AMSI
GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo
Mayo
r Pro
tecció
n co
n E
NSTP
Que es Protección de Acceso?
GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo
• Módulo de ENS Threat Prevention
• Reglas para proteger
• Archivos
• Registros
• Procesos
• Servicios
• Tipos de Reglas de Protección de Acceso
• Predefinidas por McAfee
• Previenen los cambios en config. y archivos
comunes
• No se pueden eliminar
• Se pueden cambiar algunas configuraciones
• Definidas por el usuario
• Se puede aplicar a ejecutables y/o usuarios
• Completamente configurables
Mayo
r Pro
tecció
n co
n E
NSTP
Cómo crear reglas de PA
GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo
Recomendación ImportanteManejar reglas de acuerdo a las amenazas mas frecuentes
• Catálogo de Políticas: ENS
• Policy Category
• Access Protection
• [Policy Name]
• Rules > [Add]
• Colocar nombre a la Regla
• Elegir la acción, Bloquear y/o Reportar
• Especificar los ejecutables
• Especificar los usuarios
• Generar la SubRegla
• Colocar nombre a la SubRegla
• Colocar el destino de la regla
Laboratorio activo Cómo generar reglas de protección de Acceso
Mayo
r Pro
tecció
n co
n E
NSTP
Consideraciones Generales
GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo
• Utilizar en contención de Incidencias de Malware
• Numero acotado de reglas activas
• Tratar de no utilizar para prevención de Malware conocido
• Reportar solo lo necesario
• Colocar Reglas en modo Bloquear o Reportar según se necesite
Artículos relacionados
• Crear reglas de protección de acceso (KB86577)
• Utilizar comodines adecuadamente (KB54812)
• Video: Escribiendo una regla de Protección de Acceso (Youtube)
• Como protegerse contra Emotet (KB90108)
Mayo
r Pro
tecció
n co
n E
NSTP
Aspectos Generales
GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo
• Basados en Política
• Full Scan
• Quick Scan
• Right Click Scan
• Basados en configuraciones personales
• Utilización de recursos de la tarea (KB55145)
• Por defecto utiliza el 100% del CPU
• Prioridad configurable desde la tarea
• Realizar Escaneos Completos Semanales (fuera de horarios
productivos)
• Realizar Escaneos Rápidos Diarios
• Prestar especial atención a las configuraciones:
• Pause scans automatically
• Scan only when system is idle
• Revisar las prácticas recomendadas de ODS (KB55145)
Porque esto es Importante?Tarea de mantenimiento que ayuda a asegurar el ambiente contra amenazas.
Mayo
r Pro
tecció
n co
n E
NSTP
Monitorear la Infraestructura
GTI | AMSI | Protección de Acceso | Escaneo bajo demanda | Monitoreo
Paneles
• Endpoint Security: Compliance Status
• Verificar la conformidad de todos módulos
• Endpoint Security: Detection Status
• Verificar eventos de amenazas
• Verificar eventos de violación de reglas de A
Consultas (McAfee Groups > Endpoint Security)
• ENSTP: Systems not Completed a Full Scan in the last 7 Days
• ENSTP: Top 10 Access Protection Rules Broken
• ENSTP: Top 10 Computers with the Most Detections
• ENSTP: Top 10 Threat Sources
Reportes
• Generar reportes exportables a PDF
• Enviar reportes mediante correo electrónico
Adaptive Threat Protection
Ad
ap
tive
Th
reat
Pro
tectio
n
Qué es ATP?
Información | Configuraciones | Remediación y trazabilidad
• Protección basada en
• Reputación de archivos
• Reglas de contención
• Añade los siguientes beneficios
• Rápida detección y protección ante amenazas desconocidas
• Detecta el comportamiento de la amenaza
• Contiene y bloquea archivos específicos y certificados por reputación
• Integración con Real Protect para el análisis de la reputación
• Integracion con ATD y TIE (o GTI)
• Se integra con TP tomando exclusiones de este módulo
• Protección avanzada contra día cero y ransomware
• Funciones de Remediación e historial de la amenaza
• Artículo relacionado con el funcionamiento de ATP
• Prácticas recomendadas de ATP (KB87843)
Ad
ap
tive
Th
reat
Pro
tectio
n
Configuraciones Recomendadas
Información | Configuraciones | Remediación y trazabilidad
• Alto nivel de protección con configuraciones de fábrica
• Subir el nivel de protección en equipos críticos y servidores
• Catálogo de Políticas: ENSATP
• Policy Category: On-Access Scan
• [Policy Name]
• Real Protect Scanning
• Enable client-based scanning
• Sensitivity Level: High
• Enable cloud-based scanning
• Rule Assignment
• Rule Group: Security
• Verificar el grupo de reglas en ePO
• Menu > Server Settings > Adaptive Threat Protection
(Se actualizan periódicamente)
Porque esto es Importante?Módulo Indispensable para la detección de Ransomware.
Ad
ap
tive
Th
reat
Pro
tectio
n
Corrección Mejorada
Información | Configuraciones | Remediación y trazabilidad
AclaraciónLa remediación de archivos no viene habilitado por defecto.
• Permite la ejecución de procesos desconocidos sin retrasos
ni bloqueos
• Monitorea el comportamiento de procesos desconocidos
• Recupera los cambios realizados por el proceso malicioso
(Configuraciones y archivos)
• Elimina el proceso malicioso y bloquea sus predecesores y
sus sucesores
• Remueve referencias al proceso malicioso
• Entradas WMI
• Entradas de Registro
• Tareas Programadas
• Accesos Directo
Cómo Funciona
Proceso se
ejecuta
No excluido y
rep 50 o menor
Monitoreo del
proceso y sus
asociados
Es
malicioso?
Detiene
monitoreo y
remueve datos
respaldados
Detiene el
proceso y sus
asociados,
recupera
cambios
NO
SI
Nuevo
en ENS
10.7
Ad
ap
tive
Th
reat
Pro
tectio
n
Gráfico de Historia
Información | Configuraciones | Remediación y trazabilidad
• Provee una representación visual de las detecciones
• Permite examinar el contexto en el que se ejecutó una amenaza
• Ayuda a responder estos cuestionamientos:
• Qué fue ejecutado junto con el proceso?
• Porqué ENS sabe que es Malicioso?
• De donde provino la amenaza?
• En que momento ENS detuvo la amenaza
• La imagen muestra las secciones del grafico
1. Los procesos involucrados
2. Parentesco de los proceso y archivos
3. Detalles del evento seleccionado
4. El proceso que inicio el evento
Nuevo
en ENS
10.7
Laboratorio activo Cómo funciona Corrección Mejorada yGráfico de Historia
Herramientas Adicionales
Herra
mie
nta
s Ad
icion
ale
s
Herramientas | Artículos
McAfee Stinger
• Utilidad portable para remover malware
• Utiliza Real Protect
• Se puede utilizar en Modo Seguro
• Necesita acceso a Internet (GTI)
• Como usar Stinger (How to)
IPS Expert Rules
• Herramienta disponible en Exploit Prevention
• Similar a Access Protection pero mas versátil
• Se puede prevenir comportamientos maliciosos
• Videos de entrenamiento de Expert Rules (KB89677)
• Repositorio de Expert Rules en Github
Herra
mie
nta
s Ad
icion
ale
s
Herramientas | Artículos
Base de Conocimientos
• Encontrar posibles archivos infectados en caso de que no se detecte un
virus (KB53094)
• Configurar ENS para la protección ante Emotet y otras amenazas (Artículo)
• Cómo protegerse contra Ransomware (Artículo)
• Cómo responder a una infección por Ransomware (KB89805)
• Contramedidas para vectores de entrada de amenazas (KB91836)
Suscripción a boletines y Notificaciones
• McAfee Labs Security Advisories (Threat Center)
• McAfee Support Notification Service (SNS)
Contenido Multimedia
• Canal Oficial de Soporte de McAfee (YouTube)
• Canal Oficial Técnico de McAfee (YouTube)
Muchas Gracias.
