Situación
Al escanear un
dispositivo, la plataforma antivirus de una empresa ha encontrado procesos o
archivos maliciosos que no pueden ser remediados.
Los virus utilizan una
serie de métodos para impedir ser eliminados, entre ellos:
- Ejecutarse al iniciar el sistema: Los archivos abiertos no pueden ser borrados por los sistemas operativos.
- Hacen que el explorador de Windows los ejecute: Esto dificulta aún más su borrado porque no se puede terminar este proceso en sistemas cuyo funcionamiento es crítico.
- Se esconden en carpetas de sistema, haciéndose pasar por elementos críticos del sistema
- Crean llaves en el registro para regenerar archivos y procesos dañinos previamente eliminados
- Niegan su acceso a otros usuarios al crearse credenciales únicas
- Modifican su ruta y nombre para dificultar su localización, etc.
Los virus más modernos
hasta mutan su estructura interna de
forma que aunque sean encontrados puedan reaparecer sin levantar sospechas.
Estos virus llevan el nombre de virus polimórficos. Virus como el Jumcar,
diseñado en Latinoamérica para robar información financiera de cuentas
latinoamericanas, es uno de estos virus.
Al encontrarse con
cualquier situación que no pude solucionar, el programa antivirus genera una
lista de los datos dañinos encontrados y emite una alerta para activar a EnCase
Cybersecurity.
Respuesta de EnCase Cybersecurity
Los componentes
dedicados a la administración de la seguridad de información y eventos (SIEM,
según sus siglas en inglés) activan a EnCase Cybersecurity, que realiza una
evaluación extensa a los archivos y sistemas afectados, este proceso incluye:
- Recolección de las llaves de registro asociadas a los datos maliciosos
- Recolección de metadatos de los archivos: Los metadatos son todos los datos de un archivo que no son parte de su contenido, como ser la fecha de su creación, modificación y la última vez que fueron accedidos, localización del archivo en el disco, nombre de archivo, extensión, tamaño de archivo, etc.
- Creación de llaves hash de los archivos maliciosos: Las llaves hash son las huellas digitales de los archivos. Al crear una representación única del contenido del archivo, estas llaves hash permiten comparar rápidamente el contenido de un archivo a cualquier otro, permitiendo a EnCase verificar si un archivo realmente es lo que representa ser. Esto es particularmente útil cuando un virus se esconde como un proceso nativo del sistema.
Tras recoger los datos
y analizarlos, EnCase Cybersecurity empieza a eliminar el virus en todos los
dispositivos de la red. Algunas de las herramientas utilizadas en este proceso
son:
- Comparación de llaves hash: Identifica los archivos maliciosos escondidos en cualquier dispositivo independientemente de que su localización y nombre sean diferentes.
- Comparación de la similitud de archivos mediante llaves hash: Una de las herramientas más poderosas de los productos EnCase, permite comparar la similitud relativa entre archivos. Identifica la existencia de un virus que constantemente modifica su forma independiente de que el contenido de los archivos sea diferente (virus polimórficos).
- Remoción de las llaves de registro que comprometen los sistemas: EnCase no solo eliminará las llaves de registros enviadas por el antivirus, sino que verificará si existen más llaves relacionadas al virus y las eliminará.
- Remoción de todos los archivos comprometidos: EnCase Cybersecurity empieza a funcionar antes mismo de que el sistema termine de arrancar, esto le permite un acceso total a los archivos que existan en un dispositivo, eliminando la posibilidad de que un virus bloquee su supresión
Beneficio
EnCase Cybersecurity
rectifica los datos que las soluciones antivirus no consiguen remediar y permite
entender si otros datos maliciosos o procesos desconocidos han sido generados
de forma sencilla y centralizada, permitiendo usar los recursos de la empresa
rápidamente y minimizando las pérdidas potenciales causadas por el virus.
RELACIONADOS
No hay comentarios :
Publicar un comentario