Webcast sobre Flame o {ponga-amenaza-aquí} para administradores IT

Estándar

Hola a tod@s!

Después de todo lo que se ha hablado del infame FLAME, poco de momento se puede hablar más, hasta que no salgan nuevos hallazgos sobre el tema. Lo que si es un hecho es que parece que este Malware ha sido el nexo de unión entre piques de soluciones Antimalware. Por un lado tenemos el post que publicó Mikko de F-Secure, en el que explícitamente nombra la amenaza de FLAME como una especie de LAMERADA con la originalidad de un “matón de colegio”.

Kaspersky, por su parte, no ha entrado en la pelea, y sigue deleitándonos con muy buenos artículos centrados en sus investigaciones sobre la supuesta amenaza (Que es lo importante), la cual, poco a poco, se nos va desvelando.

Por la parte de Bit9, han decidido realizar un Webcast (Ya terminado), en el que hacen conciencia sobre lo vulnerables que podemos ser ante este tipo de amenazas.  Son ellos también, los que han realizado un reporte “light” sobre FLAME, explicando en líneas generales (y comerciales) en qué consiste esta amenaza de tipo APT.

Yo por mi parte no voy a entrar a valorar si la metodología de ataque es buena o mala, si el código utilizado incorpora librerías no nativas del sistema, lo que convierte al Malware en un “gordito”, o si se basa en código de “otros”. Eso se lo dejo a los verdaderos profesionales del tema. Por otro lado, y puestos a ser un poco mamoncete podríamos decir que…

Mucho lamer, malware gordito y lento, pero nadie ha sido capaz de detectarlo en 4 años jaja

Desde Microsoft han reservado dos Webcast para hablar sobre amenazas de tipo persistentes (APT) que se puedan presentar y coexistir en una arquitectura Microsoft. Y me han pedido que si podía dar estas dos sesiones y aportar mi humilde opinión.

Como no quería entrar en debates sobre este tipo de amenazas, si son peligrosas o no, me he decantado por intentar aportar una visión más “administrativa” e intentar dar respuesta a ese colectivo tan olvidado de la mano de Dios… Los sufridos Administradores de Sistemas.

Así que estos dos Webcast , vayan dedicados a estos profesionales como la copa de un pino, que en multitud de ocasiones tienen que aguantar a todo un colectivo de personas con multitud de problemas…. Aclamando que el suyo es “el más importante”…

El primer Webcast irá dirigido al análisis de un Malware a través de las herramientas de SysInternals, así como otras herramientas menos conocidas, pero igual de interesantes y útiles. Todo el desarrollo de este Webcast, se complementará con demostraciones prácticas con este Malware, así que podréis ver, cómodamente desde vuestro curro, casa, bar, playa, etc..,  cómo utilizar herramientas nativas de Spectra para realizar esta primera valoración en un análisis dinámico de Malware.

El segundo Webcast va dirigido a descubrir, haciendo uso de la arquitectura existente, y con la información anterior, si la amenaza se ha extendido a otros equipos de la organización. Para ello hablaremos de Active Directory, PowerShell y por qué no…. De BATCH!! (Lorenzo no te lo pierdas!! :P)

Tanto en el primer Webcast como en el segundo, comentaré y referenciaré la ingente cantidad de buenos post redactados por compañeros de profesión como son Sergio de los Santos, Yago, Luis Delgado, Marc Rivero (Seifreed), el Maligno, etc…

Así que aprovecho también desde aquí para felicitarlos a todos ellos por tan buena información, así como el trabajo de redactarlo y publicarlo para todos. Sin estos artículos y sin la ayuda de alguno (Gracias Seifreed!) el trabajo de comprensión y adaptación me hubiese tomado el doble o triple de tiempo.

Webcast. Análisis de Flame con SysInternals (04 de Julio 16:00 horas)

En este Webcast daremos una primera visión de cómo administradores de sistemas e investigadores de seguridad, se pueden enfrentar a amenazas de tipo persistente (Advanced Persistent Threat), utilizando para ello las herramientas de Microsoft SysInternals.

Para la primera sesión, se utilizará como demostración la reciente aparición de un Malware que ha dado mucho que hablar dentro de la comunidad de seguridad, así como en equipos de gobierno y fuerzas de seguridad: el Malware FLAME.

Con la información obtenida en esta primera sesión, se podrá comprobar como los analistas de sistemas, así como administradores de seguridad, pueden utilizar estos datos para mitigar la amenaza utilizando para ello una arquitectura basada en Microsoft.

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032518505&Culture=es-ES&community=0

Webcast. ¿Amenazas a mí? Sácale partido a tu arquitectura (05 de Julio 16:00 horas)

A través de la información recogida y analizada en el Webcast anterior (Análisis de Flame con Sysinternals), se procederá a mitigar una posible amenaza, utilizando para ello la propia infraestructura Microsoft que posea un cliente específico. A lo largo de la sesión, se dará una visión global y ejemplos específicos como por ejemplo Active Directory o PowerShell.

https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032518510&Culture=es-ES&community=0

Para teminar este post, y haciendo alusión a la palabra LAMER, utilizada para referenciar una amenaza, termino con unas palabras que me dijo un Administrador de Sistemas: “Una amenaza, por pobre que sea, es dañina por la propia definición de la palabra amenaza. No hay que olvidar que nosotros nos debemos a nuestros usuarios”.

Os espero la semana que viene!

Salu2 a tod@s!!

About these ads

22 comentarios en “Webcast sobre Flame o {ponga-amenaza-aquí} para administradores IT

  1. Sandia

    Muchas gracias Juan ,siempre ayuda mucho este tipo de información, y más cuando un adminsitrador de sistemas, com un humilde servidor, aprende que con un BGInfo te la pueden meter doblada jejejeje :-P.

    Salu2!

  2. Gerard

    No me lo pierdo ni loco… La pena es que solo duren 1 hora cada una. Que sepas que si quieres tienes una semana con todos los gastos pagados en León, así puedo exprimirte ese coco a gusto…
    No te imaginas las peazo tapas que te comerías y la buena fiesta que hay por estos lares…

    Te lo digo desde mi más humilde heterosexualidad :-)

    • Oleeeeee! :)
      Jajaja, te lo agradezco Lorenzo! Porque te aseguro que con esa pregunta reinaría un incomodo silencio! :P
      El segundo Webcast es el que va dirigido a scripters de cualquier motor. Yo la demo la haré con el script de Luis, y después pasaré a implementar el mismo script con PowerShell y soporte a toda la infraestructura, pero tengo preparadas unas slides para scripters que piquen código en Infraestructura AD con Perl o Python
      Gracias Lorenzo!

  3. Muy buenas Juanito!!! Una pregunta: ¿para cuándo estarán disponibles los webcasts para verlos “off-line”? Es que me apunté a los dos pero me es imposible estar “en directo”. Gracias y enhorabuena por tu trabajo!!!

    • Qué pasa Jay?
      Ahora mismo se están montando. Al parecer ha habido algún problema con el primer Webcast. El segundo Webcast, si dios quiere estará disponible esta misma tarde!
      Salu2!

  4. aramosf

    Pues hombre, yo creo que el post de Mikko ha sido mal interpretado. Es tan solo un recurso literario, puro sarcasmo. El tío dice que muchas cosas pueden parecer lame, hasta que llega a la última y “ops!” pues no parece ser tan lame.

    • Puede ser lo que tú dices DAB. Y si es así el primero en interpretarlo mal he sido yo. Aquí el amigo SSantos es el que ha dicho las cosas claras. Que las casas de antivirus están utilizando Flame para vender más y más. Aunque otras cosas no me quedan tan claras…

  5. fffrrr

    Que tal Juanito, que no he podido entrar al primer webinar y seguro el segundo me lo perderé por cuestiones de trabajo, hay posibilidad de postear los videos? donde podemos verlos posteriormente para aquellos que nos los perdimos?

  6. Celso

    Hola Juanito,
    En los webcast comentastes que colgarias las slides de la presentacion.
    ¿donde las podemos adquirir?
    Felicitarte por los webcast.
    Un cordial saludo

Deja un comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s