Cómo saber si un equipo está infectado por una APT

Iniciado por wolfbcn, 22 Febrero 2013, 15:50 PM

0 Miembros y 1 Visitante están viendo este tema.

wolfbcn

Todas las organizaciones están alerta ante el incremento del número de Amenazas Persistentes Avanzadas (APT) en los últimos años. He aquí cinco claves para saber si un equipo está infectado por una de ellas.

El malware cada vez se vuelve más agresivo e inteligente, y un vivo ejemplo de ello son las Amenazas Persistentes Avanzadas, un tipo de malware dirigido que está causando estragos a organizaciones de todo el mundo.

Las pistas deben servir únicamente como un método de detectar si algo no cuadra en las redes de la compañía y no como un método de diagnóstico fiable al cien por cien. En caso de creer que un equipo u organización se está viendo afectada por uno de estos ataques, siempre es conveniente que un experto en seguridad analice pormenorizadamente el sistema y determine la gravedad del ataque, así como las posibilidades que se presenten.

Estas son los cinco detalles que delatan a una Amenaza Persistente Avanzada:

1) Intentos de conexión fallidos
A menudo el malware intenta conectarse, a través de internet, a hosts que no existen.  Mientras que una única conexión incorrecta, puede deberse a errores cometidos por el usuario o a que se ha seguido un enlace erróneo, una serie de conexiones fallidas consecutivas, puede ser síntoma de una infección de malware.

2) Elección de aplicaciones
Un host que instala una aplicación de compartición de archivos (P2P) puede ser considerado más peligroso que un host que instala un juego. Algunas organizaciones podrían considerar que ambas acciones son problemáticas. La capacidad de otorgar un "peso" a cada acción permitirá cuantificar correctamente el riesgo.

3) Localización geográfica
Las visitas a hosts en determinados países pueden considerarse un comportamiento de alto riesgo, sobre todo si hay un volumen de tráfico significativo. Identificar tal comportamiento combinándose con una lista blanca que identifique los sites legítimos en tales países, ayuda a identificar clientes infectados.

4) Información de la sesión
Cuando un dispositivo comienza a escuchar  en un puerto para recibir una conexión desde el exterior pero no ha iniciado previamente dicha conexión, puede tratarse de una infección APT.

5) Categoría de destino
Si se visitan determinados tipos de websites, como sitios de apuestas, webs para adultos o aquellos sitios conocidos por contener malware,  puede también ser síntoma de una infección APT.

FUENTE :http://www.ciospain.es/seguridad/como-saber-si-un-equipo-esta-infectado-por-una-apt
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.