24 oct. 2014

Instalar un servidor de hashes basados en NSRL

No son pocas las veces que he dudado de la legitimidad de una serie de ficheros en un sistema comprometido. Máxime cuando todo apunta a una infección por algún tipo de malware y que desemboca en alguna suerte de rootkit que modifica ciertos aspectos del sistema operativo.

La solución pasa por comprobar si los hashes de estos ficheros son buenos o malos, comparándolos con alguna instalación base que ya este montada o bien desde el propio repositorio de DVD de instalación de Windows. Esto como podéis imaginar no deja de ser un gran engorro.

Para solventar esta situación me he decidido a montar un servidor de hashes NSRL en línea para realizar consultas por internet.

Biblioteca de Software de Referencia Nacional (NSRL)

NSRL, es un proyecto del Instituto Nacional de Estándares y Tecnología (NIST), que mantiene un repositorio de software conocido, de los archivos y firmas de archivo para su uso por la policía y otras organizaciones que participan en las investigaciones forenses relacionadas con la informática. El proyecto es apoyado por el Departamento de Justicia de Estados Unidos y el Instituto Nacional de Justicia así como la Oficina Federal de Investigaciones (FBI), el Servicio de Aduanas de los Estados Unidos y los proveedores y fabricantes de software.

Esta base de datos NSRL es adaptada por muchos fabricantes en sus propios productos como por ejemplo EnCase y AccesData y que desde la propia web del NIST, proporcionan un enlace para poder buscar de forma manual los Hashes.

El NSRL puede ahorrar a un analista cientos de horas en una investigación. Un solo ordenador o unidad de disco duro puede contener entre 15.000 y 50.000 archivos individuales, cada uno de los cuales deben ser examinados desde un punto de vista probatorio. Si varios equipos, unidades de disco, pendrives u otros medios de comunicación están involucrados, las horas del personal podrían llegar a los miles y tomar meses para terminar un indicio. Por ello es necesario disponer de algún tipo de validación o datos que podamos comparar.

Contenido completo en fuente original Conexión Inversa

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!