Canal de Telegram

24 oct 2014

Segu-Info » , » Instalar un servidor de hashes basados en NSRL

Instalar un servidor de hashes basados en NSRL

24 oct 2014, 3:08:00 p.m.   Comenta primero!
  ,  
No son pocas las veces que he dudado de la legitimidad de una serie de ficheros en un sistema comprometido. Máxime cuando todo apunta a una infección por algún tipo de malware y que desemboca en alguna suerte de rootkit que modifica ciertos aspectos del sistema operativo.

La solución pasa por comprobar si los hashes de estos ficheros son buenos o malos, comparándolos con alguna instalación base que ya este montada o bien desde el propio repositorio de DVD de instalación de Windows. Esto como podéis imaginar no deja de ser un gran engorro.

Para solventar esta situación me he decidido a montar un servidor de hashes NSRL en línea para realizar consultas por internet.

Biblioteca de Software de Referencia Nacional (NSRL)

NSRL, es un proyecto del Instituto Nacional de Estándares y Tecnología (NIST), que mantiene un repositorio de software conocido, de los archivos y firmas de archivo para su uso por la policía y otras organizaciones que participan en las investigaciones forenses relacionadas con la informática. El proyecto es apoyado por el Departamento de Justicia de Estados Unidos y el Instituto Nacional de Justicia así como la Oficina Federal de Investigaciones (FBI), el Servicio de Aduanas de los Estados Unidos y los proveedores y fabricantes de software.

Esta base de datos NSRL es adaptada por muchos fabricantes en sus propios productos como por ejemplo EnCase y AccesData y que desde la propia web del NIST, proporcionan un enlace para poder buscar de forma manual los Hashes.

El NSRL puede ahorrar a un analista cientos de horas en una investigación. Un solo ordenador o unidad de disco duro puede contener entre 15.000 y 50.000 archivos individuales, cada uno de los cuales deben ser examinados desde un punto de vista probatorio. Si varios equipos, unidades de disco, pendrives u otros medios de comunicación están involucrados, las horas del personal podrían llegar a los miles y tomar meses para terminar un indicio. Por ello es necesario disponer de algún tipo de validación o datos que podamos comparar.

Contenido completo en fuente original Conexión Inversa

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!