Maximizando la Seguridad de la Información: Una Mirada Profunda a SIEM y ETW. Parte II
En esta segunda parte vamos a construir nuestro propio consumidor de eventos, esta herramienta puede ser una buena base, para ir ampliándola y tener un poderoso control de lo que pasa en nuestro sistema. Podremos capturar algunos eventos como estos:
- Eventos del kernel: Estos eventos están relacionados con la actividad del kernel del sistema operativo, como cambios en el estado del sistema, interrupciones del hardware, cambios de contexto de procesos, entre otros.
- Eventos de procesos y threads: ETW puede registrar eventos relacionados con la creación, terminación y cambio de estado de procesos y threads en el sistema. Esto incluye información sobre la ejecución de procesos y la asignación de recursos del sistema.
- Eventos de red: Se pueden capturar eventos relacionados con la actividad de red, como la apertura y cierre de conexiones, transmisión de datos, errores de red, etc.
- Eventos de E/S: ETW puede registrar eventos relacionados con las operaciones de entrada/salida realizadas por el sistema y las aplicaciones, incluyendo acceso a archivos, acceso a dispositivos, transferencia de datos, etc.
- Eventos de tiempo de usuario: Estos eventos están relacionados con la actividad de las aplicaciones de usuario, como inicio y cierre de aplicaciones, interacción con la interfaz de usuario, eventos personalizados generados por aplicaciones, etc.
- Eventos de diagnóstico de aplicaciones: Los desarrolladores de aplicaciones pueden utilizar ETW para registrar eventos específicos de sus aplicaciones con el fin de diagnosticar problemas, rastrear el flujo de ejecución, medir el rendimiento, etc.
Maximizando la Seguridad de la Información: Una Mirada Profunda a SIEM y ETW. Parte I
Este es el primero de tres artículos, donde voy hablar:
- ¿Qué es un SIEM?.
- ¿Qué es ETW?.
- Integración de SIEM y ETW.
Proyecto, creación de consumidor de eventos ETW en Ensamblador y C++. Como usar StarTraceA, EnableTraceEx2, OpenTraceA, ProcessTrace.
Nuestro GitHub.
Aquí podréis encontrar utilidades de programación en Python, Ensamblador… Todo relacionado con herramientas de ciberseguridad (Herramientas caseras).
Nuevo caso de Smishing
Si recibes este mensaje, desconfía.
Este «smishing» esta creado recientemente, segun nuestra investigacion, el dominio malicioso se creo el «04/03/2024».
El incibe ha confirmado que es un caso de «smishing». Tambien hemos informado a la propia entidad «cajamar».
Se aconseja cambiar credenciales que hayan podido ser expuestas y eliminar el sms.
Datos de la investigacion:
Busqueda de dominios maliciosos.
Analisis del certificado del dominio malicioso, comparado con un certificado del dominio de «cajamar.es»
Pantallas maliciosas, para hacernos introducir nuestros datos de acceso a la banca digital, tanto de «Cajamar» como del «Santander».
INCIBE mas rápido imposible, que gran labor hacéis. Ya han cortado la propagación de este smishing. Grande INCIBE!.
Siempre que te encuentre con algo parecido a esto, DENUNCIA, INCIBE te ayuda, y puedes evitar que otros usuarios puedan caer en estos “timos cibernéticos”.
Mucho cuidado con este tipo de mensajes. Una buena practica es ver cuando se dio de alta el nombre del dominio, como podéis ver el nombre esta dado de alta de hace básicamente nada.
Seguiremos investigando.