Reporte de infección (malware)
El día martes 17 de noviembre se recibió un correo electrónico de parte del dominio notification@us4y.app.anaplaam.com con un archivo adjunto el cual supuestamente el correo especificaba ser un estado de cuenta y el archivo era descargado e identificado como un simple archivo de EXCEL.
El archivo inmediatamente fue identificado por la protección de F-Secure e incluso puesto en cuarentena de forma automática, al mismo tiempo recibimos una notificación por correo electrónico para conocer estado de lo que está pasando.
¿Pero qué pasaría si los usuarios que reciben esta clase de correos y no cuentan con ninguna protección?
Con la herramienta de F-Secure RDR podemos saber cuál sería el escenario que tendríamos al no contar con una protección y podremos saber cuál es la actividad que genera en el equipo de un usuario.
En esta primera imagen lo que podemos observar primero es la maquina en la que se descargó y se ejecutó el archivo de EXCEL y después el nombre del archivo malicioso.
Este árbol de procesos se generó en la consola después de aproximadamente 2 minutos después de abrir el archivo malicioso.
Este archivo fue detectado como un troyano en el árbol de procesos, el cual puso en ejecución dos procesos los cuales son procesos propios del sistema Windows los cuales son (mshta.exe y wmiprvse.exe)
- wmiprvse.exe es un archivo ejecutable alojado en el disco duro deL equipo y a él están asociadas las operaciones de distribución de tareas.
- mshta.exe Host es una aplicación HTML de Microsoft que permite la ejecución de scripts en Windows
Estos procesos al ser propios de Windows no pueden ser detectados rápidamente por la protección de Windows Defender lo cual deja al equipo vulnerable hasta que pueda ser detectado por la protección de Windows.
En conclusión, se observa que la infección no logro concluir, ya que no encontramos ningún otro proceso o scripts que se halla realizado en el equipo; ademas de no mostrar signos de infección tales como cifrado o errores en la estructura de carpetas y archivos; finalmente se observo que el archivo malicioso de Excel se auto elimino.
Ventajas de RDR con un antivirus propio de F-Secure o de algún otro fabricante
Las ventajas que tendríamos con RDR Y un antivirus de F-Secure en conjunto es que al ser detectado podremos hacer el bloque y eliminación del troyano desde una sola consola ya que RDR nos facilita la ubicación del archivo y el SHA de la aplicación.
En el caso de tener alguna otra protección podemos notificar de estos procesos al área de sistemas para que puedan tomar las medidas adecuadas.
Por ultimo podemos agregar respuestas automatizadas para que en el momento que una alerta se presente podamos aislar el equipo o los equipos que estén involucrados en esta alerta.