Descafeinado, por favor
DECAF, es una nueva herramienta anti-forense, especialmente creada para contrarrestar COFEE. Vale vamos por partes.
COFEE es una herramienta de análisis forense que Microsoft creo especialmente para los cuerpos de seguridad. Dicha herramienta es básicamente un conjunto de scripts (unos 150) que puedes correr individualmente. Como cualquier herramienta de análisis forense, su principal objetivo es sacar toda la información de valor de un equipo que ha sido comprometido, de forma que se pueda deducir, quién comprometió el equipo, cómo, cuándo y qué hizo. Y viniendo de Microsoft, quien mejor que ellos conocen sus sistemas por dentro, tuvo gran repercusión, pero como dije antes, este software no estaba disponible para el usuario final, sino que fue suministrada sólo a los cuerpos de seguridad y del gobierno. Pero como suele ocurrir con los productos de dicha compañía, siempre se acaban filtrando y por lo tanto disponibles para cualquiera.
Dicho esto, esta semana apareció un producto llamado DECAF, tal como dije en la introducción, una herramienta diseñada para contrarrestar COFEE, creada, según parece, por dos programadores anónimos. Según parece, esta herramienta una vez instalada se dedica a buscar alguna evidencia de la presencia de COFEE en el sistema, borrando así ficheros de logs y procesos asociados a la misma, deshabilitando las unidades USB y cambiando las direcciones MAC para confundir el análisis forense. Sus creadores incluso dicen que puedes bloquear tu máquina de forma remota cuando ésta esté siendo analizada.
Fuente de la noticia: Wired.
Buscar
Entradas Recientes
- Posts
- Reemplazando la bateria del AirTag
- OpenExpo Europe décima edición, 18 de mayo: El Epicentro de la Innovación y la Transformación Digital
- Docker Init
- Kubernetes para profesionales
- Agenda: OpenExpo Europe 2022 llega el 30 de junio en formato presencial
- Libro 'Manual de la Resilencia', de Alejandro Corletti, toda una referencia para la gestión de la seguridad en nuestros sistemas
- Mujeres hackers en ElevenPaths Radio
- Creando certificados X.509 caducados
- Generador de imágenes Docker para infosec