Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
20/02/2013
Regles de Snort basades en l'Informe de Mandiant
Com segurament molts de vostés saben a hores d'ara, l’empresa de seguretat digital Mandiant ha emés un informe on acusa l’Exèrcit Popular d’Alliberament xinés d’estar darrere de multitud d’atacs que diverses companyies, tant nord-americanes com d’altres nacionalitats, han patit en els últims anys.
En el dit informe, que està accessible des del seu web, es proporcionen una gran varietat de detalls tècnics i el conjunt d’evidències que recolzen la teoria que el govern xinés està efectivament darrere d’eixos atacs, tal com s’ha defés durant els últims anys. Encara que alguns tècnics apunten a caires analítics en l’estudi desenrotllat per Mandiant (Mandiant APT1 Report Has Critical Analytic Flaws), crec que no hi ha dubte que si fóra cert que la Xina té programes d’espionatge cibernètic a través d’Internet, això no sorprendria ningú. De la mateixa manera que no sorprendria a ningú, tal com apunta @antoniosanzalc en Twitter, que altres potències militars com ara Israel o els EUA tingueren ja en marxa des de fa anys programes d’espionatge cibernètic. És més, quasi podríem dir que seria una imprudència no tindre'n. Al cap i a la fi, si hi ha espies a peu de camp, no hi ha raó per a no tindre'n també en la xarxa.
Tornant a l’informe de Mandiant, els annexos incorporen informació que podria ajudar a detectar sistemes o organismes infectats, ja siga per la connexió amb sistemes DNS, ús de certificats SSL o altres. Encara que és possible que després de la publicació de l’informe —sempre que la informació i les conclusions de Mandiant siguen certes— es produïsca una reducció temporal dràstica dels sistemes i recursos emprats en els atacs; a partir de la informació dels dies annexos hem creat un conjunt de firmes de Snort que poden ajudar a identificar circumstàncies i destins de connexió sospitosos, i que poden descarregar de l’enllaç a continuació.
Regles Snort de l'informe de Mandiant: apt1-unit68398.rar
Les firmes han sigut elaborades a partir dels annexos de l’informe de Mandiant per l’Àrea de Seguretat de S2 Grupo i més concretament per Roberto Amado i Raúl Rodríguez. Per a qualsevol comentari, dubte, informació o consulta, poden utilitzar els comentaris o posar-se en contacte amb nosaltres en admin@securityartwork.es.
Tinguen en compte que no ens fem responsables de qualsevol conseqüència no desitjada (increment de les alertes, etc.) derivada de la utilització d’estes firmes, i que el seu ús va pel seu compte i risc.