EF485 - EuroFach Electrónica

INVESTIGACIÓN 48 DDoS (Consiste en una denegación de servicios simple o distribuida diri- gida a un objetivo como red, servidor, dispositivo, sistema, servicio, objeto IoT/Internet-of-Thing, sistema ope- rativo, aplicación/APP, etc. Para ello se utiliza inundación, inhibición de RF, saturación del ancho de banda, jamming, perturbación-degradación de la QoS, EMP (Electro Magnetic Pulse), etc.). etc. (15) Efectos en la red. Engloba todas las técnicas que permiten al malware intentar interceptar o manipular el tráfico de red hacia o desde un dis- positivo o sistema. (16) Efectos en los servicios remotos. Engloba todas las técnicas que per- miten al malware intentar controlar o monitorizar el dispositivo o sistema utilizando servicios remotos. OPERACIONES EN TODOS LOS FRENTES REALIZADOS POR EL MALWARE DEFENSIVO El malware inteligente avanzado defensivo realiza con anticipación todo tipo de operaciones, acciones, con- ductas y comportamientos en todos los frentes: bloqueo, inactivación, neu- tralización, limitación, inhabilitación, esterilización, recuperación, mitigación, etc. de vulnerabilidades, de exploits (como EternalBlue), de estrategias y TTPs utilizadas por el malware ofensivo para ciberatacar. El malware defensivo opera en todas las direcciones (longi- tudinal, transversal, x, y, z, ict), niveles, dominios, dimensiones, espectros, etc. Por ejemplo: Bloquea líneas de comando ofuscadas/ maliciosas cmd.exe. Neutraliza vectores de ejecución sin ficheros maliciosos WMI y PowerShell. Impide la ejecución maliciosa a través de APIs y ‘service- execution’ comprometidos. Inactiva APPs Web con vulnerabilidades de caché DNS que utilizan la característica ‘password reset’. Bloquea el acceso a vulnerabilidades ‘chained zimbra’ que dan acceso a servidores de correo electrónico. Bloquea código heurístico insidioso. Bloquea la vulnerabilidad ‘node.js ’ que permite secuestrar domi- nio remoto. Bloquea la vulnerabilidad les.js que causa que el sitio Web fugue claves secretas AWS (Amazon Web Services). Bloquea DoS, contra sistemas ‘machine-learning’. Bloquea vulnera- bilidades ‘PHP Package Manager’ que deja las APP Web abiertas a abusos. Bloquea vulnerabilidades ‘xss universal’ de Microsoft Edge explotable en cual- quier página Web. Bloquea e impide el acceso malicioso con éxito a creden- ciales. Bloquea la ejecución de código utilizando maliciosamente el control de aplicaciones. Bloquea scripts mali- ciosos. Impide el acceso a software innecesario y vulnerable para impedir posibles abusos. Bloquea ‘credential dumping’ malicioso. Impide abusos de los mecanismos de carga de librerías del sistema operativo y del software para cargar código comprometido. Restringe-bloquea la capacidad de modificar ciertos ‘hives’ o claves en el Registro de Windows. Bloquea des- cargas de ficheros adjuntos de correos electrónicos infectados. Bloquea Javascript maliciosas. Restringe- bloquea extensiones maliciosas del navegador Web. Inspecciona y en su caso bloquea sesiones SSL/TLS con tráfico Web cifrado con actividad maliciosa. Cierra todas las sesiones del navegador cuando se finalizan para impedir actuaciones maliciosas enca- denadas. Bloquea el acceso al interfaz BITS (Background Intelligent Transfer Service) de Windows a usuarios o grupos maliciosos. Inactiva-bloquea despliegues maliciosos de ‘containers’ en entornos para facilitar la ejecución o evadir posibles defensas, el malware despliega un nuevo ‘container’ para ejecutar procesos asociados con una imagen o despliegue concreto como procesos que ejecutan o descargan malware. Bloquea la creación de certificados de código autofirmado maliciosos (la firma de código es el proceso de firmar digitalmente ejecu- tables y scripts para conformar el autor del software y garantizar que el código no ha sido alterado o es corrupto). Bloquea modificaciones maliciosas de GPOs (Group Policy Objects) que tratan de saltarse los controles de acceso discrecional para un dominio, normal- mente con la intención de escalado de privilegios en el dominio. Bloquea todo tipo de cambios de valores, tags y otros parámetros que el malware intenta manipular. Impide conexiones no autorizadas de dispositivos a la red, bloquea exfiltraciones maliciosas de datos. Bloquea intentos maliciosos de pérdida de visión al entorno de la víc- tima (donde existe información sobre cada activo, cuando el activo se vio por última vez en la red, todas las cone- xiones de dispositivos, etc.). Impide el establecimiento de conexiones de acceso remoto maliciosas. Bloquea comportamientos anómalos de dispo- sitivos. Bloquea conexiones maliciosas que indican intentos de explotación de aplicaciones/APPs y ciberataques de fuerza bruta. Bloquea servicios remotos externos no autorizados, conexiones anormales de un origen desconocido y conexiones entrantes anómalas de Internet. Bloquea transferencias de código malicioso de o hacia medios removibles. Bloquea cualquier compro- miso-infección potencial en la cadena de suministro. Bloquea conexiones maliciosas (cableadas o inalámbri- cas) de dispositivos no autorizados. Bloquea la ejecución a través de APIs cuya actividad es anómala. Bloquea vulnerabilidades en elementos NOP/ NULL. Bloquea ciber-ataques MITM en base a las comunicaciones como el tráfico ARP, las opciones TCP, los resets TCP anómalos, etc. Bloquea todo tipo de intentos de intrusiones maliciosas. Neutraliza toda actividad anómala en cuanto a intentos de conexión por fuerza bruta, así como comunicaciones anómalas vía SSH, Telnet, RDP, etc. utilizando el interfaz CLI (Command Line Interface). Bloquea comunicacio- nes anómalas dispositivo a dispositivo con protocolos como VNC y RDP que utilizan el interfaz GUI (Graphical User Interface), así mismo impide intentos