SG37

CIBERSEGURIDAD 61 Destrucción (engloba técnicas como cifrado, borrado, corrupción, etc.), Robo de datos, Manipulación (integra técnicas como fabricación, modificación, cancelación), Efectos en la red, Efectos en los servicios remotos, etc. Por ejemplo, la táctica ‘ejecución’ (que permite a un malware ofensivo ejecutar código malicioso en un objetivo) se compone de infinidad de técnicas como, por ejemplo, ‘ejecución utilizando APIs’ (que posibilita lanzar procesos llamando a la API Windows de función ‘createprocessA’. En este caso el malware defensivo bloqueará cualquier intento de realizar llamadas maliciosas. Otra técnica que el malware de defensa neutralizará es cualquier intento malicioso de ejecutar dll (dynamic-link-library) vía rundll32.exe. Otra técnica que el malware de defensa se encarga de bloquear es cualquier intento malicioso de interactuar con el dispositivo utilizando ‘command-line-interface’ cmd.exe para la ejecución no autorizada de módulos. Otra técnica que el malware de defensa neutralizará es ‘powershell’, es decir, bloqueará cualquier intento malicioso de ejecutar powershell y llamar a ‘createobject’ para crear un objeto shell para descargar y a continuación ejecutar el malware en segundo plano. Otra técnica que el malware de defensa neutralizará es ‘wmi (windows management instrumentation)’, es decir bloqueará cualquier intento malicioso de acceder a wmi, por ejemplo, para extraer información sobre el sistema operativo o software anti-malware instalado, así mismo, bloqueará cualquier intento de uso de wmic (wmi command-line) para la ejecución de código malware y crear procesos. Por ejemplo, la táctica ‘persistencia’ (que permite a un malware ofensivo mantener su presencia en un objetivo) se compone de infinidad de técnicas como, por ejemplo: ‘registry run keys’ / ‘start folder’ (que posibilita añadir una clave de autoarranque al registro Windows o al startup-folder). El malware defensivo bloqueará cualquier intento de añadir una clave de autoarranque o directamente lanzar ficheros pe (portable executable) al statup-folder. Otra técnica que el malware de defensa neutralizará es cualquier intento de usar la función ‘createserviceA’ y añadir dlls maliciosas. Otra técnica que el malware de defensa neutralizará es ‘modifyexisting-service’ bloqueando cualquier intento de modificar las claves de registro utilizando reg.exe en HKEY_ LOCAL_MACHINE\SYSTEM\SYSTEM\ ControlSet001\services\ o utilizando sc.exe para modificar los servicios Windows de status como Windows Update. Otra técnica que el malware de defensa neutralizará es ‘hooking’ para ello bloqueará cualquier intento de interceptación de diversas funciones software como por ejemplo las funciones específicas del navegador. Otra táctica (destrucción) que el malware bloqueará es cualquier intento malicioso de borrado de firmware, software o datos. Otra táctica (manipulación) que el malware neutralizará es cualquier intento de añadir de forma no autorizada datos en un sistema (un parámetro en un f ichero de conf iguración, etc.) o bloqueará cualquier modificación maliciosa a datos legítimos, cambiar entradas, salidas, que causen un malfuncionamiento del objetivo, por ejemplo, dispositivos, sistemas, ICS, CPS, etc. Otra táctica (‘persistencia’, se compone de muchas técnicas como, por ejemplo, ‘sheduled task’, ‘image file execution options injection’, etc.). El malware defensivo neutralizará ‘sheduled task’, bloqueando cualquier intento malicioso de usar at.exe y schtasks.exe para disparar la ejecución de código malicioso en cada rearranque o cada cierto tiempo. El malware defensivo neutralizará la técnica ‘image file execution options injection’, bloqueando cualquier intento malicioso de realizar la ‘image file execution options injection’ para lanzar un nuevo proceso adjuntando un debugger a un proceso corriente o utilizando ‘Registry Run Keys / Start Folder’. Otra táctica (‘acceso inicial’, se compone de muchas técnicas como, por ejemplo, ‘wireless comproise’, ‘supply chain compromise’, ‘spear-phishing attachment’, ‘replication through removoble media’, ‘Internet accesible device’, etc.). El malware defensivo neutralizará “wireless compromise”, bloqueando dispositivos no autorizados que intenten conectarse a la red o realizar actividad maliciosa inalámbrica o cableada. El malware defensivo, tras vigilar todas las comunicaciones

RkJQdWJsaXNoZXIy Njg1MjYx