SG40 - Seguridad

CIBERSEGURIDAD 49 a sistemas específicos o para realizar funciones concretas que son necesarias para que los ciber-atacantes o malware ofensivo puedan realizar sus objetivos perversos. La escalada de privilegios proporciona al ciberatacante o malware permisos más elevados en un sistema o red. El DAIM está diseñado para neutralizar y bloquear todo tipo de intentos de explotar todo tipo de vulnerabilidades, por ejemplo, la vulnerabilidad CVE-2017-8759. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de ‘inyección de procesos: Dynamic-link Library Injection’, ‘scheduled task’, ‘new service’, ‘access token manipulation’, ‘AppInit DLLs’, ‘AppCert DLLs’, etc. (5) Evasión de defensas. Esta táctica permite al ciberatacante/malware evadir su detección y evitar otros tipos de defensas. El DAIM neutralizará y bloqueará todo tipo de intentos de evasión de detección y evitación de defensas en todas las fases de la operación del ciber-ataque. Así mismo bloqueará toda clase de intentos maliciosos de ‘modificar el registro’, ‘inyección de procesos’, ‘scripting’, ‘mascarada’ (se trata de manipular o abusar de nombres y localizaciones de ficheros legítimos para evadir defensas, por ejemplo, crear presencia en directorios de ficheros de programas, Windows y driver. El DAIMbloqueará todo tipo de intentos maliciosos de crear ficheros dentro del directorio system32, así como crear ficheros ejecutables con nombres similares a los ficherosWindows existentes, así como emplear nombres de aplicaciones comúnmente utilizadas en aplicaciones de terceras partes), ‘inhabilitación de herramientas de ciberseguridad’, ‘access token manipulation’, ‘bypass user account control’, ‘BITS Jobs’, ‘DLL Side-Loading’, ‘binary padding’, ‘softwarepacking’ (el DAIMbloqueará todo tipo de intentomalicioso de existencia de packing-compresión con packers como UPX, RAR, etc.), ‘ficheros o información ofuscada’ (se trata de ofuscar los contenidos-instrucciones de los ciber-ataques en tránsito y en almacenamiento. El DAIMbloqueará todo tipo de intentos maliciosos de existencia de código fuente.NET que contenga largas secciones de código codificado en Base64, así como código.NET que llame a funciones de descifrado ‘CreateDecryptor’, así mismo ‘inlined NOP slides’ que implica la presencia de código Shell ofuscado), ‘cambio de modo de operación’, ‘falsificación de mensaje de reporting’, ‘desofuscar/ descodificar ficheros e información’ (el DAIM bloqueará todo tipo de uso malicioso de funciones de descifrar strings para recuperar las secciones de código malicioso ofuscado. La técnica es cifrar sólo las secciones maliciosas de un malware ofensivo y descodificarlas antes de ejecutarlas para evadir su detección), etc. El DAIM bloqueará y neutralizará todo tipo de intentos maliciosos de ejecutar una DLL (Dynamic-Link Library) vía ‘rundll32. exe’ y de ‘inyección de procesos’. (6) Acceso a credenciales. Posibilitan al ciberatacante o malware acceder o controlar sobre el dominio, sistema o servicio las credenciales utilizadas dentro de un entorno objetivo, es decir, obtener alguna forma de credenciales privilegiadas para utilizar en etapas posteriores del ciberataque ofensivo y expander el control de los recursos. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de obtener credenciales legítimas de cuentas de usuarios o administrador (administrador del sistema local o usuarios de dominio con acceso de administrador) para usarlas dentro de la red. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de que el ciberatacante/malware pueda asumir la identidad de la cuenta con todos los permisos de la cuenta en el sistema y red. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de crear cuentas para posteriormente utilizarlas dentro del entorno objetivo/víctima y de extraer credenciales de los navegadores Web. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de ‘fuerza bruta: averiguar contraseñas’, ‘credential dumping, por ejemplo, OS credential dumping: LSASS Memory’, ‘bash history’, ‘account manipulation’, ‘credenciales no seguras: credenciales en ficheros’, ‘sniffing de red’, ‘credenciales situadas en almacenamientos de contraseñas: credenciales ubicadas en navegadores Web’, etc. El DAIM bloqueará todo tipo de intento malicioso de ‘input capture’ (es decir, capturar las entradas del usuario, por ejemplo, la función ‘SetWindowsHookEx’ intercepta las teclas pulsadas en el teclado, así mismo, la funcionalidad de recuperar información

RkJQdWJsaXNoZXIy Njg1MjYx