SG40 - Seguridad

CIBERSEGURIDAD 52 ‘GetWindowsRect’ para recuperar dimensiones de ventana y ‘BitBlt’ y ‘GetDIBits’ para guardar la captura en un buffer). El DAIM bloqueará todo tipo de intentos maliciosos de ‘email collection’ (es decir, recoger mensajes de correo electrónico interrogando las localizaciones de ficheros y claves de registro asociadas con clientes de correo electrónico como clientes de correo Windows y Outlook). El DAIMbloqueará todo tipo de intentos maliciosos de utilizar ‘scripting’ para automáticamente buscar y copiar datos dependiendo de ciertos criterios y de ‘captura de entradas’. (10) C&C/C2 (Command and Control). Permite a los ciberatacantes/malware ofensivos acceder al objetivo (red, sistema, dispositivo, etc.) a ciberatacar desde una localización remota (y comunicarse con sistemas bajo su control); es decir, posibilita al ciberatacante ejercer control sobre los sistemas/dispositivos infectadoscomprometidos. Existen muchas formas de que puedan establecerse canales C&C con diversos niveles de encubrimiento, dependiendo de la configuración del sistema y topología de red. El C&C es el proceso de dirigir las actividades y acciones de un dispositivo, sistema, máquina, etc., infectada por parte de un botmaster. Utilizando la instalación del malware, este crea un canal C&C para acceder a los activos internos de la víctima/ objetivo habiendo ganado con éxito el control del objeto de la víctima/ objetivo (sistema, dispositivo, etc.). El DAIMbloqueará todo tipo de intentos de accesos maliciosos y neutralizará intentos de control. El DAIMbloqueará cualquier tipo de intentos maliciosos de definir nuevos protocolos o utilizar los ya existentes y los servicios de red para la comunicación maliciosa. El DAIMbloqueará todo tipo de intentos maliciosos de comunicarse utilizando puertos no estándar, utilizando HTTP a dominios registrados propiedad del ciber-atacante. El DAIMbloqueará todo tipo de intentos maliciosos de utilizar canales cifrados (con criptografía simétrica o asimétrica, con esteganografía, subliminares, etc.). El DAIMbloqueará todo tipo de intentos maliciosos de establecer tráfico TCP o UDP sobre puertos no estándar (esta técnica se denomina ‘uncommonly used port’, de este modo el ciber-atacante trata de saltarse las configuraciones deficientes de firewall y proxy). El DAIM bloqueará todo tipo de intentosmaliciosos de comunicarse con medios sociales como Facebook, Tumbler, etc., y sitios de masa como Pastebin (se utilizan frecuentemente para C&C, son técnicas basadas en ‘servicios Web’). El DAIM bloqueará todo tipo de intentos maliciosos de comunicarse utilizando ‘multi-hop proxy’ (por ejemplo, iniciando conexiones Tor), ‘desplieguedenamed-pipes paraC&C’ (los ‘naned-pipes’ son unmétodo para IPC (Inter-Process Communication) con procesos locales y remotos. Para crear un ‘named pipe’ un proceso llama a la función ‘CreateNamedPipe’ del módulo kernel ‘kernel32.dll’. El servidor ‘named pipe’ permite a los procesos local y remoto conectarse al ‘pipe’ e intercambiar información con el malware ofensivo), etc. El DAIM bloqueará todo tipo de intentosmaliciosos de establecer comunicación vía SMB y RPC para tráfico C&C, de modo que ‘named pipes’ se conecten a procesos remotos sobre SMB/RPC. Los ciberatacantes suelen establecer un dispositivo comprometido como servidor interno C&C paramanejar el tráfico saliente y se tiene otros dispositivos comprometidos conectados tipo P2P (Peer-To-Peer) vía ‘named pipes’. (11)Exfiltración. Permite al ciberatacante omalware ofensivo sustraer ficheros e informaciónde unobjetivo (dispositivo, sistema, red, etc.), es decir, posibilita transferir información adquirida en el proceso al ciberatacante. El DAIM neutralizará y bloqueará todo tipo de intentos maliciosos de realizar la localizaciónde sistemas o redes donde buscar información para exfiltrarla. El DAIMbloqueará todo tipo de intentos maliciosos de exfiltrar información/ datos utilizando canales C&C/C2, subliminares, con esteganografía, etc. El DAIMbloqueará todo tipo de intentos maliciosos de descargar ficheros vía FTP llamando a la función ‘FtpPutFile’ (tipificada como exfiltración sobre protocolos alternativos (además se pueden emplear FTP, SMTP, HTTP/S, DNS, SSH, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de exfiltrar datos locales cifrados utilizando la técnica ‘data encryption’ (similar al hackeo-ofensivo de uno de los servidores de la red de comunicaciones diplomáticas de la Unión Europea ‘Coreu’). (12) Weaponization (operaciones con herramientas weaponizer). Los agentes de ciberataques ofensivos tratan de crear malware con una carga útil maliciosa para enviar

RkJQdWJsaXNoZXIy Njg1MjYx