INVESTIGACIÓN 46 e interno, Armado, Entrega, Explotación, Establecimientodeposiciones, Persistencia, Evasión de defensas, C&C (Command & Control), Pivotado, Descubrimiento, Escaladodeprivilegios, Ejecución, Accesoa credenciales,Movimiento lateral, Recogida, Exfiltración, Impactos, Objetivos, Desarrollo de recursos, Acceso inicial, Degradación (integra técnicas como alteración, interferencia, reflexión, amplificación, etc.), Destrucción (engloba técnicas como cifrado, borrado, corrupción, etc.), Robo de datos, Manipulación (integra técnicas como fabricación, modificación, cancelación), Efectos en la red, Efectos en los servicios remotos, etc. Por ejemplo, la táctica ‘ejecución’ (que permite a un malware ofensivo ejecutar código malicioso en un objetivo) se componede infinidadde técnicas como, por ejemplo, ‘ejecución utilizando APIs’ (que posibilita lanzar procesos llamando a la API Windows de función ‘createprocessA’. En este caso elmalware defensivo bloqueará cualquier intento de realizar llamadas maliciosas. Otra técnica que el malware de defensa neutralizará es cualquier intentomalicioso de ejecutar dll (dynamic-link-library) vía rundll32.exe. Otra técnica que el malware de defensa se encarga de bloquear es cualquier intento malicioso de interactuar con el dispositivo utilizando ‘command-lineinterface’ cmd.exe para la ejecución no autorizada de módulos. Otra técnica que el malware de defensa neutralizará es ‘powershell’, es decir, bloqueará cualquier intentomalicioso de ejecutar powershell y llamar a ‘createobject’ para crear un objeto shell para descargar y a continuación ejecutar el malware en segundo plano. Otra técnica que el malware de defensa neutralizará es ‘wmi (windows management instrumentation)’, es decir bloqueará cualquier intento malicioso de acceder a wmi, por ejemplo, para extraer información sobre el sistema operativo o software anti-malware instalado, así mismo, bloqueará cualquier intento de uso de wmic (wmi command-line) para la ejecución de código malware y crear procesos. Por ejemplo, la táctica ‘persistencia’ (que permite a un malware ofensivo mantener su presencia en un objetivo) se compone de infinidad de técnicas como, por ejemplo: ‘registry run keys’ / ‘start folder’ (que posibilita añadir una clave de autoarranque al registro Windows o al startup-folder). El malware defensivo bloqueará cualquier intento de añadir una clave de autoarranque o directamente lanzar ficheros pe (portable executable) al statup-folder. Otra técnica que el malware de defensa neutralizaráes cualquier intentodeusar la función ‘createserviceA’ y añadir dllsmaliciosas. Otra técnica que el malware de defensa neutralizará es ‘modify-existingservice’ bloqueando cualquier intentode modificar las claves de registroutilizando reg.exe en HKEY_LOCAL_MACHINE\ SYSTEM\SYSTEM\ControlSet001\services\ o utilizando sc.exe para modificar los servicios Windows de status como Windows Update. Otra técnica que el malware de defensa neutralizará es ‘hooking’ para ello bloquearácualquier intentode interceptación de diversas funciones software comopor ejemplo las funciones específicas del navegador. Otra táctica (destrucción) que el malware bloqueará es cualquier intentomaliciosodeborradodefirmware, software o datos. Otra táctica (manipulación) que el malware neutralizará es cualquier intento de añadir de forma no autorizada datos en un sistema (un parámetro en un ficherode configuración, etc.) obloqueará cualquiermodificaciónmaliciosa a datos legítimos, cambiar entradas, salidas, que causen unmalfuncionamiento del objetivo, por ejemplo, dispositivos, sistemas, ICS, CPS, etc. Otra táctica (‘persistencia’, se componedemuchas técnicas como, por ejemplo, ‘sheduled task’, ‘image file execution options injection’, etc.). El malware defensivo neutralizará ‘sheduled task’, bloqueando cualquier intentomalicioso de usar at.exe y schtasks.exe para disparar la ejecución de códigomalicioso en cada rearranque o cada cierto tiempo. El malwaredefensivoneutralizará la técnica ‘image file execution options injection’, bloqueando cualquier intentomalicioso de realizar la ‘image file executionoptions injection’ para lanzar un nuevo proceso adjuntando un debugger a un proceso corriente o utilizando ‘Registry Run Keys / Start Folder’. Otra táctica (‘acceso inicial’, se compone de muchas técnicas como, por ejemplo, ‘wireless comproise’, ‘supply chain compromise’, ‘spear-phishing attachment’, ‘replication through removoblemedia’, ‘Internet accesible device’, etc.). El malware defensivo neutralizará “wireless compromise”, bloqueando dispositivos no autorizados que intenten conectarse a la red o realizar actividad maliciosa inalámbrica o cableada. El malware defensivo, tras vigilar todas las comunicaciones dispositivo a dispositivo de red, neutralizará ‘supply chain compromise’, bloqueando todo tipo de intentos de comportamiento anómalo y sospechoso de compromiso de la cadena de suministro. El malware defensivo neutralizará ‘Internet accesible device’, bloqueando cualquier tipo de intento de conexión maliciosa a Internet. El malware defensivo neutralizará la técnica ‘replication through removoblemedia’, bloqueando cualquier tipo de intento de replicación de malware transferido por medios removibles (pendrive USB, DVD, etc.). El malware defensivo neutralizará la técnica ‘spear-phishing attachment’, bloqueando cualquier tipo de intento de acceso a servidores C&Cmaliciosos, así mismo bloquea todo intento de comportamiento malicioso de red causado por malware empaquetado en ciber-ataques tipo campañas spearphising. El malware defensivo posee una extensísima base de conocimiento en continua actualización sobre conductas perversas, maliciosas, insidiosas, etc. que bloqueará. VECTORES DE CIBERATAQUE/ INFECCIÓN MALWARE Los vectores de ciberataque/infección malware son secuencias de pasos rea-
RkJQdWJsaXNoZXIy Njg1MjYx