CIBERSEGURIDAD 48 queará y neutralizará todo tipo de intentomalicioso de ejecutar una DLL (Dynamic-Link Library) vía ‘rundll32. exe’ y de utilización de argumentos de línea de comando ofuscados con ‘cmd.exe’. El DAIM bloqueará y neutralizará todo tipo de intentos maliciosos de ‘service execution’ (es decir, registrarse o ejecutarse como servicio; por ejemplo, ejecutar procesos remotos utilizando ‘PsExec. exe’; cuando ‘service execution’ ejecuta directamente el servicio es diferente de la técnica ‘new service’ que se utiliza como mecanismo de persistencia). El DAIM bloqueará y neutralizará todo tipo de intento malicioso de ejecutar PowerShell y llamadas ‘CreateObject’ para crear un objeto Shell para descargar y a continuación ejecutar unmalware en segundo plano, así mismo bloqueará cualquier intento malicioso de crear un ‘reverse shell’ utilizando varios scripts Shell cifrados llamados a través de PowerShell. El DAIMbloqueará y neutralizará todo tipo de intento malicioso de crear procesos víaWMIC y de ejecutar malware ofensivo utilizandoWMIC (Windows Management Instrumentation Command-line). El DAIM bloqueará y neutralizará todo tipo de intento malicioso de ejecutar a través de ‘API and Service Execution’, WMI y PowerShell para ejecución sin ficheros. El DAIM bloqueará y neutralizará todo tipo de intentos maliciosos de ‘process injection’ (para lanzar código malicioso. Así mismo bloqueará injectio DLL, ‘PE Pportable Executable) injection’, ‘thread execution hijacking’, ‘TLS (Thread Local Storage) callbak injection’, ‘APC (Asynchronous Procedure Call) injection’. El DAIM bloqueará y neutralizará todo tipo de intentomalicioso de ‘access token manipulation’ (para manipular la propiedad de procesos Windows activos y seguidamente llamadas a las funciones ‘OpenProcessToken’, ‘ L o o k u p P r i v i l e g e V a l u e A ’ , ‘AdjustTokenPrivileges’, lo convierte también un mecanismo para ‘escalar privilegios’). El DAIM bloqueará y neutralizará todo tipo de intento malicioso de ‘explotation for privilege escalation’ (intentando acceder a la función ‘ShellExecute’. El DAIM bloqueará y neutralizará todo tipo de intento malicioso de ‘scheduled task’ (para ejecución que además puede elevar los privilegios a SYSTEM (crear un ‘new service’ dentro de un mecanismo de persistencia puede lanzar un servicio con privilegios de administrador para ejecutar bajo privilegios escalados de SYSTEM. El DAIM bloqueará todo tipo de intentos maliciosos de ejecución a través de API ‘Rundll32’. (3)Persistencia. Es cualquier acceso, acción o cambio de configuración a un objetivo (dispositivo, sistema, red, etc.) que proporciona al ciberatacante o malware ofensivo una presencia persistente en el sistema; es decir, posibilita el modo de mantener acceso al objetivo-elemento comprometido. El DAIM neutralizará, bloqueará cualquier clase de intentos maliciosos de acceso, acción o cambio en el objetivo. El DAIM bloqueará y neutralizará todo tipo de intentos maliciosos de realizar interrupciones como re-arranques del sistema, pérdida de credenciales, otros fallos que necesitan una herramienta de acceso remoto para re-arrancar o backdoor para re-obtener el acceso, así mismo bloqueará cualquier clase de intento de ‘Logon Scripts’, ‘Scheduled Task’ (utilizando at.exe y schtasks.exe para disparar la ejecución en cada reboot o cada minuto), ‘Registry Run Keys’ / ‘Startup Folder’ (añadiendo una clave de autoarranque al registro Windows o a la carpeta Startup), ‘New Services’ (permite instalar programas maliciosos como un servicio del sistema. Se crea un nuevo servicio para ejecutarse en Windows Startup usando la función ‘CreateServiceA’ y añadiendo DLLs maliciosas), ‘Applnit DLLs’ (obtiene cada proceso que carga user32.dll para también cargar la DLL maliciosa), ‘crear o modificar procesos del sistema (Windows Service)’. El DAIM neutralizará, bloqueará cualquier clase de intentos maliciosos de ‘boot or logon autostart execution: registry run keys /startup folder’. El DAIM neutralizará, bloqueará cualquier clase de intentos maliciosos de dejar directamente en la carpeta Startup ficheros PE (Portable Executable). El DAIM neutralizará, bloqueará cualquier clase de intentos maliciosos de modificar servicios existentes (modificando las claves del registro utilizando reg. exe en HKEY_LOCAL_MACHINE\ SYSTEM\ControlSet001\services o utilizando sc.exe para modificar el estatus de los servicios Windows como Windows Update). El DAIM neutralizará, bloqueará todo tipo de intentos de ‘hooking’ por ejemplo, enganchar las funciones específicas del navegador Web. El DAIM neutralizará, bloqueará todo tipo de intentos de ‘image file execution options injection’ (permite lanzar un nuevo proceso adjuntando un debugger a un proceso corriente). (4)Escalada de privilegios. Es el resultado de acciones perversas que permiten al ciber-atacante omalware ofensivo obtener un nivel mayor de permisos sobre un objetivo (sistema, dispositivo, red, servicio, etc.) para aumentar el control sobre dicho objetivo infectado; es decir posibilita elevar el acceso al sistema o recurso de red. Ciertas acciones o herramientas necesitan un nivel mayor de privilegios para poder operar y son necesarios en muchos puntos a través de una operación ofensiva. Los ciber-atacantes o malware ofensivo pueden entrar en un sistema acceso sin privilegios y debe aprovecharse de una vulnerabilidad del sistema para obtener privilegios de nivel de Root/System o administrador local. Una cuenta de usuario con acceso de administrador también puede utilizarse. También se considera una escalada de privilegios las ‘cuentas de usuario con permisos’ para acceder
RkJQdWJsaXNoZXIy Njg1MjYx