CIBERSEGURIDAD 50 de teclas presionadas utiliza funciones como ‘GetAsyncKeyState’, ‘GetKeyState’ y ‘MapVirtualKeyA’. Así mismo el DAIM bloqueará todo intento malicioso de crear un objeto ‘DirectInput’ utilizando las funciones ‘DirectDrawCreateEx’ para capturar las teclas pulsadas. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de ‘credential dumping’ (es decir, obtener la información de login y contraseña del sistema operativo y software que puede utilizarse para movimientos laterales en la red, por ejemplo, bloquea todo tipo de intento de recoger las contraseñas e historial del navegador Web, de interrogar en busca de localizaciones de ficheros y claves del registro de herramientas FTP de terceras partes. Así mismo bloqueará todo tipo de intentos maliciosos del acceso a la clave del registro ‘login data’ utilizada por el navegador Web Chrome para guardar las contraseñas e interrogar al sistema de ficheros). El DAIM bloqueará todo tipo de intento malicioso de ‘credential dumpling’ (por ejemplo, utilizando procedimientos como ‘gsecdump’, ‘pwdumpx.exe’, ‘mimikatz’, etc. (7) Descubrimiento. Permite al ciberatacante o malware obtener el conocimiento (y la conciencia contextual) del objetivo (sistema, dispositivo, red, etc.). Es como una segunda iteración del reconocimiento donde se despliegan funciones del sistema operativo nativo. El DAIMbloqueará y neutralizará cualquier tipo de intento malicioso de descubrimiento de información del sistema y red y ‘network share discovery’. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de manipular maliciosamente el sistema operativo que puede proporcionar herramientas nativas que ayuden en la fase de recogida de información y post-compromiso. El DAIMbloqueará y neutralizará cualquier tipo de intentomalicioso de ‘descubrimiento de proceso’ (se trata de bloquear todo tipo de intento malicioso de realizar llamadas a las funciones Windows ‘CreateToolhelp32Snapshot’, ‘Process32First’, ‘Process32Next’, así como, de utilizar ‘tasklist.exe’ para descubrir los procesos que se ejecutan en los sistemas local y remoto), ‘descubrimiento de cuenta: cuenta de correo electrónico’. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de ‘sniffing de todo tipo de redes alámbricas e inalámbricas’, de ‘descubrimiento de sistemas remotos y de información en sistemas remotos’, de ‘descubrimiento de software de seguridad’ (se trata de que el ciberatacante detecte la presencia de elementos de protección como software anti-malware, reglas de firewall local, software de virtualización, anti-debugging, etc. El DAIM bloqueará todo intento malicioso de interrogar a la función ‘SystemKernelDebuggerInformation’ para detectar un ‘ring 0 debugger’ conectado al proceso corriente, así mismo, de detectar un debugger comprobando la diferencia de tiempo entre dos llamadas API Windows, ‘GetProcessHeap’ y ‘CloseHandle’. El DAIM bloqueará todo tipo de intentos maliciosos de realizar una llamada API a la función ‘IsDebuggerPresent’, así mismo, bloqueará todo tipo de intentos maliciosos de comprobar la presencia de un debugger poniendo ‘GetLastError’ en el registro a un valor aleatorio y comprobar si ha cambiado después de llamar a ‘OutputDebugString’. El DAIMbloqueará todo tipo de intentos maliciosos de ejecutar la instrucción RDTSC (ReaD-Time-Stamp-Counter) para determinar la velocidad con la que las instrucciones se ejecutan en el procesador, de esto se puede inferir la presencia de un debugger. Detectar máquinas/entornos de virtualización o entornos sandbox es otra técnica para que el ciberatacante pueda saber si se le está analizando. El DAIM bloqueará todo tipo de intentos maliciosos de detectar las claves del registro específicas para averiguar compartición de funcionalidad como HKEY_LOCAL_MACHINE\SYSTEM\ ControlSet001\Services\VMTools, así mismo, bloqueará todo tipo de intentos maliciosos de llamar a la función ‘PhysicalDrive0’ para comprobar los ‘strings’ que pueden indicar que el drive esta virtualizado. El DAIM bloqueará todo tipo de intentos maliciosos de ‘descubrimiento de información del sistema’ (se trata de ejecutar malware ofensivo interrogando al sistema operativo y hardware, por ejemplo, el MAID bloqueará todo tipo de intentos maliciosos de interrogar la versión del sistema operativo utilizando la función ‘GetVersion’, así mismo bloqueará todo tipo de intentos maliciosos de recuperar información local como lenguaje del interfaz de usuario interrogando a las funciones de la API Windows ‘GetLocaleInfoA’, ‘GetLocaleInfoEx’, así mismo, el MAID bloqueará todo tipo de intentos maliciosos de obtener información usando ‘VirtualQuery’ y ‘VirtualAlloc’ para recoger sobre los contenidos de memoria). El MAID bloqueará todo tipo de intentos maliciosos de comprobar las instrucciones de CPU que pueden tener propósitos anti-malware. Dependiendo de la llamada la instrucción puede devolver el identificador del fabricante de la CPU o la marca del hipervisor. Ciertos valores devueltos pueden indicar si el malware ofensivo está ejecutándose sobre una máquina física o virtual. El MAID bloqueará todo tipo de intentos maliciosos de recuperar información del procesador de la clave de registro Windows HKEY_LOCAL_MACHINE\ HARDWARE\DESCRIPTION\System\ CentralProcessor. El MAID bloqueará todo tipo de intentos maliciosos de ‘descubrimiento de configuración de red del sistema’ (por ejemplo, bloqueará todo tipo de intentos de llamar a la función ‘GetAdaptersInfo’ para recuperar información sobre el adaptador de red, así mismo,
RkJQdWJsaXNoZXIy Njg1MjYx