SG40 - Seguridad

CIBERSEGURIDAD 51 bloqueará todo tipo de intentos de usar ipconfig, netsatat, netsh para encontrar la configuración de red de Windows, así mismo, bloqueará todo tipo de intentos maliciosos de interrogar los servicios de geolocalización e IP online para determinar la dirección IP online del sistema infectado. El DAIM bloqueará todo tipo de intentos maliciosos de ‘query registry’ (es decir interrogar al registro Windows para descubrir información sobre el sistema, así mismo de leer políticas de restricción software del registro Windows enumerando ‘HKEY_LOCAL_MACHINE\Software\ Policies\Microsoft\Windows\Safer\ CodeIdentifiers. El valor DWORD de ‘AuthenticodeEnabled’ indica si la ejecución de binarios está restringida por sistema operativo). El DAIM bloqueará todo tipo de intentos maliciosos de interrogar al registro sobre el GUID (Globally Unique IDentifier) del dispositivo como identificador único de sistema infectado. (8)Movimiento lateral-pivotar. Permiten al ciber-atacante omalware ofensivo acceder y controlar sistemas remotos de una red y nube, pero no necesariamente incluye la ejecución de herramientas en sistemas remotos. Posibilita pivotar sobre la red a otros sistemas de interés, así mismo, el ciber-atacante o malware puede tunelizar el tráfico a través de sistemas controlados hacia otros sistemas que no están directamente accesibles. El DAIM neutralizará y bloqueará todo tipo de intentos maliciosos de recoger información de un sistema sin necesitar de herramientas como las de acceso remoto y de conectarse utilizando un protocolo desktop remoto. El DAIM bloqueará todo tipo de intentos maliciosos de crear procesos de forma remota utilizando WMI (Windows Management Instrumentation) y ‘scripting’. El DAIM bloqueará toda clase de intentos maliciosos de realizar movimientos laterales utilizando ‘explotación de servicios remotos: remote desktop protocol’, ‘servicios remotos: SMB/ Windows Admin Shares’. El DAIM bloqueará y neutralizará cualquier tipo de intentos maliciosos de actuar sobre ‘cuentas válidas’, ‘descargar programas’, ‘explotar servicios remotos’, ‘transferir herramientas lateralmente’. El DAIMneutralizará y bloqueará todo tipo de intentos maliciosos de realizar ‘copia remota de ficheros’ (es decir, la actividad de descarga (downloadupload) maliciosa dentro de la red, por ejemplo, bloqueará todo tipos de intentos maliciosos de descargar ficheros adicionales a los detectados por el entorno de análisis. El DAIM neutralizará y bloqueará todo tipo de intentos maliciosos de utilizar peticiones ‘HTTP GET’ sin cifrar almacenando los resultados en el directorio ‘Temporary-Internet-Files’, también se bloqueará todo tipo de intentos maliciosos de establecer conexiones HTTPS). El DAIM neutralizará y bloqueará todo tipo de intentos maliciosos de realizar ‘replication through removablemedia’ (es decir, intentar infectar dispositivos de almacenamiento USB (como pendrives, discos, etc.) creando ficheros ‘autorun.inf’ con una entrada ‘Open o ShellExecute’). El DAIM bloqueará todo tipo de intento de ‘remote desktop protocol’ (se trata de arrancar el servicio ‘remote desktop’ técnica efectiva y sigilosa para movimiento lateral ya que se mezcla y armoniza con el flujo de protocolos de red normal. El DAIM neutralizará todo tipo de intentos maliciosos de descargar ficheros adicionales e impedirá procesos no usuales que establecen conexiones de red. (9) Recogida. Posibilita al ciberatacante o malware ofensivo identificar y recoger (información y datos como ficheros sensibles) de una red objetivo antes de la exfiltración, es decir, establece el modo en que se recogerá la información que se enviará al ciber-atacante. Se basan, por ejemplo, en funciones nativas de Windows que les permite adquirir información sensible del usuario. El DAIM neutralizará y bloqueará todo tipo de intentos maliciosos de realizar la localización de un sistema o red y de buscar información para exfiltrarla y de recoger datos del sistema local. El DAIMbloqueará todo tipo de intentos maliciosos de ‘archivar datos recogidos’, ‘recogida de correo electrónico, por ejemplo, recogida de correo electrónico local’. El DAIM bloqueará todo tipo de intentos maliciosos de ‘clipboard data’ (es decir, de obtener datos del ‘clipboard de Windows’. Para ello bloqueará todo intento de realizar llamadas a ‘OpenClipboard’ y ‘GetClipboardData’. Así mismo, bloqueará todo tipo de intentos maliciosos de arranque de una ventana en la clase ‘Clipbrdwndclass’ para obtener operaciones ‘copy-paste’). El DAIMbloqueará todo tipo de intentos maliciosos de realizar ‘screen capture’ (que captura contenidos GUI principalmente con llamadas a funciones como ‘GetDesktopWindows’,

RkJQdWJsaXNoZXIy Njg1MjYx