CIBERSEGURIDAD 60 Así mismo, para la predicción de cibeataques de malware ofensivo se utilizan asociaciones/cluster de grano fino y grueso. Los ‘playbooks’ son “libros dinámicos actualizados en tiempo real de jugadas maestras”, en este caso, de formas de defensa, bloqueo y neutralización de infecciones/ ciberataques malware. Para ello el malware defensivo opera de arriba hacia abajo neutralizando todo tipo de campañas, estrategias, planes, proyectos, operaciones, tácticas (y todos sus componentes internos como técnicas, subtécnicas, procedimientos, mecanismos, funciones, etc.), vulnerabilidades, exploits, etc., utilizando bases de conocimiento públicas y privadas, así como creadas con anticipación y sobre la marcha por inteligencia artificial redundante y distribuida (machine-learning, deeplearning, redes neuronales profundas y convolucionales, sistemas expertos, motores de inferencia y predicción, NLP, aprendizaje del entorno, etc.), inteligencia de datos (con Big-data y Data-analytics), inteligencia de vulnerabilidades, OSINT (Open Source INTelligence) y sus herramientas: Maltego, Mitaka, Spiderfoot, Spyse, BuiltWith, Shodan, Intelligence X, Grep.app, etc. El edge-computing nos permite obtener análisis de datos en tiempo real reduciendo latencias y evitando cuellos de botella en el tráfico de datos. El malware defensivo vigila todas las entradas implicadas en infecciones y ciberataques malware para neutralizarlas. El malware defensivo cada paso que da representa una meta sin dejar de ser un paso. Algunas de las actividades del malware defensivo son: bloquear todo tipo de intentos de saltarse los mecanismos de autorización y control de elevación de privilegios para ganar mayores niveles de permisos; bloquear todo tipo de intentos de acceso no autorizado de creaciónmaliciosa de ficheros; bloqueo de todo tipo de intentos de acceso no autorizado a datos de procesos y subprocesos; bloquear todo tipo de intento de acceso no autorizado de cambiar el nombre de ficheros; bloquear todo tipo de intentos de ‘shell escapes’ o explotar vulnerabilidades en APPs/APIs sobre todo en un contexto de usuario diferente; bloquear todo tipo de intentos de saltarse mecanismos UAC (User Account Control) para elevar privilegios de procesos en un sistema; bloquear todo tipo de intentos de ejecución de escaneos sobre la víctima para encontrar vulnerabilidades (como configuración de un dispositivo/APP, versión, tipo de software, etc.); bloquear todo tipo de intentos de modificar el kernel para ejecutar automáticamente programas en el arranque del sistema; bloquear todo tipo de intentos de abuso malicioso de intérpretes de script y de comandos para ejecutar comandos, scripts o binarios; bloquear todo tipo de intentos de modificaciones maliciosas de binarios de software del cliente para establecer acceso a los sistemas; bloquear todo tipo de intentos de suplantar protocolos legítimos o tráfico de servicio Web para ocultar actividades C&C ilegales; neutraliza y bloquea todo tipo de funciones de escalado de privilegios que se aprovechan del ‘hooking’ y de la inyección de procesos (según el informe global de amenazas de Fortinet el 55% de las funciones de escalado de privilegios observadas se aprovechan del ‘hooking’ y el 40% utilizan la ‘inyección de procesos’). El malware inteligente defensivo bloquea todo tipo de intentos de ejecución de técnicas de evasión de defensas y de escalado de privilegios utilizadas por el malware ofensivo. Así mismo bloquea todo intento de ‘portknocking’ al objeto de impedir que el malware ofensivo pueda transmitir información maliciosa sondeando los puertos de red en una cierta secuencia. El malware defensivo bloquea todo tipo de intento de actualizar el firmware con código malicioso para tomar el control de dicho dispositivo (conducta maliciosa utilizada por el malware PsycoBot). El malware defensivo bloquea todo tipo de intento de acceso a la información ‘side-channel’ del dispositivo para descubrir claves secretas. El malware defensivo bloquea todo tipo de intento de escalado de privilegios para acceder a datos y funcionalidades no autorizadas para impedir que todo el sistema se vea afectado (conducta maliciosa utilizada por el malware BrickerBot). ELEMENTOS DE CONDUCTA INTERNA DE ACTUACIÓN DEL MALWARE DEFENSIVO El malware inteligente avanzado defensivo proactivamente vigila, descubre, caza y actúa, en continua preparación, en base a conocimientos dinámicamente obtenidos (indicios, anomalías, evidencias, pistas, comportamientos, conductas, hipótesis, datos retrospectivos, actividades (quién, cómo, dónde, por qué, qué, etc.), etc. El malware defensivo se basa en un conjunto de estrategias, planes, proyectos, operaciones, etc. organizadas en infinidad de tácticas (y estas a su vez compuestas por técnicas, subtécnicas, procedimientos, funciones, métodos, etc.), utilizadas por el malware ofensivo. Las tácticas proceden de un conjunto de bases de conocimiento, ‘playbooks’, árboles de ciberataques malware (públicas, privadas, sintetizadas por IA, etc.). En este colectivo de tácticas, se encuentran entre otras: Reconocimiento global e interno, Armado, Entrega, Explotación, Establecimiento de posiciones, Persistencia, Evasión de defensas, C&C (Command & Control), Pivotado, Descubrimiento, Escalado de privilegios, Ejecución, Acceso a credenciales, Movimiento lateral, Recogida, Exfiltración, Impactos, Objetivos, Desarrollo de recursos, Acceso inicial, Degradación (integra técnicas como alteración, interferencia, reflexión, amplificación, etc.),
RkJQdWJsaXNoZXIy Njg1MjYx