¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Aguafiestas

Незваные гости

Otras ediciones de este tema (76)
  • añadir a favoritos
    Añadir a marcadores

Vamos a ver los listados

Consultas: 677 Comentarios: 2 Ranking: 8

lunes 15 de octubre de 2018

¿Cómo los malintencionados atacan los equipos? Esta pregunta parece fácil y puede provocar perplejidad. No hay nada complicado, porque todos o saben. Los malintencionados pueden enviar un archivo nocivo (o un enlace al mismo) en un mensaje. Un usuario puede descargar un archivo de Internet (o el script nocivo se ejecutará solo en el momento de consulta de la página del sitio web). Un virus puede ser iniciado desde un dispositivo extraíble (por ejemplo, desde USB o ratón). También hay casos de penetración a través de vulnerabilidades y a veces existen programas nocivos en el disco o firmware del dispositivo recién comprado.

Son amenazas de los cuales uno puede protegerse. Pero no son todas las posibilidades de los malintencionados.

Por ejemplo, ¿qué opina Vd. de la utilidad regsvr32? Es una cosa legítima que siempre está en el sistema y tiene muchas posibilidades. Por ejemplo, permite trabajar con el registro y con archivos de privilegios avanzados. Lo cual significa que los malintencionados no necesitan crear un código correspondiente para realizar estas acciones – pueden usar la funcionalidad de las utilidades estándar que tienen todas las firmas necesarias y, por lo tanto, los sistemas de protección les confían (en primer lugar, los basados en las listas blancas de aplicaciones). Además, si un malintencionado usa mucho las utilidades estándar, el tamaño del código nocivo se reduce y es más complicado detectarlo.

Al usar los programas y las bibliotecas legítimas, los hackers pueden ocultar su propia presencia en el sistema: hasta si un usuario consulta el listado de los procesos iniciados, no verá ningún nuevo programa. De esta forma, los malintencionados disponen de tiempo necesario para realizar las acciones necesarias. Por ejemplo, el grupo Cobalt usa regsvr32, msxsl y wmi.

En general, este enfoque no supone nada nuevo. Cualquier lector atento recuerda lo de programas nocivos de script que usan ampliamente este enfoque (según algunos datos, hasta 52% de ataques en el año 2017 году usaron PowerShell o Windows Management Instrumentation (WMI)).

Pero en esta edición vamos a ver otro problema: un grupo de aficionados decidió crear un listado completo de utilidades, scripts y bibliotecas usadas por los malintencionados. LOLBINs/LOLScripts/LOLLibs – son los listados respectivos de los archivos ejecutables, scripts y bibliotecas que no tienen funciones nocivas y normalmente de forma predeterminada instaladas en los sistemas atacados.

Más arriba hemos mencionado la utilidad regsvr32. ¿Qué otras utilidades pueden consultarse en el listado LOLBINs? Por ejemplo, Msconfig.exe o Explorer.exe. Y aquí – puede consultarse el listado completo.

LOLBINs/LOLScripts/LOLLibs – son listados dinámicos, cualquier usuario puede completarlos.

Pero ¿cómo pueden los expertos en seguridad usar estos listados? Los usan para saber a la actividad de qué programas deben prestar atención

El mundo de antivirus recomienda

Lamentablemente, el uso de los programas legítimos no es la única posibilidad de implementar un código nocivo. También se usa:

  • Penetración desde dispositivos no protegidos (por ejemplo, los dispositivos personales de empleados o visitantes de la empresa conectados a la red local);
  • Infección de los dispositivos de red;
  • Infección al descargar desde una fuente de confianza (por ejemplo, una tienda de aplicaciones, etc.);
  • Penetración a través de los dispositivos de pruebas y las redes donde funcionan las reglas de seguridad simplificadas;
  • Penetración a través de los protocolos no filtrados (por ejemplo, DNS).

Hay más ejemplos, y en Dr.Web de versión 12 que será lanzado muy pronto hemos implementado la protección contra los ataques realizados por programas legítimos. Se añadieron los métodos heurísticos especiales para detectar los ataques de clase LOLBINs/LOLScripts (Living Off The Land Binaries And Scripts) tanto por su comportamiento como al escanear o al realizar un escaneo en segundo plano.

#drweb

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios