Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Cómo defenderse de los ataques sin archivos

de los clientes de esos proveedores, y se utiliza con frecuencia para mostrar cómo los productos de los proveedores pueden proteger mejor a las empresas.

Sin embargo, estos informes a menudo pueden ayudar a las empresas a mejorar sus programas de seguridad de la información. Las empresas de antimalware a menudo utilizan esta táctica basada en datos para profundizar en ejemplos específicos de amenazas para que las empresas puedan determinar si están adecuadamente protegidas contra esas amenazas.

En este consejo, analizaremos el malware PowerShell, el ejemplo específico del troyano Emotet y las defensas empresariales para estas amenazas.

El malware PowerShell y el troyano Emotet

McAfee informó de un aumento en los ataques sin archivos en el tercer trimestre de 2017 en el que el código malicioso en las macros utilizó PowerShell para ejecutar malware. Una pieza notable de malware sin archivos fue el troyano Emotet.

Antes de entrar en los detalles de la amenaza, es importante tener en cuenta que cuando un informe de un proveedor indica que se observó el mayor número de incidentes para un tipo de malware específico, eso no significa necesariamente que el número sea tan significativo. La cantidad de malware detectado solo le importa a una empresa de antimalware en términos de cuántos recursos necesitan para analizar el malware, informar sobre él y asegurarse de que sus clientes estén adecuadamente protegidos.

Cuando un informe hace referencia a ataques sin archivos, tampoco significa necesariamente que no se hayan utilizado archivos en el ataque.

Cuando un informe hace referencia a ataques sin archivos, tampoco significa necesariamente que no se hayan utilizado archivos en el ataque. Sin archivo generalmente significa que no se dejaron archivos en un sistema para su persistencia, pero los archivos se usaron en el ataque.

El aspecto sin archivos también podría significar que se usaron PowerShell, cmd o WMIC como parte del ataque para ejecutar código en el punto final. Esto podría incluir descargar un archivo o escribir datos en el registro para crear un mecanismo de persistencia en el endpoint.

Emotet es un tipo de troyano bancario que se distribuye mediante botnets; envía mensajes no deseados a los destinatarios para diseñarlos socialmente para que abran un archivo adjunto malicioso, generalmente un documento de Word que tiene una macro maliciosa. Cuando se ejecuta la macro, llama a un comando de PowerShell, cmd o WMIC para descargar malware en el endpoint para su persistencia.

Si bien los archivos se usan en varias partes diferentes del ataque, el aspecto sin archivos ocurre cuando se usa PowerShell o cmd para descargar el siguiente paso del ataque. A diferencia del uso de un descargador para descargar una pieza de malware en el endpoint, el enfoque sin archivos puede ayudar a evitar una posible detección.

Defensas empresariales contra el malware PowerShell

Dado que responder a las amenazas de malware es absolutamente fundamental, es importante asegurarse de que su empresa esté preparada. Hemos hablado en profundidad del malware sin archivos, pero el malware evoluciona constantemente y, por lo tanto, las herramientas de seguridad deben hacer lo mismo.

Algunas herramientas han incorporado funcionalidad para abordar los ataques sin archivos, mientras que han surgido otras nuevas herramientas de seguridad de terminales para abordar estas amenazas y los ataques actuales. Sin embargo, los ataques continúan utilizando vulnerabilidades conocidas o funcionalidades inseguras, así como herramientas y funciones legítimas como PowerShell, para hacerse cargo de los puntos finales.

Si bien el troyano Emotet contiene nuevas funcionalidades, algunas de ellas aún se pueden bloquear mediante la higiene de seguridad básica del endpoint para evitar vulnerabilidades conocidas o funcionalidades inseguras, como limitar los privilegios de administrador, reducir la superficie de ataque de un endpoint eliminando o restringiendo aplicaciones o herramientas innecesarias, incluir en la lista blanca y mantener un sistema actualizado con parches.

El siguiente paso debería ser comprobar cómo los proveedores de herramientas de seguridad actuales se dirigen a Emotet, ya que muchos proveedores de seguridad de terminales diferentes tienen métodos y consejos diferentes sobre cómo proteger su empresa. Un método común entre estas herramientas es bloquear ejecutables o cambios en el sistema a través de firmas, monitoreo del comportamiento o una combinación de métodos comunes de detección y monitoreo para la persistencia, como evitar que se modifiquen las claves de registro Ejecutar.

Algunas de las herramientas bloquean específicamente a Microsoft Word para que no llame a PowerShell, lo que puede bloquear la ejecución de un comando malicioso de PowerShell en el sistema.

Examinar los sistemas infectados en su red para determinar cómo se infectaron puede identificar qué controles de seguridad deben actualizarse para proteger adecuadamente sus terminales.

Conclusión

Si bien el mundo está cambiando más rápido de lo que cualquiera puede darse cuenta o querer admitir, algunos de los conceptos básicos se han mantenido igual. Es necesario asegurarse de que actualiza periódicamente su programa de seguridad de la información para identificar qué controles de seguridad funcionan correctamente para gestionar los riesgos de seguridad de la información y proteger su empresa del troyano Emotet.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )
CONTENIDO RELACIONADO  Plantilla del programa de gestión de emergencias

También te puede interesar...

Los problemas de HID causan Overkill Win10 Repair

¿Cómo es esto de la ironía? Hace dos días, escribí una historia para SearchEnterpriseDesktop en la que explicaba qué hacer si faltaba un mouse o un teclado en Windows. Ayer por la mañana, cuando me

Tipos de baterías para dispositivos IoT

Uno de los componentes más críticos de cualquier implementación de IoT es cómo se alimentan los dispositivos. El cableado es una opción, … pero para una movilidad y cobertura óptimas, la mayoría de los dispositivos

VxRack Flex en el centro de la nube SaaS de Medicity

Con petabytes de datos que a menudo requieren análisis en tiempo real, el agregador de datos clínicos Medicity tiene grandes necesidades… para la capacidad y el rendimiento de su sistema de almacenamiento. Eso llevó a

Cómo configurar una anulación de VM en DRS y HA

La función de anulación de VM evita que las máquinas virtuales se muevan donde no deberían. Sin embargo, no aplique ciegamente las opciones de anulación, ya que eso podría empeorar una mala situación y crear

Qué esperar cuando Dell adquiere EMC

Cuando Dell adquiera EMC, es posible que no afecte a los clientes tanto como se pensó originalmente. En los últimos meses, ha habido muchos dolores de cabeza sobre la fusión propuesta entre Dell y EMC.

Cómo IoT cambiará el seguro de automóviles

Para determinar las primas de las pólizas, las aseguradoras de automóviles han utilizado tradicionalmente factores como el historial de conducción, el uso del vehículo y el historial de seguros. Esto se suma a las variables

¿Qué es agbot (robot agrícola)?

Un agbot, también llamado agribot, es un robot autónomo que se utiliza en la agricultura para ayudar a mejorar la eficiencia y reducir la dependencia del trabajo manual. Se espera que las granjas futuras sean

El debate sobre la seguridad y la privacidad de IoT

Fuente: Gorjeo Diseñador: Linda Koury / Krypton Solid Internet de las cosas (IoT) se está volviendo cada vez más frecuente en la vida cotidiana a través de dispositivos portátiles, electrodomésticos, automóviles, bombas de insulina y

¿Qué es TensorFlow? – Definición de Krypton Solid

TensorFlow es un marco de código abierto desarrollado por investigadores de Google para ejecutar el aprendizaje automático, el aprendizaje profundo y otras cargas de trabajo de análisis estadístico y predictivo. Al igual que las plataformas

¿Qué es la resiliencia del centro de datos?

La resiliencia es la capacidad de un servidor, red, sistema de almacenamiento o un centro de datos completo para recuperarse rápidamente y continuar funcionando incluso cuando ha habido una falla en el equipo, un corte

Utilice un almacén para personalizar el producto

Un almacén puede ser más que un lugar para almacenar productos. En la actualidad, las empresas están explotando el almacén como una extensión de la fábrica para agregar flexibilidad, reducir el tiempo de entrega, reducir

¿Cómo enfrío los racks de alta densidad?

El calor excesivo puede afectar el rendimiento, la disponibilidad y la vida útil de los equipos electrónicos. Afortunadamente, la tecnología de enfriamiento del centro de datos ha seguido el ritmo de las densidades de los

Contando las columnas NULL de una fila

¿Cómo puedo contar la cantidad de columnas en una fila que no son nulas? Suponiendo que su tabla se vea así: id column1 column2 column3 … 187 2 9 null 456 null 37 42 937

El futuro de IoT no está escrito

Internet de las cosas sigue ganando fuerza, tanto en la producción como en la imaginación popular. El término ha comenzado a acumular la misma cantidad de rumores en la industria que acompañó a la nube,

Cómo prosperar en la economía de plataformas

Las empresas modernas son cada vez más colaborativas. Necesitan serlo. Los mercados actuales son simplemente demasiado competitivos y la lealtad de los clientes demasiado voluble para que las empresas lo hagan solas. Más bien, las

Cómo abordar la optimización móvil con menos riesgo

La optimización móvil es el proceso de hacer que las aplicaciones sean compatibles con los dispositivos móviles y las plataformas de aplicaciones que utilizan la mayoría de los trabajadores en la actualidad. Es una especie

¿Qué es la comunidad de clientes en línea?

Las comunidades de clientes en línea son lugares de reunión basados ​​en la Web para que los clientes, expertos, socios y otras personas discutan problemas, publiquen reseñas, intercambien ideas sobre nuevos productos e interactúen entre

Microsoft cumple las promesas de los socios de WPC 2015

Microsoft ha cumplido las promesas que hizo en la Microsoft Worldwide Partner Conference 2015 (WPC 2015) con respecto a la capacitación, la certificación, la entrega de exámenes y el seguimiento del desempeño, con el anuncio

¿Qué es una amenaza interna?

Una amenaza interna es una categoría de riesgo que plantean quienes tienen acceso a los activos físicos o digitales de una organización. Estos informantes pueden ser empleados actuales, ex empleados, contratistas, proveedores o socios comerciales

Deja un comentario