Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

¿Puede el monitoreo ayudar a defenderse contra la actualización del malware Sanny?

La investigación de FireEye Inc. descubrió que el grupo detrás de los ataques de malware Sanny ha actualizado su método de entrega …

¿En qué consisten estos cambios y en qué riesgo corren los usuarios? ¿Cuál es la mejor forma de defenderse del nuevo malware Sanny?

Los atacantes y los probadores de escritura continúan mejorando la vida de la tierra con sus compromisos. Cada archivo que se descarga o ejecuta en un punto final, incluido el malware, puede ser analizado o bloqueado por las defensas de una empresa, pero los ejecutables legítimos en un punto final generalmente pueden ejecutarse independientemente del sistema operativo en uso, ya sea Linux, Windows o iOS.

Los ejecutables legítimos, como setuid root en sistemas Unix o Linux o programas similares en Windows e iOS, han sido el objetivo de los atacantes para obtener acceso no autorizado a los sistemas. En particular, los atacantes buscan utilidades del sistema que puedan ejecutar con privilegios elevados para obtener acceso no autorizado. Las utilidades que permiten a los usuarios descargar archivos a un punto final también están siendo atacadas porque pueden explotarse para introducir archivos maliciosos u otro malware en el punto final.

FireEye informó recientemente que el malware Sanny se ha actualizado para permitir a los atacantes explotar los programas del sistema y reducir sus posibilidades de ser detectados. El malware Sanny todavía utiliza técnicas de phishing estándar con un documento de Word que contiene una macro incrustada. La macro inicia el ataque y luego ejecuta un script de shell que usa la utilidad certutil.exe de Windows para descargar un archivo por lotes, que está formateado para parecerse a un certificado SSL para evitar la detección.

La actualización del malware Sanny también agregó funcionalidad para descargar el malware como un archivo CAB y utilizar la funcionalidad de compresión de Windows incorporada para extraer la carga útil del malware en un punto final. Además, el malware ahora puede secuestrar un servicio legítimo de Windows con su propio ejecutable para establecer la persistencia en un punto final y puede usar un ejecutable legítimo de Windows para realizar una omisión del control de acceso del usuario en Windows 10.

Las defensas contra el malware Sanny incluyen las defensas estándar contra malware; sin embargo, la detección puede ser el aspecto más importante. Si bien las herramientas de seguridad para endpoints pueden bloquear el malware, los ejecutables integrados no necesitan bloquearse, ya que ya están instalados en el sistema. Esto significa que es posible que deba comprender cómo se protege su punto final y qué herramientas de seguridad manejan estos ejecutables.

El malware Sanny ejecuta una utilidad legítima con un nivel de privilegio no autorizado, por lo que las empresas también pueden querer identificar cada ejecutable en un endpoint que se ejecuta con privilegios elevados y enviar alertas cuando esos programas se estén ejecutando. Luego, los defensores pueden investigar si ha habido otras acciones sospechosas en el punto final, como conexiones a una nueva red externa.

Si bien muchas de las acciones tomadas por el malware Sanny abusan de la funcionalidad legítima que se utiliza para administrar un punto final, puede ser difícil diferenciar entre actividad legítima y actividad maliciosa.

Pregunte al experto:
¿Tiene alguna pregunta sobre las amenazas empresariales? Envíalo por correo electrónico hoy dia. (Todas las preguntas son anónimas).

También te puede interesar...

Conectividad segura para Internet de las cosas

En un provocativo informe de 2015, los analistas de Gartner Karamouzis, Jivan y Notardonato discutieron la naturaleza disruptiva de las máquinas inteligentes, las tecnologías cognitivas y los modelos de negocio algorítmicos. Al clasificar el contenido,

El HHS publica una guía sobre los ataques de ransomware

Quizás su organización de atención médica haya experimentado recientemente un ataque de ransomware. Bueno, ciertamente no estás solo. Los atacantes de ransomware han realizado 4000 ataques diarios contra organizaciones sanitarias solo a principios de 2016.

Controles de actualización del controlador: Win10 14328

La última compilación 14328 para Windows 10 Insider Preview fue para los usuarios de Fast Ring la semana pasada. Esta llamada «Actualización de aniversario» debería hacerse pública en julio, aproximadamente un año después del lanzamiento

Minería de datos en la industria de la salud

Pregunta: ¿Conoce alguna ventaja o desventaja obvia de la minería de datos en la gestión de sistemas de información sanitaria? Respuesta: Existen numerosas aplicaciones de la minería de datos en la atención médica y en

Comprender las ventajas de la infraestructura hiperconvergente

¡Gracias por unirte! Accede a tu Pro+ Contenido a continuación. febrero 2016 Comprender las ventajas de la infraestructura hiperconvergente Los productos de infraestructura convergente permiten que una organización implemente una oferta de TI totalmente integrada

¿Cómo sabe que puede confiar en su dispositivo IoT?

Se entiende y acepta comúnmente que nadie está a salvo en Internet de piratería, suplantación de identidad y otras acciones maliciosas, pero los usuarios de dispositivos informáticos conectados para transferir datos a través de la

Pros y contras de la migración de SAP a la nube

Los clientes de SAP que estén considerando mudarse a la nube deben tener en cuenta las ventajas y desventajas de tal mudanza. Un sistema ERP es a menudo una aplicación empresarial crítica. Los empleados confían

Requisitos y desafíos del clúster de VMware vSphere

Los centros de datos modernos están cambiando el enfoque de la recuperación a la disponibilidad. En lugar de esforzarse por recuperar aplicaciones corruptas, dañadas o inaccesibles, las organizaciones emplean tecnologías destinadas a preservar la disponibilidad

El CEO impulsa una estrategia basada en datos

Una vez, durante una iniciativa para adoptar una estructura organizativa más ajustada, a Jim McRickard se le mostraron todos los pasos por los que pasan los pedidos de los clientes antes de ser finalmente colocados.

Tres claves para la automatización exitosa de DevOps

Con una infraestructura y una canalización de CI / CD como código, las organizaciones de TI pueden crear, probar y entregar productos y actualizaciones de software rápidamente. Para crear una automatización DevOps de un extremo

¿Qué es AWS Cloud9? – Definición de Krypton Solid

AWS Cloud9 es un entorno de desarrollo integrado (IDE) que un desarrollador puede usar para administrar código a través de un navegador y colaborar con otros desarrolladores. Cloud9 admite varios lenguajes de programación, como Python,

Aquí hay dragones: Bitcoin e Internet de las cosas

Para que cualquier moneda se pueda utilizar para IoT, existen algunos requisitos no negociables: Soporte para transacciones, especialmente pequeñas. Almacén de valor estable Baja latencia predecible Soporte para volúmenes de tráfico muy altos A primera

¿Cuál es mejor para mí?

Si una organización decide implementar una plataforma de infraestructura hiperconvergente, debe decidir si comprar un dispositivo de hardware de HCI o implementar su implementación de HCI a través del software. Hay ventajas y desventajas en

Flux7 se corona como el mejor socio de AWS

Flux7 ha tenido un gran impacto desde su fundación en 2013, y los votantes lo nombraron el mejor socio consultor de AWS en 2014. Flux7 Labs brinda experiencia completa y conocimiento de DevOps a las

Documentar su proyecto de prueba de software

El proyecto de prueba es el esfuerzo técnico de estimar el trabajo, planificar el alcance y la estrategia de la prueba, administrar eficazmente la ejecución de la prueba e informar sobre el estado y el

Experimentar Uber desde adentro hacia afuera

Tom Hughes-Croucher se paró frente a una multitud que solo estaba de pie y explicó cómo él y su equipo mantienen en funcionamiento a Uber. O, como él dijo, «cómo evitamos arruinar el proyecto de

Nano Server de Microsoft está sacudiendo contenedores

La tecnología de contenedores continúa creciendo a medida que los desarrolladores adoptan esta nueva tecnología que comienza a encontrar un lugar en el centro de datos. Los contenedores no son microsistemas operativos, sino piezas del

Deja un comentario