DESARROLLO TECNOLÓGICO EMPRESARIAL 100% PERSONALIZADO

Defensas contra amenazas de criptohackers son cada vez más complejas

Lment9 es partner de Microsoft. Esta estudio ha sido obtenido del blog de Microsoft en Hardware-based threat defense against increasingly complex cryptojackers – Microsoft Security Blog

Defensa contra amenazas de criptohackers son cada vez más complejas

Los criptohackers (mineros de monedas troyanizados que los atacantes distribuyen para usar la potencia informática de los dispositivos comprometidos para sus objetivos) continúan estando muy extendidos.

En los últimos meses, Microsoft Defender Antivirus los detectó en cientos de miles de dispositivos cada mes. Estas amenazas también continúan evolucionando: se han vuelto más sigilosos para evadir la detección.

Para brindar protección avanzada contra estas amenazas Microsoft Defender usa varios sensores y tecnologías de detección, incluida su integración con Intel® (TDT), que aplica el aprendizaje automático a la telemetría del CPU de bajo nivel para detectar amenazas incluso cuando el malware está ofuscado y puede evadir las herramientas de seguridad.

Con esta detección de amenazas basada en silicio, Defender analiza las señales de la unidad de monitoreo de rendimiento del CPU (PMU) para detectar la «huella digital» de ejecución de código de malware en tiempo de ejecución y obtener información única sobre el malware en su punto final de ejecución, la CPU.

Las acciones combinadas de monitoreo a nivel de hardware, análisis de patrones de uso de CPU y uso de inteligencia de amenazas y aprendizaje automático a nivel de software de Microsoft permiten que la tecnología se defienda contra el cryptojacking de manera efectiva. 

¡Cuidado con lo que abres! No todo son buenas intenciones

Microsoft Defender analizó una interesante campaña de cryptojacking que abusaba de notepad.exe y varios otros binarios para llevar a cabo sus rutinas.

Esta campaña utilizó una versión actualizada del criptohacker conocido como Mehcrypt. Esta nueva versión empaqueta todas sus rutinas en un solo script y se conecta a un servidor de comando y control en la última parte de su cadena de ataque.

La amenaza llega como un archivo de almacenamiento que contiene autoit.exe y un script .au3 muy ofuscado y con un nombre aleatorio. Al abrir el archivo comprimido, se inicia autoit.exe, que decodifica el script .au3 en la memoria. Una vez que se ejecuta, el script decodifica aún más varias capas de ofuscación y carga scripts decodificados adicionales en la memoria.

Luego, el script se copia a sí mismo y a autoit.exe en una carpeta con un nombre aleatorio en C:\ProgramData. El script crea una tarea programada para eliminar los archivos originales y agrega entradas de registro de inicio automático para ejecutar el script cada vez que se inicia el dispositivo.

Después de agregar mecanismos de persistencia, el script carga el código malicioso en VBC.exe a través del vaciado del proceso y se conecta a un servidor C2 para escuchar los comandos. Según la respuesta de C2, el script carga su código de cryptojacking en notepad.exe, también a través del proceso de vaciado. En este punto, cuando la amenaza comienza su operación de cryptojacking a través de un código malicioso inyectado en notepad.exe, se puede observar un gran salto en el uso del CPU.

la tecnología avanzada de detección de amenazas de Defender ayuda a detener las actividades de cryptojacking

Para detectar criptohackers evasivos, Microsoft Defender Antivirus e Intel TDT trabajan juntos para monitorear y correlacionar datos de amenazas de hardware y software. Intel TDT aprovecha las señales de la CPU, analizándolas para detectar patrones modelados a partir de la actividad de cryptojacking mediante el aprendizaje automático. Luego, Microsoft Defender Antivirus usa estas señales y aplica su inteligencia de amenazas y técnicas de aprendizaje automático para identificar y bloquear la acción a nivel de software. 

Intel TDT ha agregado varias mejoras y optimizaciones de rendimiento, como descargar la inferencia de aprendizaje automático a la unidad de procesamiento de gráficos (GPU) integrada de Intel para permitir el monitoreo continuo. 

Por diseño, Microsoft Defender Antivirus aprovecha estas capacidades de descarga cuando corresponde. Además de las asociaciones de la industria, el monitoreo constante de Microsoft del panorama de amenazas impulsa la inteligencia de amenazas que alimenta productos como Microsoft Defender Antivirus y Microsoft Defender para Endpoint, donde el conocimiento se traduce en protección del cliente en tiempo real.

¿Te gustó? Compártelo

Compartir en facebook
Compartir en twitter
Compartir en linkedin
Microsoft 365
Carmen Santana

¿Assessment de seguridad empresarial?

¿Sabías que existe una evaluación que detecta todas las vulnerabilidades y patrones de seguridad de tu empresa? El Assessment de seguridad, tiene una gran demanda dentro

Read More »