Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Windows Defender ATP te protegerá del Ransomware




Windows Defender Advanced Threat Protection (Windows Defender ATP), herramienta para el nuevo Windows 10, bloqueará el ransomware, incluso cuando los antivirus comerciales no sean capaces de hacerlo. Mediante el estudio del comportamiento evitará infecciones de Ransomware con alertas, por ejemplo, cuando se hagan llamadas a comandos PowerShell, borrado de copias de seguridad como puntos de restauración y copias shadow, etc






Una de las amenazas informáticas más preocupantes de la historia de la informática está siendo el ransomware, un tipo de software malicioso que, una vez infecta el ordenador de un usuario, automáticamente cifra todos los datos almacenados en él y pide el pago de un rescate, muy elevado, a cambio de recupear los datos. Este tipo de malware es capaz incluso de engañar a los mejores antivirus del mercado, siendo una amenaza muy complicada detectar y mitigar a tiempo. Sin embargo, Microsoft parece haber dado con la solución.

Windows Defender Advanced Threat Protection estará disponible para:
  • Windows 10 Enterprise
  • Windows 10 Education
  • Windows 10 Pro
  • Windows 10 Pro Education


Windows Defender ATP bloqueará el ransomware, incluso cuando los antivirus comerciales no son capaces de hacerlo


Tommy Blizard, un miembro e investigador del departamento de seguridad de Windows Defender ha publicado un completo informe donde explica las nuevas medidas de seguridad internas que llegarán a Windows 10 Creators Update gracias a las cuales el propio sistema operativo será capaz de protegerse de los virus y el malware por sí solo, incluso del temido ransomware.


Además de ser capaz de bloquear el ransomware por si solo, las nuevas medidas de seguridad de Windows 10 Creators Update harán que el sistema se proteja a si mismo contra los exploits de memoria, incluso de aquellos que se ejecuten en modo kernel (con el máximo nivel de privilegios), vislumbrando una nueva era en la seguridad del software de Microsoft.

Aunque Windows 10 es uno de los sistemas operativos más seguros hasta la fecha, no será hasta la llegada de Windows 10 Creators Update, en un par de meses, cuando las nuevas medidas de seguridad de este sistema y el renacido Windows Defender lleguen a su máximo esplendor.

Un caso real de Ransomware detectado por Windows Defender ATP


La infección de ransomware Cerber comenzó con un documento descargado en la carpeta Descargas a través de un cliente de correo web. Un usuario abrió el documento y activó una macro incrustada, que a su vez lanzó un comando de PowerShell que descargó otro componente que transportaba la carga útil del ransomware. Como se muestra a continuación, el comando PowerShell fue detectado por Windows Defender ATP.




Detección de comandos de PowerShell

Windows Defender ATP también generó una alerta cuando el script de PowerShell se conectó a un sitio web de anonimato de TOR a través de un proxy público para descargar un archivo ejecutable. El personal del centro de operaciones de seguridad (SOC) podría utilizar esas alertas para obtener la dirección IP de origen y bloquear esta dirección IP en el servidor de seguridad, evitando que otras máquinas descarguen el archivo ejecutable. En este caso, el ejecutable descargado era la carga útil del ransomware.


 Después de descargar la carga en el directorio Temp, se ejecutó mediante un proceso cmd.exe de origen. La carga creó una copia de sí mismo en la carpeta Usuarios y luego lanzó esa copia. Algoritmos de aprendizaje de máquina en Windows Defender ATP fueron capaces de detectar este comportamiento auto-lanzamiento.  

Justo antes de cifrar los archivos, el ransomware de Cerber intentó evitar futuros intentos de recuperación de archivos mediante la eliminación de los puntos de restauración del sistema y todas las copias shadow de volumen disponibles, usadas por Windows System Restore y Windows Backup and Restore durante la recuperación. Este comportamiento hostil también fue detectado por Windows Defender ATP. 


Windows Defender ATP generó al menos cuatro alertas durante el proceso de infección, proporcionando una amplia variedad de detecciones que ayudan a asegurar la cobertura para el cambio de técnicas entre las versiones de Cerber, muestras e infecciones. Para construir los mecanismos detrás de estas alertas, los investigadores de seguridad de Microsoft se peinan a través de familias de ransomware e identifican comportamientos comunes. Su investigación apoya modelos de aprendizaje de máquina y algoritmos de detección de comportamiento que detectan ransomware en diferentes etapas de la cadena de matar, durante el parto (por correo electrónico o utilizando kits de exploit) hasta el momento en que las víctimas hacen pagos de rescate.





Fuentes:
https://www.redeszone.net/2017/02/01/windows-10-capaz-protegerse-del-ransomware/
https://blogs.technet.microsoft.com/mmpc/2017/01/30/averting-ransomware-epidemics-in-corporate-networks-with-windows-defender-atp/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.