Malware Flashcards
¿Qué es el malware?
🔶Malware
Es un software malicioso diseñado para infiltrarse y dañar un sistema sin el conocimiento o consentimiento del usuario. Incluye virus, gusanos, troyanos, ransomware, spyware, rootkits y más.
¿Cuál es la diferencia entre un vector de amenaza y un vector de ataque?
🔶Malware
- Vector de amenaza: Es el método específico que un atacante utiliza para intentar infiltrarse en el sistema de la víctima. Ejemplos comunes incluyen software sin parches, dispositivos USB infectados o campañas de phishing.
- Vector de ataque: Es el medio a través del cual el atacante logra acceder al sistema y propagar el malware. Este concepto abarca desde cómo se aprovecha una vulnerabilidad hasta cómo el malware se introduce en el sistema.
Metafora
- El vector de amenaza podría ser que vives en un vecindario sin vigilancia, lo que facilita que el atacante se acerque a tu casa.
- El vector de ataque, sin embargo, sería el proceso específico que el atacante utiliza para entrar en tu casa: abrir la puerta, forzar la cerradura, y poner el cupcake en la mesa.
¿Cuáles son algunos indicadores de un ataque de malware?
🔶Malware
- Bloqueo de cuentas.
- Aumento del uso de sesiones concurrentes.
- Consumo elevado de recursos.
- Registro de ataques conocidos.
¿Qué es un virus y cómo funciona?
🔶Viruses
Es un tipo de malware que necesita la interacción del usuario para ejecutarse, como abrir un programa infectado, un documento o una imagen. Una vez dentro del sistema, puede replicarse, dañar archivos o consumir recursos.
Boot sector virus
🔶Viruses
- Infecta el sector de arranque del disco duro, donde están las instrucciones para iniciar el sistema operativo.
- Se carga en la memoria al encender el equipo, antes de que los antivirus puedan activarse, lo que dificulta su detección y eliminación.
- Su presencia puede corromper la capacidad del sistema para arrancar correctamente.
Macro virus
🔶Viruses
- Infecta documentos de programas de ofimática como Microsoft Word o Excel, utilizando macros, que son pequeños programas automatizados.
- Usa funciones legítimas de los programas de ofimática.
- Se ejecuta al abrir un documento infectado, y puede propagarse a otros documentos almacenados en el sistema o enviados por correo electrónico.
- Este virus es común en ataques de phishing.
Program virus
🔶Viruses
- Infecta archivos ejecutables (.exe) o programas instalados en el sistema.
- Cada vez que abres el programa infectado, el virus se ejecuta y puede propagarse a otros programas o archivos del sistema.
- Puede modificar o dañar los archivos del sistema, corromper programas, o crear puertas traseras para permitir accesos no autorizados.
Multipartite virus
🔶Viruses
- Este virus es una combinación de Boot sector virus y program virus.
- Infecta tanto el sector de arranque como los programas de tu sistema, lo que le permite infectar una computadora desde el arranque y mantenerse activo en el sistema.
- Es persistente, lo que significa que puede continuar infectando el sistema incluso después de que creas haberlo eliminado. Si eliminas la parte del programa, el sector de arranque lo reinfectará, y viceversa.
Encrypted virus
🔶Viruses
- Esconde su código malicioso mediante técnicas de cifrado, lo que hace difícil su detección.
- Cada vez que se ejecuta, se descifra para infectar el sistema, pero mientras está almacenado, permanece cifrado para evitar que los antivirus lo identifiquen.
- Infecta archivos o programas y se disfraza para que los antivirus no lo detecten.
Polymorphic virus
🔶Viruses
- Version avanzada de un Encrypted virus que ademas de enciptar su contenido, cambia su código cada vez que se replica o infecta un nuevo sistema.
- Los antivirus tradicionales, que dependen de la identificación de firmas, tienen dificultades para detectarlo, ya que el virus parece ser nuevo con cada infección, aunque sigue causando los mismos daños.
Metamorphic virus
🔶Viruses
- Similar al virus polimórfico, pero en lugar de solo cambiar su firma, puede reescribir su propio código por completo, lo que lo hace aún más difícil de detectar.
- Esto lo hace extremadamente difícil de detectar, ya que no sigue un patrón consistente, y parece ser un programa completamente diferente en cada ejecución.
Stealth virus
🔶Viruses
- No es tanto un virus especifico si no una tecnica usada para prevenir que el virus sea detectado por el antivirus. Usa técnicas para ocultar su presencia en el sistema.
- Modifica los informes del sistema para ocultar su actividad. Por ejemplo, puede cambiar la cantidad de espacio en disco que reporta el sistema para que no parezca que el virus está ocupando espacio.
- Dificulta la detección porque el sistema parece estar funcionando normalmente, incluso cuando el virus está activo.
Armored virus
🔶Viruses
- Diseñado para hacer más difícil su análisis por expertos y herramientas de seguridad.
- Utiliza capas de código adicional que confunden los intentos de análisis, aumentando así el tiempo que un atacante puede permanecer dentro de un sistema sin ser detectado, lo que le permite causar más daño.
Hoax virus
🔶Viruses
- No es un virus real, sino una técnica de ingeniería social.
- Los atacantes envían mensajes falsos advirtiendo a los usuarios que su sistema está infectado y que deben tomar medidas inmediatas, como descargar un “antivirus” o pagar por soporte técnico.
- Estas acciones a menudo conducen a la instalación de malware real o al robo de dinero.
¿Qué es un gusano y cómo funciona?
🔶Worms - Gusanos
Un gusano es un software malicioso que se replica y se propaga por sí solo, aprovechando vulnerabilidades sin requerir ninguna acción del usuario.
Exploran redes en busca de vulnerabilidades en los sistemas. Cuando encuentran una debilidad, la explotan para infectar el sistema, replicándose y propagándose a otros dispositivos en la misma red o en internet, causando daño continuo y ralentizando los sistemas.
Ejemplos de gusanos notables
🔶Worms
Nimda (2001)
El gusano Nimda se propagó por toda la internet en solo 22 minutos en 2001, a pesar de las lentas conexiones a internet de la época, afectando múltiples sistemas y redes a nivel global.
Conficker (2009)
El gusano Conficker infectó entre 9 y 15 millones de computadoras.
Aprovechó una vulnerabilidad en Windows y creó una red de botnets.
Aunque el gusano no fue utilizado maliciosamente, su red fue desactivada antes de poder ser utilizada.
¿Cuál es el impacto de los gusanos en las redes y sistemas?
🔶Worms
- Los gusanos consumen recursos de red y potencia de procesamiento, lo que ralentiza los sistemas afectados.
- En casos graves, pueden causar interrupciones significativas en los servicios y afectar la operatividad de las organizaciones.
¿Qué es un troyano?
🔶Trojans
Un troyano es un software malicioso que se disfraza como un programa legítimo o deseable, engañando al usuario para que lo instale. Promete realizar una función legítima, como un juego o herramienta, pero ejecuta acciones maliciosas en segundo plano, como instalar puertas traseras, robar datos o modificar archivos sin que el usuario lo sepa. A diferencia de otros malware, los troyanos no se replican por sí solos.
¿Qué es un RAT?
🔶Trojans
RAT (Remote Access Trojan)
Es un tipo de troyano que otorga al atacante control remoto completo de la máquina infectada.
Esto permite realizar acciones como controlar la computadora, robar información sensible o instalar malware adicional.
¿Cuál es un ejemplo de un troyano famoso?
🔶Trojans
En los años 80, Tetris era un juego extremadamente popular. Debido a la falta de internet, muchos compartían versiones del juego en discos. Un atacante aprovechó esto para crear una versión de Tetris que, además de permitir jugar el juego, abría una conexión remota entre la computadora del usuario y la del atacante, permitiendo el control remoto de la máquina del usuario
¿Cómo puedes protegerte de los troyanos?
🔶Trojans
- Usa software de seguridad: Siempre debes verificar los programas descargados de internet con un buen antivirus o una solución antimalware antes de instalarlos.
- Descarga desde fuentes confiables: Evita descargar software desde sitios desconocidos o no verificados.
- Mantén el software actualizado: Asegúrate de que tu sistema operativo y aplicaciones tengan los últimos parches de seguridad para evitar que los troyanos exploten vulnerabilidades conocidas.
¿Qué es el ransomware?
🔶RANSOMWARE
El ransomware es un software malicioso que cifra los datos de un sistema y luego exige un pago de rescate para liberar la clave de descifrado. A menudo se enfoca en activos digitales valiosos y exige pagos en criptomonedas como Bitcoin.
Ejemplos de ataques de ransomware
🔶RANSOMWARE
Ataque a Colonial Pipeline (2021)
El ataque de ransomware a Colonial Pipeline interrumpió el suministro de combustible en la costa este de EE. UU. durante cinco días. El grupo DarkSide exigió $4.4 millones en Bitcoin, lo que fue pagado por la empresa para recuperar el acceso a sus sistemas.
Universidad de Dusseldorf (2020)
Un ataque de ransomware interrumpió los sistemas del hospital, lo que provocó que los pacientes fueran derivados a otros hospitales. Uno de esos pacientes, que estaba en una situación de emergencia, falleció debido al retraso en la atención, marcando el primer incidente de ransomware relacionado directamente con la pérdida de una vida humana.
Su intencion no era atacar al hospital sino a la universidad, cuando se dieron cuenta del error les dieron la clave de descifrado.
¿Cuáles son algunas de las mejores prácticas para prevenir el ransomware?
🔶RANSOMWARE
Realiza copias de seguridad regulares y almacenarlas fuera del sistema afectado, como en un servicio de almacenamiento en la nube o en un dispositivo externo desconectado.
Mantén tu sistema operativo y aplicaciones actualizadas con los últimos parches de seguridad.
Capacita a los usuarios en seguridad, muchos ataques de ransomware se inician cuando un usuario hace clic en un enlace malicioso o descarga un archivo infectado de un correo electrónico de phishing.
Implementar MFA, si un atacante logra obtener las credenciales de acceso de un usuario, el MFA puede evitar que acceda al sistema sin el segundo factor de autenticación.
¿Qué debes hacer si eres víctima de un ataque de ransomware?
🔶RANSOMWARE
No pagues el rescate:
- Pagar el rescate no garantiza que recuperes tus datos y solo financia futuras actividades criminales.
- Además, podrías convertirte en un objetivo recurrente si los atacantes saben que pagaste.
Desconecta el sistema afectado de la red:
- Inmediatamente desconecta el sistema infectado de la red para evitar que el ransomware se propague a otros dispositivos.
- No desconectar la alimentacion, algunos ransomware generan claves dinámicas que se vinculan a procesos en ejecución. Al apagar el sistema abruptamente, esos procesos se interrumpen.
Notifica a las autoridades:
- Informa del ataque a las autoridades correspondientes, ya que un ataque de ransomware es un delito. Las investigaciones pueden ayudar a rastrear a los atacantes y prevenir futuros incidentes.
Restaura los datos desde copias de seguridad:
- Si has seguido las mejores prácticas y tienes copias de seguridad seguras, restaura los datos desde ellas.
- Asegúrate de que el ransomware haya sido eliminado completamente antes de restaurar los archivos, para evitar una reinfección.
¿Qué es una botnet?
¿Qué es un zombie dentro de un botnet?
¿Qué es un C2?
🔶BOTNETS Y ZOMBIES
BOTNET
Red de dispositivos comprometidos controlados de forma remota por actores malintencionados para realizar ciberataques o actividades maliciosas.
Los atacantes crean botnets utilizando otro tipo de malware para comprometer dispositivos, una vez comprometidos, se añaden a la red botnet. Desde ese momento, el atacante puede utilizar los recursos del sistema para fines maliciosos.
ZOMBIE
Un zombie es un dispositivo comprometido que forma parte de una botnet.
Command & Control (C2)
Actúa como el centro de mando del atacante, permitiendo que coordine los ataques de manera remota y sincronizada.
Los dispositivos comprometidos en la botnet reciben las instrucciones del C2, ejecutan las tareas solicitadas y, en muchos casos, reportan los resultados de vuelta al servidor C2.
Usos de una botnet en el cibercrimen
🔶BOTNETS Y ZOMBIES
- Puntos de pivote para ataques: Los atacantes pueden utilizar tu computadora comprometida como punto de partida para atacar otros objetivos. Esto hace que parezca que el ataque proviene de tu máquina en lugar del atacante original.
- Almacenamiento de contenido ilegal: Los atacantes pueden utilizar botnets para distribuir el almacenamiento de contenido ilegal, como pornografía infantil, entre muchos dispositivos, lo que les permite eludir la detección.
- Envío de spam: Los zombies se pueden utilizar para enviar correos electrónicos masivos con campañas de phishing o malware sin que el propietario del dispositivo lo sepa.
- Ataques DDoS (Distributed Denial of Service): Este es uno de los usos más comunes de los botnets. Un ataque DDoS ocurre cuando una gran cantidad de dispositivos en un botnet atacan a un servidor simultáneamente, generando tantas solicitudes que el servidor se colapsa y se vuelve inoperante.
- Cripto minería: Utilizan los recursos de procesamiento de los zombies para minar criptomonedas sin el conocimiento del usuario. Utilizan entre el 20 y 25% de la capacidad de procesamiento del dispositivo infectado para realizar estas tareas, de modo que el usuario no detecte fácilmente la disminución del rendimiento.
- Romper cifrados: Pueden usarse para realizar ataques de fuerza bruta contra sistemas cifrados, utilizando la capacidad de procesamiento distribuido de miles de zombies para intentar descifrar contraseñas o claves de cifrado.
¿Cómo afecta un botnet a un dispositivo comprometido?
🔶BOTNETS Y ZOMBIES
Los dispositivos comprometidos como zombies pueden experimentar una disminución del rendimiento o un uso excesivo de red, ya que el atacante utiliza sus recursos para tareas maliciosas.
A menudo, los atacantes limitan el uso al 20-25% de los recursos para evitar que el usuario lo note.
¿Cómo puedes protegerte de ser parte de una botnet?
🔶BOTNETS Y ZOMBIES
- Mantén tu sistema actualizado: Actualiza regularmente tu sistema operativo y software para protegerte contra vulnerabilidades que los atacantes podrían aprovechar para comprometer tu dispositivo.
- Usa software de seguridad: Instala y mantén actualizado un buen programa de antivirus o antimalware para detectar y eliminar malware que pueda convertir tu dispositivo en un zombie.
- Sé cauteloso con los correos electrónicos y enlaces sospechosos: No hagas clic en enlaces no solicitados ni descargues archivos de correos electrónicos de remitentes desconocidos. Muchos botnets se propagan a través de campañas de phishing.
- Monitorea el uso de recursos de tu sistema: Si notas que tu dispositivo está funcionando de manera inusualmente lenta o que el uso de red es excesivo sin motivo aparente, investiga si tu sistema puede estar comprometido.
¿Qué es un rootkit?
¿Cómo funcionan los rootkits?
🔶ROOTKITS
¿Qué es un rootkit?
Es un tipo de malware diseñado para obtener control a nivel de administrador (root) sobre un sistema sin ser detectado. Permite a los atacantes controlar casi cualquier aspecto del sistema, desde programas hasta puertos de red, con el nivel más alto de permisos.
¿Cómo funcionan los rootkits?
Los rootkits se ocultan en lo profundo del sistema, intentando operar en el anillo 0 (el kernel) donde tienen acceso completo y pueden ejecutar código malicioso sin ser detectados. Se especializan en evitar la detección por antivirus tradicionales.
¿Cómo se instala un rootkit en un sistema y qué técnica utiliza para evadir la detección?
🔶ROOTKITS
- Los rootkits utilizan la técnica de inyección de DLL (Dynamic Link Library), lo que fuerza a un proceso en ejecución a cargar una DLL maliciosa insertandose en un proceso que ya está en ejecución en un sistema Windows. Esto hace que el sistema operativo no se dé cuenta de que hay una biblioteca maliciosa ejecutándose en segundo plano
- Para evitar ser detectado, los rootkits también emplean shims, que son trozos de código que interceptan las comunicaciones entre el sistema operativo y la DLL, redirigiendo las llamadas a código malicioso.
¿Por qué los rootkits son tan peligrosos?
🔶ROOTKITS
- Ocultan su presencia: Los rootkits están diseñados para ocultarse y permanecer activos durante mucho tiempo sin ser detectados.
- Pueden ejecutar código malicioso con los mayores niveles de permiso en el sistema, lo que les permite hacer casi cualquier cosa, desde robar información hasta desactivar medidas de seguridad.
- Difícil detección: Debido a su capacidad para ocultarse, los antivirus tradicionales no suelen detectarlos fácilmente.
¿Cómo puedes protegerte contra los rootkits?
🔶ROOTKITS
- Escaneo desde un dispositivo externo: La mejor manera de detectar rootkits es utilizando una solución de seguridad que escanee el sistema desde un dispositivo externo, como un disco de arranque de Linux. Esto asegura que el rootkit no esté activo durante el escaneo.
- Mantén tus sistemas actualizados: Actualizar regularmente el sistema operativo y el software es crucial para cerrar vulnerabilidades que los rootkits podrían aprovechar.
- Evita descargar software de fuentes no confiables: Solo instala programas de fuentes confiables y realiza un escaneo antes de instalar cualquier archivo.
¿Qué es un backdoor y por qué representa un riesgo de seguridad?
🔶BACKDOORS & LOGIC BOMBS
Un backdoor es un método oculto para eludir los controles de seguridad de un sistema, proporcionando acceso no autorizado. Representa un riesgo porque los atacantes pueden usarlo para comprometer el sistema sin que los usuarios lo detecten, como ocurre con los Remote Access Trojans (RATs).
¿Qué es un Easter Egg y cómo puede afectar la seguridad de un programa?
🔶BACKDOORS & LOGIC BOMBS
Un Easter Egg es una función oculta o sorpresa añadida en un programa como una broma o característica secreta.
Aunque generalmente no es malicioso, puede introducir vulnerabilidades de seguridad, ya que este código adicional puede no haber sido probado o evaluado con los mismos estándares de seguridad que el resto del programa.
¿Qué es una logic bomb y cómo funciona?
🔶BACKDOORS & LOGIC BOMBS
Una logic bomb es un código malicioso que se activa solo cuando se cumplen ciertas condiciones predefinidas, como una fecha específica o un evento.
Su propósito es causar daño, como borrar archivos o sabotear operaciones, y a menudo se coloca dentro de sistemas críticos sin ser detectada hasta que se activa.
¿Qué es un keylogger?
¿Cuáles son los dos tipos principales de keyloggers?
🔶KEYLOGERS
¿Qué es un keylogger?
Un keylogger es una herramienta que graba todas las pulsaciones de teclas en un dispositivo, y luego envían la información a un servidor controlado por el atacante. Permitiendo que un atacante registre información confidencial como contraseñas y nombres de usuario, sin que la víctima lo sepa.
¿Cuáles son los dos tipos principales de keyloggers?
- Keyloggers basados en software: Programas maliciosos que se instalan en el dispositivo para capturar pulsaciones de teclas.
- Keyloggers basados en hardware: Dispositivos físicos que se conectan al teclado o equipo para interceptar las pulsaciones. Los keyloggers de hardware no pueden ser detectados por el software de seguridad, ya que se sitúan fuera del sistema operativo.
¿Cuáles son las medidas de protección más efectivas contra los keyloggers?
🔶KEYLOGERS
- Actualizar y aplicar parches regularmente: Mantener el software y los sistemas operativos actualizados ayuda a reducir la exposición a vulnerabilidades conocidas que los keyloggers pueden explotar.
- Invertir en software antivirus y anti-malware de calidad: Usar un software de seguridad que pueda detectar y eliminar keyloggers es crucial. Además, se deben realizar escaneos regulares para detectar amenazas.
- Capacitación sobre phishing: Muchos keyloggers se distribuyen a través de correos electrónicos de phishing. Capacitar a los usuarios para que reconozcan y eviten enlaces sospechosos y archivos adjuntos no solicitados es clave para prevenir infecciones.
- Implementar autenticación multifactor (MFA): Incluso si un atacante roba una contraseña usando un keylogger, necesitará otro factor, como un código de autenticación o una verificación biométrica.
- Cifrar las pulsaciones de teclas: Algunos programas de seguridad permiten cifrar las pulsaciones antes de que lleguen al sistema, lo que dificulta que un keylogger pueda interpretar la información capturada.
- Inspeccionar físicamente el hardware: En entornos altamente sensibles, realizar inspecciones físicas regulares de los equipos puede ayudar a detectar keyloggers de hardware que puedan haber sido instalados sin autorización.
¿Qué es el spyware?
Métodos de instalación del spyware
¿Cuáles son las medidas de protección contra el spyware?
🔶SPYWARE & BLOATWARE
Malware diseñado para recopilar y enviar información sobre un usuario o una organización sin su conocimiento.
Puede recopilar datos desde hábitos de navegación hasta información confidencial, como contraseñas y números de tarjetas de crédito.
Además de violar la privacidad, puede reducir el rendimiento del sistema, ya que utiliza recursos del equipo para monitorear y transmitir datos.
Métodos de instalación del spyware
- Software empaquetado (Bundled with other software): Puede venir incluido con otros programas que se descargan o instalan.
- Sitios web maliciosos: El spyware puede instalarse al visitar sitios web comprometidos.
- Anuncios engañosos: Los usuarios pueden ser engañados para que hagan clic en anuncios emergentes que instalan spyware en su sistema.
¿Cuáles son las medidas de protección contra el spyware?
- Usar antivirus y anti-spyware confiables que se actualicen regularmente.
- Descargar software de fuentes confiables y leer los acuerdos de licencia (EULA) para verificar si están recopilando datos.
- Mantener los sistemas actualizados para prevenir vulnerabilidades que puedan ser explotadas por el spyware.
¿Qué es el bloatware?
¿Cómo puede afectar el bloatware al rendimiento del sistema?
¿Cuáles son las opciones para eliminar el bloatware de un dispositivo?
🔶SPYWARE & BLOATWARE
Software no deseado que viene preinstalado en nuevos ordenadores o dispositivos móviles. No es malicioso, pero consume recursos del sistema como almacenamiento y memoria.
- Versiones de prueba de software, como una prueba gratuita de Microsoft Office 365 o Norton Security.
- Aplicaciones promocionales o innecesarias preinstaladas en dispositivos móviles.
¿Cómo puede afectar el bloatware al rendimiento del sistema?
El bloatware consume espacio de almacenamiento y memoria, lo que puede ralentizar el rendimiento del dispositivo y crear posibles vulnerabilidades de seguridad.
¿Cuáles son las opciones para eliminar el bloatware de un dispositivo?
* Eliminación manual desde el panel de control o la configuración del dispositivo.
* Usar herramientas de terceros para identificar y eliminar bloatware.
* Realizar una instalación limpia del sistema operativo.
¿Qué es el fileless malware?
¿Qué es un dropper?
¿Cuál es la diferencia entre un dropper y un downloader?
🔶MALWARE ATTACK TECHNIQUES
¿Qué es el fileless malware?
El fileless malware no almacena archivos en el sistema, ejecuta código malicioso directamente en la memoria, lo que le permite evadir los mecanismos de detección basados en archivos como los antivirus tradicionales.
¿Qué es un dropper?
Un dropper es un tipo de malware diseñado para iniciar o ejecutar otras formas de malware dentro de una carga útil en un host infectado.
¿Cuál es la diferencia entre un dropper y un downloader?
Un dropper introduce malware en un sistema infectado, mientras que un downloader recupera herramientas adicionales o malware adicional después de la infección inicial.
¿Qué es el modelo de despliegue en dos etapas?
🔶MALWARE ATTACK TECHNIQUES
STAGE 1
Cuando un usuario accidentalmente hace clic en un enlace malicioso o abre un archivo malicioso, el malware que se instala en este tipo de ataque se denomina dropper o downloader de etapa uno.
STAGE 2
Una vez activado el dropper o downloader de etapa uno, intentará instalar un downloader de segunda etapa que descargará e instalará un troyano de acceso remoto (RAT) para que el atacante pueda obtener el control remoto del sistema infectado.
MOVIMIENTO LATERAL
Cuando se establece el acceso remoto el atacante puede centrarse en consolidar su posición en el sistema mediante herramientas de acceso remoto para identificar e infectar otros sistemas dentro de la red.
ACCION SOBRE LOS OBJETIVOS
Una vez que se ha establecido una posición firme, el atacante pasa a la fase de acción sobre los objetivos.
BORRAR HUELLAS
El último paso del ataque es llevar a cabo acciones de ocultación. La ocultación se utiliza para ayudar a los atacantes a prolongar su acceso no autorizado en tus sistemas al ocultar sus huellas, borrar archivos de registro y ocultar cualquier evidencia de sus actividades maliciosas
Técnicas de explotación y despliegue de malware
🔶MALWARE ATTACK TECHNIQUES
Inyección de código
El malware inserta código malicioso dentro de un proceso legítimo en ejecución en el sistema.
El objetivo es ocultar el malware para que parezca parte de una aplicación o servicio autorizado. Al hacer esto, el malware puede realizar sus acciones maliciosas sin ser detectado fácilmente
Masquerading
El malware se disfraza de una aplicación o archivo legítimo. El malware podría tener un nombre similar a un archivo o proceso de confianza o utilizar iconos que imitan a programas legítimos.
El objetivo es engañar al usuario o al sistema de seguridad para que ejecute el archivo malicioso pensando que es inofensivo.
Inyección DLL y DLL Sideloading
- Inyección DLL: El malware inserta una DLL maliciosa dentro de un proceso legítimo. Al inyectar una DLL maliciosa, el malware puede ejecutar su código dentro de otro proceso sin ser detectado.
- DLL Sideloading: es similar, pero aquí el malware se aprovecha de un programa legítimo que carga una DLL específica. Si el atacante coloca una versión maliciosa de esa DLL en el mismo directorio que la aplicación legítima, la aplicación cargará la DLL maliciosa.
Process Hollowing
El malware toma control de un proceso legítimo ya en ejecución, lo vacía y luego inserta su propio código malicioso en su lugar.
De esta manera, el proceso sigue pareciendo legítimo desde la perspectiva del sistema, pero en realidad está ejecutando malware
Living off the Land
En lugar de depender de herramientas externas, los atacantes explotan herramientas del sistema operativo para realizar sus actividades maliciosas.
Un ejemplo común es el uso de PowerShell, una herramienta nativa de Windows, que puede ser manipulada para llevar a cabo ataques sin que el sistema detecte actividad sospechosa.
¿Cuáles son los principales indicadores de ataques de malware?
🔶INDICATORS OF MALWARE ATTACKS
Bloqueos de cuentas - Account Lockouts
múltiples intentos fallidos de inicio de sesión, lo que puede resultar en el bloqueo de cuentas.
Utilización de sesiones concurrentes - Concurrent session utilization
Si notas que una cuenta de usuario tiene varias sesiones simultáneas abiertas desde diferentes ubicaciones geográficas, esto puede indicar que un malware ha secuestrado la cuenta.
Contenido bloqueado - Blocked content
Las herramientas de ciberseguridad modernas bloquean contenido malicioso conocido, como archivos o enlaces.
Si detectas un aumento en las alertas de contenido bloqueado, podría indicar que una infección de malware ha penetrado en tu sistema.
Viajes imposibles - Imposible travel
Cuando una cuenta de usuario accede desde dos o más ubicaciones geográficas separadas en un periodo de tiempo demasiado corto para ser realista.
Consumo de recursos - Resource consumption
Un aumento inesperado en el uso de CPU, memoria o ancho de banda puede ser un indicio claro de que tu sistema ha sido víctima de una infección de malware.
Registros fuera de ciclo - Out-of-cycle logging
Si observas que los registros se generan en horas no habituales, cuando no deberían estar ocurriendo actividades legítimas, podría ser una indicación de un ataque de malware. Los atacantes suelen realizar transferencias de datos no autorizadas o modificaciones del sistema durante la noche, cuando el sistema está inactivo.
Registros faltantes - Missing Logs
Si revisas los registros y notas grandes brechas o hay pocos logs en peak hours, o si los registros han sido borrados sin ninguna razón autorizada, podría ser una indicación de que has sido víctima de una actividad maliciosa.
Inaccesibilidad de recursos - Resource inaccessibility
Si un gran número de archivos o sistemas críticos se vuelven inaccesibles de repente, o si los usuarios reciben mensajes exigiendo un pago para descifrar sus datos, es una clara señal de un ataque de ransomware.
Ataques documentados o publicados
si se publica un informe de un ataque a tu red, ya sea por un investigador de ciberseguridad o un periodista.
