fevar54 (2)
Last Login: December 05, 2022
fevar54's Latest (1) Contributions
Technical Analysis
Considere la posibilidad de implementar planes de recuperación ante desastres de TI que contengan procedimientos para realizar copias de seguridad de datos periódicas que se puedan utilizar para restaurar los datos de la organización. [28] Asegúrese de que las copias de seguridad se almacenen fuera del sistema y estén protegidas de los métodos comunes que los adversarios pueden utilizar para obtener acceso y destruir las copias de seguridad para evitar la recuperación.
Considere los controles técnicos para evitar la desactivación de servicios o la eliminación de archivos involucrados en la recuperación del sistema.
de igual manera se sabe que este tipo de técnica de ataque no se puede mitigar fácilmente con controles preventivos ya que se basa en el abuso de funciones del sistema.
Se opta por la detección
Detectar la acción de desofuscar o decodificar archivos o información puede resultar difícil dependiendo de la implementación. Si la funcionalidad está contenida en malware y usa la API de Windows, entonces intentar detectar un comportamiento malicioso antes o después de la acción puede producir mejores resultados que intentar realizar un análisis en bibliotecas cargadas o llamadas a API. Si se utilizan scripts, es posible que sea necesario recopilar los scripts para el análisis. Realice una supervisión de procesos y de la línea de comandos para detectar comportamientos potencialmente maliciosos relacionados con los scripts y las utilidades del sistema, como certutil .
Supervise las rutas de los archivos de ejecución y los argumentos de la línea de comandos para las aplicaciones y extensiones de archivos de almacenamiento comunes, como las de las herramientas de archivo Zip y RAR, y correlacione con otros comportamientos sospechosos para reducir los falsos positivos del comportamiento normal del usuario y el administrador.
Mitigaciones fabricante
La mitigación para este problema no está disponible o las opciones disponibles actualmente no cumplen con los criterios de seguridad de productos tampoco la facilidad de uso e implementación, aplicabilidad a una base de instalación generalizada o estabilidad.