Aplica A: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR,WatchGuard EDR Core, WatchGuard EPP
La tabla Actividad de Exploits muestra la técnica de exploit detectada, así como el nombre del programa en riesgo.
Estas son las diferentes técnicas monitorizadas:
Exploit/Metasploit
Metasploit Framework es una plataforma de pruebas que permite a sus usuarios crear, probar y ejecutar código de exploits. Si Endpoint Security detecta una firma de shellcode metasploit, aparece como una técnica de exploit de Metasploit/Exploit.
Exploit/ReflectiveLoader
La inyección reflexiva de DLL utiliza la programación reflexiva para cargar una biblioteca desde la memoria en un proceso host sin ser detectada. Si Endpoint Security detecta la carga de un ejecutable reflexivo (por ejemplo, metasploit o cobalt strike), aparece como una técnica de exploit de tipo Exploit/ReflectiveLoader.
Exploit/RemoteAPCInjection
La llamada a procedimiento asíncrono (APC) es una forma legítima de ejecutar código en un hilo de proceso que espera datos sin consumir recursos. Para evadir las defensas basadas en procesos y posiblemente elevar privilegios, los atacantes pueden utilizar la cola APC para inyectar código malicioso en un proceso. La inyección de APC ejecuta código arbitrario en el espacio de direcciones de un proceso vivo independiente. Si Endpoint Security detecta una inyección remota de código por parte de una APC, aparece como una técnica de exploit de tipo Exploit/RemoteAPCInjection.
Exploit/DynamicExec
Las inyecciones de código se producen cuando las aplicaciones permiten la ejecución dinámica de instrucciones de código a partir de datos que no son de confianza. Un atacante puede influir en el comportamiento de la aplicación atacada y modificarla para obtener acceso a datos sensibles. Si Endpoint Security detecta la ejecución de código en páginas sin permisos de ejecución (solo 32 bits), aparece como una técnica de exploit de tipo Exploit/DynamicExec.
Exploit/HookBypass
El hooking se refiere a la interceptación de llamadas a funciones, eventos del sistema o mensajes. Los fragmentos de código que realizan estas intercepciones se denominan hooks o ganchos. Los productos Endpoint Security utilizan ganchos para monitorizar eventos en el sistema operativo. Si Endpoint Security detecta un hook bypass en una función en ejecución, aparece como una técnica de exploit de tipo Exploit/HookBypass.
Exploit/ShellcodeBehavior
Shellcode es un pequeño fragmento de código máquina que se utiliza como carga en la explotación de una vulnerabilidad de software. Los exploits suelen inyectar un shellcode en el proceso objetivo antes o al mismo tiempo que aprovechan una vulnerabilidad. Si WatchGuard Endpoint Security detecta la ejecución de código en páginas MEM_PRIVATE que no corresponde a un Portable Executable (PE), aparece como una técnica de exploit de tipo ShellcodeBehavior.
Exploit/ROP1
La programación orientada al retorno (ROP) es una técnica de exploit que permite a los atacantes controlar la pila de llamadas y el flujo de control del programa. A continuación, el atacante ejecuta secuencias de instrucciones de máquina que ya están presentes en la memoria de la máquina. Estas instrucciones suelen terminar en una instrucción de retorno y se encuentran en una subrutina dentro de un programa existente o de un código de biblioteca compartida. Si Endpoint Security detecta la ejecución de APIs de administración de memoria cuando la pila está fuera de los límites de los hilos, aparece como una técnica de exploit de tipo Exploit/ROP1.
Exploit/IE_GodMode
El God Mode de Windows le permite un acceso rápido a las herramientas de administración, las opciones de copia de seguridad y restauración, y otros ajustes de administración importantes desde una única ventana. Esto incluye las opciones de Internet. Si Endpoint Security detecta el God Mode en Internet Explorer, aparece como una técnica de exploit de tipo Exploit/IE_GodMode.
Exploit/RunPE
RunPE es un tipo de malware que oculta código dentro de un proceso legítimo. A veces se denomina técnica de vaciado. Si WatchGuard Endpoint Security detecta técnicas de vaciado de procesos o RunPE, aparece como una técnica de exploit de tipo Exploit/RunPE.
Exploit/PsReflectiveLoader1
Los piratas informáticos suelen utilizar cargadores reflectantes para extraer información confidencial, como contraseñas y credenciales, de la memoria del sistema. Si Endpoint Security detecta un cargador reflexivo PowerShell en la computadora, como mimikatz, aparece como un Exploit/PsReflectiveLoader1.
Exploit/PsReflectiveLoader2
Los piratas informáticos suelen utilizar cargadores reflectantes para extraer información confidencial, como contraseñas y credenciales, de la memoria del sistema. Si Endpoint Security detecta un cargador reflexivo PowerShell en una computadora remota (no en la computadora local), como mimikatz, aparece como un Exploit/PsReflectiveLoader2.
Exploit/NetReflectiveLoader
Los piratas informáticos suelen utilizar cargadores reflectantes para extraer información confidencial, como contraseñas y credenciales, de la memoria del sistema. Si Endpoint Security detecta un cargador reflexivo NET, como Assembly.Load, aparece como una técnica de exploit de tipo Exploit/NetReflectiveLoader.
Exploit/JS2DOT
js2-mode es un modo de edición de JavaScript para GNU Emacs (un editor de texto gratuito y personalizable). Si Endpoint Security detecta una técnica JS2DOT, aparece como una técnica de exploit.
Exploit/Covenant
Covenant es una plataforma .NET de comando y control colaborativo para profesionales de la ciberseguridad. Si WatchGuard Endpoint Security detecta el marco Covenant, aparece como una técnica de exploit.
Exploit/DumpLsass
Los adversarios pueden intentar conectarse al material de credenciales almacenado en la memoria de proceso del Servicio del Subsistema de Autoridad de Seguridad Local (LSASS). Si Endpoint Security detecta un volcado de memoria del proceso LSASS, aparece como una técnica de exploit.
Exploit/APC_Exec
Para evadir las defensas basadas en procesos o elevar privilegios, los atacantes pueden intentar inyectar código malicioso en los procesos de la cola de llamadas a procedimientos asíncronos (APC). La inyección de APC es un método que ejecuta código arbitrario en un proceso vivo independiente. Si Endpoint Security detecta la ejecución de código local a través de APC, aparece como una técnica de exploit de tipo Exploit/APC_Exec.
Controlador Vulnerable
Los controladores vulnerables son aquellos que presentan vulnerabilidades que han sido explotadas en el panorama de amenazas. Esto puede incluir controladores desactualizados que contienen brechas de seguridad.
Los controladores suministrados por proveedores legítimos pueden contener vulnerabilidades que el malware podría aprovechar para infectar una computadora o desactivar el software de seguridad. Estos controladores no son maliciosos en sí mismos y podrían instalarse en las computadoras sin suponer una amenaza para la seguridad. Por lo tanto, inicialmente no se detectan como malware. La protección anti-exploit bloquea el uso de controladores vulnerables, excepto cuando el controlador se carga al iniciar el sistema operativo.
Exclusiones
Para excluir la detección de una técnica para un programa específico:
- En la página Detección de Exploit, en la sección Acción, seleccione No volver a detectar para un programa específico.
Configurar la Protección Anti-exploit (Computadoras con Windows)