Se aplica A: WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR , WatchGuard EPP, WatchGuard EDR Core
La tabla Actividad de Exploits muestra la técnica de exploit detectada, así como el nombre del programa en riesgo.
Estas son las diferentes técnicas monitorizadas:
Exploit/Metasploit
Metasploit Framework es una plataforma de pruebas que permite a sus usuarios crear, probar y ejecutar código de exploits. Si WatchGuard Endpoint Security detecta una firma de shellcode metasploit, aparece como una técnica de exploit de Metasploit/Exploit.
Exploit/ReflectiveLoader
La inyección reflexiva de DLL utiliza la programación reflexiva para cargar una biblioteca desde la memoria en un proceso host sin ser detectada. Si WatchGuard Endpoint Security detecta la carga de un ejecutable reflexivo (por ejemplo, metasploit o cobalt strike), aparece como una técnica de exploit de tipo Exploit/ReflectiveLoader.
Exploit/RemoteAPCInjection
La llamada a procedimiento asíncrono (APC) es una forma legítima de ejecutar código en un hilo de proceso que espera datos sin consumir recursos. Para evadir las defensas basadas en procesos y posiblemente elevar privilegios, los atacantes pueden utilizar la cola APC para inyectar código malicioso en un proceso. La inyección de APC ejecuta código arbitrario en el espacio de direcciones de un proceso vivo independiente. Si WatchGuard Endpoint Security detecta una inyección remota de código por parte de una APC, aparece como una técnica de exploit de tipo Exploit/RemoteAPCInjection.
Exploit/DynamicExec
Las inyecciones de código se producen cuando las aplicaciones permiten la ejecución dinámica de instrucciones de código a partir de datos que no son de confianza. Un atacante puede influir en el comportamiento de la aplicación atacada y modificarla para obtener acceso a datos sensibles. Si WatchGuard Endpoint Security detecta la ejecución de código en páginas sin permisos de ejecución (solo 32 bits), aparece como una técnica de exploit de tipo Exploit/DynamicExec.
Exploit/HookBypass
El hooking se refiere a la interceptación de llamadas a funciones, eventos del sistema o mensajes. Los fragmentos de código que realizan estas intercepciones se denominan hooks o ganchos. Los productos WatchGuard Endpoint Security utilizan ganchos para monitorizar eventos en el sistema operativo. Si WatchGuard Endpoint Security detecta un hook bypass en una función en ejecución, aparece como una técnica de exploit de tipo Exploit/HookBypass.
Exploit/ShellcodeBehavior
Shellcode es un pequeño fragmento de código máquina que se utiliza como carga en la explotación de una vulnerabilidad de software. Los exploits suelen inyectar un shellcode en el proceso objetivo antes o al mismo tiempo que aprovechan una vulnerabilidad. Si WatchGuard Endpoint Security detecta la ejecución de código en páginas MEM_PRIVATE que no corresponde a un Portable Executable (PE), aparece como una técnica de exploit de tipo ShellcodeBehavior.
Exploit/ROP1
La programación orientada al retorno (ROP) es una técnica de exploit que permite a los atacantes controlar la pila de llamadas y el flujo de control del programa. A continuación, el atacante ejecuta secuencias de instrucciones de máquina que ya están presentes en la memoria de la máquina. Estas instrucciones suelen terminar en una instrucción de retorno y se encuentran en una subrutina dentro de un programa existente o de un código de biblioteca compartida. Si WatchGuard Endpoint Security detecta la ejecución de APIs de administración de memoria cuando la pila está fuera de los límites de los hilos, aparece como una técnica de exploit de tipo Exploit/ROP1.
Exploit/IE_GodMode
El God Mode de Windows le permite un acceso rápido a las herramientas de administración, las opciones de copia de seguridad y restauración, y otros ajustes de administración importantes desde una única ventana. Esto incluye las opciones de Internet. Si WatchGuard Endpoint Security detecta el God Mode en Internet Explorer, aparece como una técnica de exploit de tipo Exploit/IE_GodMode.
Exploit/RunPE
RunPE es un tipo de malware que oculta código dentro de un proceso legítimo. A veces se denomina técnica de vaciado. Si WatchGuard Endpoint Security detecta técnicas de vaciado de procesos o RunPE, aparece como una técnica de exploit de tipo Exploit/RunPE.
Exploit/PsReflectiveLoader1
Los piratas informáticos suelen utilizar cargadores reflectantes para extraer información confidencial, como contraseñas y credenciales, de la memoria del sistema. Si WatchGuard Endpoint Security detecta un cargador reflexivo PowerShell en la computadora, como mimikatz, aparece como un Exploit/PsReflectiveLoader1.
Exploit/PsReflectiveLoader2
Los piratas informáticos suelen utilizar cargadores reflectantes para extraer información confidencial, como contraseñas y credenciales, de la memoria del sistema. Si WatchGuard Endpoint Security detecta un cargador reflexivo PowerShell en una computadora remota (no en la computadora local), como mimikatz, aparece como un Exploit/PsReflectiveLoader2.
Exploit/NetReflectiveLoader
Los piratas informáticos suelen utilizar cargadores reflectantes para extraer información confidencial, como contraseñas y credenciales, de la memoria del sistema. Si WatchGuard Endpoint Security detecta un cargador reflexivo NET, como Assembly.Load, aparece como una técnica de exploit de tipo Exploit/NetReflectiveLoader.
Exploit/JS2DOT
js2-mode es un modo de edición de JavaScript para GNU Emacs (un editor de texto gratuito y personalizable). Si WatchGuard Endpoint Security detecta una técnica JS2DOT, aparece como una técnica de exploit.
Exploit/Covenant
Covenant es una plataforma .NET de comando y control colaborativo para profesionales de la ciberseguridad. Si WatchGuard Endpoint Security detecta el marco Covenant, aparece como una técnica de exploit.
Exploit/DumpLsass
Los adversarios pueden intentar acceder al material de credenciales almacenado en la memoria de proceso del Servicio del Subsistema de Autoridad de Seguridad Local (LSASS). Si WatchGuard Endpoint Security detecta un volcado de memoria del proceso Lsass, aparece como una técnica de exploit.
Exploit/APC_Exec
Para evadir las defensas basadas en procesos o elevar privilegios, los atacantes pueden intentar inyectar código malicioso en los procesos de la cola de llamadas a procedimientos asíncronos (APC). La inyección de APC es un método que ejecuta código arbitrario en un proceso vivo independiente. Si WatchGuard Endpoint Security detecta la ejecución de código local a través de APC, aparece como una técnica de exploit de tipo Exploit/APC_Exec.
Para excluir la detección de una técnica para un programa específico:
- En la página Detección de Exploit, en la sección Acción, seleccione No volver a detectar para un programa específico.
