Windows Defender ATP te protegerá del Ransomware



Windows Defender Advanced Threat Protection (Windows Defender ATP), herramienta para el nuevo Windows 10, bloqueará el ransomware, incluso cuando los antivirus comerciales no sean capaces de hacerlo. Mediante el estudio del comportamiento evitará infecciones de Ransomware con alertas, por ejemplo, cuando se hagan llamadas a comandos PowerShell, borrado de copias de seguridad como puntos de restauración y copias shadow, etc






Una de las amenazas informáticas más preocupantes de la historia de la informática está siendo el ransomware, un tipo de software malicioso que, una vez infecta el ordenador de un usuario, automáticamente cifra todos los datos almacenados en él y pide el pago de un rescate, muy elevado, a cambio de recupear los datos. Este tipo de malware es capaz incluso de engañar a los mejores antivirus del mercado, siendo una amenaza muy complicada detectar y mitigar a tiempo. Sin embargo, Microsoft parece haber dado con la solución.

Windows Defender ATP bloqueará el ransomware, incluso cuando los antivirus comerciales no son capaces de hacerlo


Tommy Blizard, un miembro e investigador del departamento de seguridad de Windows Defender ha publicado un completo informe donde explica las nuevas medidas de seguridad internas que llegarán a Windows 10 Creators Update gracias a las cuales el propio sistema operativo será capaz de protegerse de los virus y el malware por sí solo, incluso del temido ransomware.


Además de ser capaz de bloquear el ransomware por si solo, las nuevas medidas de seguridad de Windows 10 Creators Update harán que el sistema se proteja a si mismo contra los exploits de memoria, incluso de aquellos que se ejecuten en modo kernel (con el máximo nivel de privilegios), vislumbrando una nueva era en la seguridad del software de Microsoft.

Aunque Windows 10 es uno de los sistemas operativos más seguros hasta la fecha, no será hasta la llegada de Windows 10 Creators Update, en un par de meses, cuando las nuevas medidas de seguridad de este sistema y el renacido Windows Defender lleguen a su máximo esplendor.

Un caso real de Ransomware detectado por Windows Defender ATP


La infección de ransomware Cerber comenzó con un documento descargado en la carpeta Descargas a través de un cliente de correo web. Un usuario abrió el documento y activó una macro incrustada, que a su vez lanzó un comando de PowerShell que descargó otro componente que transportaba la carga útil del ransomware. Como se muestra a continuación, el comando PowerShell fue detectado por Windows Defender ATP.




Detección de comandos de PowerShell

Windows Defender ATP también generó una alerta cuando el script de PowerShell se conectó a un sitio web de anonimato de TOR a través de un proxy público para descargar un archivo ejecutable. El personal del centro de operaciones de seguridad (SOC) podría utilizar esas alertas para obtener la dirección IP de origen y bloquear esta dirección IP en el servidor de seguridad, evitando que otras máquinas descarguen el archivo ejecutable. En este caso, el ejecutable descargado era la carga útil del ransomware.


 Después de descargar la carga en el directorio Temp, se ejecutó mediante un proceso cmd.exe de origen. La carga creó una copia de sí mismo en la carpeta Usuarios y luego lanzó esa copia. Algoritmos de aprendizaje de máquina en Windows Defender ATP fueron capaces de detectar este comportamiento auto-lanzamiento.  

Justo antes de cifrar los archivos, el ransomware de Cerber intentó evitar futuros intentos de recuperación de archivos mediante la eliminación de los puntos de restauración del sistema y todas las copias shadow de volumen disponibles, usadas por Windows System Restore y Windows Backup and Restore durante la recuperación. Este comportamiento hostil también fue detectado por Windows Defender ATP. 


Windows Defender ATP generó al menos cuatro alertas durante el proceso de infección, proporcionando una amplia variedad de detecciones que ayudan a asegurar la cobertura para el cambio de técnicas entre las versiones de Cerber, muestras e infecciones. Para construir los mecanismos detrás de estas alertas, los investigadores de seguridad de Microsoft se peinan a través de familias de ransomware e identifican comportamientos comunes. Su investigación apoya modelos de aprendizaje de máquina y algoritmos de detección de comportamiento que detectan ransomware en diferentes etapas de la cadena de matar, durante el parto (por correo electrónico o utilizando kits de exploit) hasta el momento en que las víctimas hacen pagos de rescate.





Fuentes:
https://www.redeszone.net/2017/02/01/windows-10-capaz-protegerse-del-ransomware/
https://blogs.technet.microsoft.com/mmpc/2017/01/30/averting-ransomware-epidemics-in-corporate-networks-with-windows-defender-atp/

Via: blog.elhacker.net
Windows Defender ATP te protegerá del Ransomware Windows Defender ATP te protegerá del Ransomware Reviewed by Zion3R on 15:01 Rating: 5