En el ámbito de la seguridad cibernética, la protección robusta es fundamental. Bitdefender Gravityzone incorpora Anti-Tampering para proporcionar una defensa inquebrantable contra los intentos de manipulación por parte de actores maliciosos. Este artículo explora cómo la tecnología anti-tampering de Bitdefender salvaguarda los sistemas críticos de sus usuarios.

Técnicas EDR Bypass

La funcionalidad anti-tampering de Bitdefender es crucial para la integridad de la protección del endpoint. Actúa como un último bastión que asegura que, incluso si los atacantes logran infiltrarse en un sistema, no podrán desactivar el software de seguridad. Al implementar técnicas avanzadas, Bitdefender Gravityzone incorpora anti-tampering para monitorizar y bloquear la modificación de sus procesos y archivos críticos.

Los actores maliciosos están constantemente innovando técnicas para eludir las defensas de seguridad de endpoint, conocidas colectivamente como EDR Bypass. Estas técnicas pueden clasificarse en dos categorías:

1. Técnicas de desactivación directa – atacantes intentan directamente desactivar el software de seguridad, como la desinstalación o la terminación de los procesos de seguridad.
2. Técnicas de Evasión Avanzada – atacantes más sofisticados pueden utilizar técnicas avanzadas como:
   • Callback Evasion : Emplean técnicas para eludir las llamadas, notificaciones enviadas por el sistema al software de seguridad sobre eventos específicos.
   • Drivers vulnerables: los ciberdelincuentes explotan las vulnerabilidades de seguridad dentro de drivers legítimos para obtener acceso privilegiado y potencialmente desactivar componentes de seguridad.
   • Event Tracing para Windows (ETW) tampering: Los atacantes terminan las sesiones de rastreo o eliminan proveedores específicos de ETW.

Entender estas técnicas de bypass de EDR es el primer paso para asegurar sus sistemas de negocio. Sin embargo, detenerlos por completo es una tarea bastante desafiante.

Este artículo profundiza en varias técnicas comunes de bypass y como el antivirus Bitdefender Gravityzone incorpora Anti-tampering para la protección de su solución en las suites corporativas.

Configuración de Bitdefender para la Protección básica Anti-Tamper

El software de seguridad es vital para su protección, pero a veces incluso los usuarios pueden tratar de desactivarlo (no) intencionalmente. En esta sección se discutirán métodos básicos que los atacantes o empleados mal informados podrían utilizar para eludir la seguridad, centrándose en técnicas como la desinstalación y los procesos de paralizar.

En Bitdefender GravityZone, puede configurar la configuración de protección Anti-Tamper en la sección de configuración de políticas.

Configuración de contraseña

La función de contraseña garantiza que los usuarios estén obligados a introducir una contraseña para desinstalar al agente de seguridad, incluso si tienen derechos de administrador local. Para la máxima seguridad, es crucial configurar una contraseña de desinstalación y utilizar una fuerte. Esta contraseña debe ser conocida sólo por los administradores de seguridad. Si un usuario conoce la contraseña o si no se configuraba contraseña, puede desinstalar la protección de endpoints desde su computadora. Una contraseña débil o falta debilita significativamente la seguridad de su punto final al permitir a los atacantes manipular la configuración de seguridad y comprometer su sistema potencialmente.

Usuario con Permisos

El módulo Usuario con permisos (Power User) otorga derechos de administrador a los usuarios a nivel de endpoint, lo que les permite acceder y modificar ajustes de seguridad específicos a través de una consola CLI local. Con el módulo Usuario con permisos, los usuarios pueden gestionar fácilmente las políticas de endpoints localmente en las estaciones. Esto incluye también la posibilidad de desactivar módulos de protección como el escaneo antimalware en el acceso, el Control Avanzado de Amenazas, el Hyper Detect, etc. Cuando un endpoint está en el modo de Usuario con permisos, el Centro de Control recibe una notificación, y el administrador del Centro de Control conserva la capacidad de anular la configuración de seguridad local si es necesario. La contraseña de Usuario con permisos debe ser fuerte y conocida sólo por los administradores de seguridad

Auto-Protección

Bitdefender Self Protect functionality proporciona protección silenciosa para sus procesos. Esta característica crítica Anti-Tamper se activa automáticamente y no puede ser modificada por los usuarios, lo que garantiza el más alto nivel de seguridad para los componentes básicos de Bitdefender. Funciona a nivel de archivo, registro y proceso, previniendo activamente acciones no autorizadas como alterar o borrar archivos de productos, modificar o eliminar las claves del registro, y detener los procesos.

Para evitar que los procesos maliciosos modifiquen nuestras soluciones de seguridad, utilizamos un controlador o driver de minifiltro para monitorear activamente las identificadores de los nuevos procesos y registro. Al examinar los derechos asociados a estos identificadores, Bitdefender Antivirus elimina los derechos de acceso peligrosos solicitados para el identificador (como el derecho “PROCESS-TERMINATE”) o evitamos cualquier cambio en los archivos y claves/valores de registro utilizados por la solución de seguridad Bitdender Gravityzone.

Para mejorar la seguridad y prevenir las acciones no autorizadas, Bitdefender Gravityzone incorpora Anti-Tampering como mecanismo encargado de otorgar permiso a sus procesos autorizados para llevar a cabo acciones específicas como iniciar el escáner bajo demanda. A través de su procedimiento de validación, la solucion de seguridad informatica de Bitdefender se asegura de que el proceso bajo demanda esté legítimamente asociado con BEST (Bitdefender EndPoint Security Tool). Si la validación tiene éxito, las operaciones se desarrollan según lo previsto.

Asegura tu solución de Bitdefender para la Detección de técnicas avanzadas de evasión

Una contraseña fuerte y una funcionalidad de desinstalación configurada son los primeros pasos cruciales, pero no son suficientes. Los atacantes más sofisticados tienen técnicas avanzadas de evasión en su arsenal para eludir los métodos de detección del EPP y el EDR de algunas soluciones antivirus.

Detener un proceso de seguridad puede ser un intento por parte de un usuario de eludir la seguridad sin querer. Sin embargo, las técnicas de bypass avanzadas son una señal de alerta grave, que indica que un atacante experto intenta obtener acceso a su sistema.

Callback Evasion

Los atacantes emplean activamente técnicas de evasión de devolución de llamadas para evitar la detección por parte de los sistemas de seguridad que dependen de las devoluciones de llamada para detectar actividades maliciosas. Estas devoluciones de llamada actúan como ganchos para el software de seguridad, notificándole eventos específicos del sistema. Los atacantes pueden enmascarar su actividad y operar sin ser detectados durante períodos prolongados desactivando o eliminando las devoluciones de llamadas. Para ilustrar la sofisticación de estos ataques, consideremos un escenario en el que herramientas maliciosas explotan vulnerabilidades en controladores (drivers) legítimos para obtener acceso al núcleo del sistema. Una vez dentro del kernel, el atacante puede alterar o desactivar las medidas de seguridad existentes. Por ejemplo, utilizando la herramienta EDRSandBlast, los atacantes pueden explotar una vulnerabilidad de escritura arbitraria en un controlador firmado digitalmente. Esta vulnerabilidad permite al atacante eliminar las devoluciones de llamada responsables de desencadenar eventos de creación de procesos utilizados por EDR u otro software de seguridad. Al deshabilitar estas devoluciones de llamada, el malware del atacante puede crear libremente nuevos procesos sin alertar al software de seguridad, encubriendo efectivamente su actividad maliciosa.

Bloquear completamente este tipo de ataque puede ser un desafío, ya que las contramedidas existentes, como la inclusión de controladores en listas negras, tienen una efectividad limitada contra vulnerabilidades desconocidas. Sin embargo, el agente Bitdefender BEST ofrece una potente solución integrada en la tecnología de detección de evasión de devolución de llamada (CBE) de su cliente.

Como funciona el CBE de Bitdefender Gravityzone

CBE monitorea activamente para detectar actividad sospechosa y puede detectar intentos de deshabilitar o manipular las devolución de llamadas críticas para operaciones de software de seguridad. Por ejemplo, cada vez que detectamos que tipos de callbacks como PsSetLoadImageNotifyRoutine, PsSetCreateThreadNotifyRoutine y CmRegisterCallback han sido eliminados o desactivados por un atacante, la tecnología CBE genera una alerta. Esta capacidad proactiva de detección le permite identificar y abordar posibles amenazas antes de que puedan comprometer su sistema.

CBE va más allá de monitorear las devoluciones de llamadas en busca de actividades sospechosas como la creación de procesos, la carga de imágenes, el registro o las modificaciones de archivos. También cuenta con la capacidad de detectar la presencia de Infinity Hooks colocados dentro del núcleo, una táctica empleada por atacantes avanzados para interrumpir los canales de comunicación. Puede identificar situaciones en las que se han desactivado las devoluciones de llamada de los controladores de Bitdefender Gravityzone, como el controlador Advanced Threat Control, el controlador de detección de ataques de red o el controlador de Firewall. Esta capacidad de detección avanzada nos permite informar cualquier caso en el que nuestros controladores no puedan recibir notificaciones sobre actividades críticas del sistema, incluidos cambios en el registro, acceso al disco, modificaciones de la memoria, creación de procesos, eventos de red o acciones a nivel de kernel.

Cuando CBE activa una alerta al identificar una devolución de llamada de software de seguridad crítica que se elimina o deshabilita maliciosamente debido a un ataque que otorga acceso al kernel, su equipo de seguridad puede iniciar una respuesta coordinada. La plataforma GravityZone con el agente BEST incluye tecnologías que luego pueden tomar acciones adicionales, como aislar automáticamente el punto final afectado de la red para evitar el movimiento lateral o reiniciar el punto final. Sin embargo, puede ser necesario realizar más investigaciones, como análisis forenses, para determinar el alcance del compromiso e identificar los procesos y controladores específicos involucrados en el ataque.

Traiga su propio controlador vulnerable (BYOVD)

Otra táctica en su arsenal es Bring Your Own Vulnerable Driver (BYOVD). Esta técnica aprovecha la confianza establecida por conductores legítimos para obtener acceso no autorizado. A diferencia de los métodos tradicionales, BYOVD explota las vulnerabilidades dentro de estos controladores confiables. Los atacantes pueden incorporar controladores maliciosos en paquetes de software aparentemente inofensivos o manipular controladores existentes. Una vez activados, estos controladores vulnerables se pueden utilizar para actividades maliciosas, lo que permite a los atacantes eludir las medidas de seguridad y comprometer su sistema. Como ejemplo, podemos utilizar el controlador Netfilter con CVE-2023-32233. Esta vulnerabilidad permite a los usuarios locales sin privilegios obtener privilegios de root.

Bitdefender incorpora anti-tampering para combatir una variedad de métodos de evasión, incluidas las técnicas que implican la explotación de vulnerabilidades en los controladores del sistema operativo. Este nivel de protección es vital para mantener los sistemas operativos y la data seguros y sin alteraciones, permitiendo a las organizaciones mantener la continuidad de sus operaciones sin interrupciones.

Para contrarrestar la amenaza BYOVD, Bitdefender Gravityzone emplea un enfoque de múltiples capas que va más allá de la detección básica. Esto incluye identificar los riesgos de los controladores vulnerables antes de que puedan ser explotados en los sistemas operativos Windows y Linux. Si se detecta una amenaza, BEST puede tomar medidas adicionales, como negar el acceso al conductor vulnerable o desinfectarlo. Al actualizar continuamente nuestra base de datos con información sobre controladores vulnerables conocidos y exploits asociados, mejoramos nuestros mecanismos de defensa.

Sin embargo, una defensa sólida debería extenderse más allá del agente BEST (Bitdefender Endpoint Security Tool). Para una protección efectiva, adopte un enfoque proactivo: realice monitoreo constante para detectar actividades sospechosas y gestione rigurosamente los parches con Bitdefender Path Management. Además, eduque a los usuarios sobre los riesgos de aplicaciones y controladores no confiables

Manipulación de seguimiento de eventos para Windows (ETW)

Los atacantes podrían intentar eludir las soluciones de detección y respuesta de endpoints (EDR) alterando el seguimiento de eventos para Windows (ETW). ETW es un mecanismo de registro central de Windows que rastrea eventos de aplicaciones en modo usuario y controladores en modo kernel. La manipulación de ETW permite a los atacantes interrumpir el registro, cegando el sistema al finalizar sesiones de rastreo o eliminar proveedores específicos..

Una técnica común en modo de usuario implica parchear la función EtwEventWrite, responsable de registrar eventos ETW.Los atacantes pueden modificar ntdll.dll para que devuelva 0 (ÉXITO), bloqueando así la generación de registros de eventos desde procesos en modo usuario. Advanced Threat Control (ATC), cuando se configura en modo Normal, detecta la manipulación de ETW. En el ejemplo de parcheo ntdll!EtwEventWrite, ATC puede identificar modificaciones de memoria en UserMode, lo que indica un posible intento de manipulación. Tras la detección, Bitdefender EPP puede finalizar el proceso responsable del intento de manipulación.

Conclusión

Para enfrentar desafíos en seguridad cibernética, Bitdefender GravityZone incorpora Anti-Tampering, reforzando su resistencia a ataques avanzados. Este enfoque protege activos empresariales y fortalece la confianza en la seguridad de sistemas informáticos.

Otras soluciones Contenido recomendado

Para un abarcar un enfoque holístico sobre el abordaje de la temática resultaría interesante empezar a realizar POC sobre soluciones que complementan la solución de Bitdefender, aquí dejamos algunas de las soluciones que complementan la solución para una estrategia de seguridad de 365°.

• Gravityzone Path Management.
• Gravityzone Full Encryption Disk
• Gravityzone Security for Email
• Gravityzone Security for Mobile
• Gravityzone Security for Containers
• Gravityzone CSPM+ (Cloud Security Posture Management)