En ciberseguretat, la protecció antimanipulació fa referència a les mesures defensives dissenyades per evitar modificacions no autoritzades en els sistemes, polítiques i configuracions de seguretat. Quan els actors maliciosos comprometen una organització, sovint comencen manipulant les solucions de seguretat per poder explotar-les encara més i mantenir-se persistents dins l’entorn.
Les tàctiques de manipulació més comunes inclouen desactivar o modificar les eines antivirus i de detecció i resposta a endpoints (EDR), desactivar la protecció en temps real i les actualitzacions d’intel·ligència de seguretat, editar les polítiques d’accés i dispositius de gran valor, i crear exclusions que permetin que les activitats malicioses passin desapercebudes. Un cop manipulades amb èxit, els atacants guanyen temps valuós per instal·lar eines malicioses, extreure dades, moure’s lateralment i llançar atacs de ransomware.
En els últims anys, Microsoft ha detectat un augment significatiu d’atacs relacionats amb la manipulació d’antivirus. Només al maig de 2024, Microsoft Defender XDR va detectar més de 176.000 incidents relacionats amb manipulacions en la configuració de seguretat, afectant més de 5.600 organitzacions. De mitjana, durant aquest període, les organitzacions que van patir aquesta activitat van registrar més de 31 intents de manipulació.
Les tècniques observades inclouen modificacions al Registre de Windows, ús d’eines malicioses com NSudo (Defeat Defender), Defender Control, Configure Defender, ToggleDefender, scripts maliciosos personalitzats en PowerShell o per lot, i manipulació de controladors.
Defender for Endpoint frustra amb èxit els atacs de manipulació
Microsoft Defender for Endpoint ofereix robustes funcions antimanipulació que protegeixen contra canvis en la configuració de seguretat realitzats tant per usuaris finals com per tercers, fins i tot quan es tracta d’un usuari amb privilegis. Aquests controls integrats poden impedir que administradors locals o remots no autoritzats modifiquin configuracions crítiques a nivell organitzatiu, de plataforma i de dispositiu — incloent la possibilitat de crear regles específiques per a dispositius de gran valor, com ara controladors de domini.
Això significa que estàs protegit automàticament contra les tàctiques més comunes de manipulació, com la modificació del registre, DLLs, sistemes de fitxers i agents. A més, qualsevol intent de crear exclusions en les eines antivirus o EDR, o d’acabar o suspendre processos i serveis del sistema, serà frustrat. Aquesta configuració està activada per defecte per a tots els clients de Defender for Endpoint, oferint una protecció antimanipulació integral des del primer dia.
Ens complau anunciar que AV-Comparatives ha certificat que Microsoft Defender for Endpoint va frustrar amb èxit tots els intents de manipulació durant la prova antimanipulació 2025. La prova va incloure una rigorosa avaluació de solucions de seguretat per defensar-se contra tècniques d’atac sofisticades dissenyades per deshabilitar o evitar els mecanismes de protecció. Això inclou intents de deshabilitar o modificar components del nucli de Windows i desactivar o acabar processos a l’espai d’usuari de Windows.
Fins i tot sota un atac sostingut (diverses proves, eines i procediments pensats per penetrar els controls antimanipulació), Defender for Endpoint va demostrar la seva capacitat per mantenir la protecció. Aquesta avaluació no només valida l’eficàcia dels controls avançats de defensa i evasió de manipulació, sinó que també reforça la posició de Defender for Endpoint com a líder en detecció i resposta en endpoints.
Descobriu-ne més des de Informàtic Girona
Subscribe to get the latest posts sent to your email.
