Alertas de máquinas Windows

En este artículo se enumeran las alertas de seguridad que puede obtener para las máquinas Windows en Microsoft Defender for Cloud y los planes de Microsoft Defender habilitados. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.

Aprenda a responder a estas alertas.

Aprenda a exportar alertas.

Alertas de máquinas Windows

El plan 2 de Microsoft Defender para servidores proporciona detecciones y alertas únicas, además de las que proporciona Microsoft Defender para punto de conexión. Las alertas proporcionadas para las máquinas Windows son:

Más detalles y notas

Se ha detectado un inicio de sesión desde una dirección IP malintencionada. [observado varias veces]

Descripción: se produjo una autenticación remota correcta para la cuenta [cuenta] y el proceso [proceso], pero la dirección IP de inicio de sesión (x.x.x.x.x) se ha notificado previamente como malintencionada o muy inusual. Es probable que se haya producido un ataque correcto. Los archivos con las extensiones .src son archivos del protector de pantalla y suelen residir en el directorio del sistema de Windows, así como ejecutarse desde este.

Tácticas de MITRE: -

Gravedad: alta

Se auditó la infracción de la directiva de control de aplicaciones adaptable

VM_AdaptiveApplicationControlWindowsViolationAudited

Descripción: los siguientes usuarios ejecutaron aplicaciones que infringen la directiva de control de aplicaciones de su organización en esta máquina. Posiblemente puede exponer la máquina a malware o vulnerabilidades de aplicaciones.

Tácticas de MITRE: Ejecución

Gravedad: informativo

Adición de una cuenta de invitado al grupo de administradores locales

Descripción: el análisis de los datos del host ha detectado la adición de la cuenta de invitado integrada al grupo Administradores locales en %{Compromised Host}, que está fuertemente asociado a la actividad del atacante.

Tácticas de MITRE: -

Gravedad: media

Se ha borrado un registro de eventos

Descripción: Los registros de la máquina indican una operación sospechosa de borrado del registro de eventos por el usuario: '%{nombre de usuario}' en la máquina: '%{CompromisedEntity}'. Se borró el registro %{log channel}.

Tácticas de MITRE: -

Gravedad: informativo

Error en la acción antimalware

Descripción: Microsoft Antimalware ha encontrado un error al realizar una acción en malware u otro software potencialmente no deseado.

Tácticas de MITRE: -

Gravedad: media

Acción antimalware realizada

Descripción: Microsoft Antimalware para Azure ha realizado una acción para proteger este equipo frente a malware u otro software potencialmente no deseado.

Tácticas de MITRE: -

Gravedad: media

Exclusión amplia de archivos antimalware en la máquina virtual

(VM_AmBroadFilesExclusion)

Descripción: se detectó la exclusión de archivos de la extensión antimalware con una regla de exclusión amplia en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Esta exclusión deshabilita prácticamente la protección antimalware. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: -

Gravedad: media

Antimalware deshabilitado y ejecución de código en la máquina virtual

(VM_AmDisablementAndCodeExecution)

Descripción: Antimalware deshabilitado al mismo tiempo que la ejecución de código en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes deshabilitan los escáneres antimalware para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.

Tácticas de MITRE: -

Gravedad: alta

Antimalware deshabilitado en la máquina virtual

(VM_AmDisablement)

Descripción: Antimalware deshabilitado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Exclusión de archivos antimalware y ejecución de código en la máquina virtual

(VM_AmFileExclusionAndCodeExecution)

Descripción: archivo excluido del analizador antimalware al mismo tiempo que el código se ejecutó a través de una extensión de script personalizado en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: alta

Exclusión de archivos antimalware y ejecución de código en la máquina virtual (temporal)

(VM_AmTempFileExclusionAndCodeExecution)

Descripción: se detectó la exclusión temporal de archivos de la extensión antimalware en paralelo a la ejecución del código a través de la extensión de script personalizada en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: alta

Exclusión de archivos antimalware en la máquina virtual

(VM_AmTempFileExclusion)

Descripción: archivo excluido del analizador antimalware en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan herramientas no autorizadas o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Protección antimalware en tiempo real deshabilitada en la máquina virtual

(VM_AmRealtimeProtectionDisabled)

Descripción: la deshabilitación de la protección en tiempo real de la extensión antimalware se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Protección antimalware en tiempo real deshabilitada temporalmente en la máquina virtual

(VM_AmTempRealtimeProtectionDisablement)

Descripción: la deshabilitación temporal de protección en tiempo real de la extensión antimalware se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Protección antimalware en tiempo real deshabilitada temporalmente mientras se ejecuta código en la máquina virtual

(VM_AmRealtimeProtectionDisablementAndCodeExec)

Descripción: la deshabilitación temporal de protección en tiempo real de la extensión antimalware en paralelo a la ejecución de código a través de la extensión de script personalizada se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían deshabilitar la protección en tiempo real del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: -

Gravedad: alta

Exámenes antimalware bloqueados en busca de archivos potencialmente relacionados con campañas de malware en la máquina virtual (versión preliminar)

(VM_AmMalwareCampaignRelatedExclusion)

Descripción: se detectó una regla de exclusión en la máquina virtual para evitar que la extensión antimalware examinara determinados archivos sospechosos de estar relacionados con una campaña de malware. La regla se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían excluir archivos de análisis antimalware para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Antimalware deshabilitado temporalmente en la máquina virtual

(VM_AmTemporarilyDisablement)

Descripción: Antimalware deshabilitado temporalmente en la máquina virtual. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Los atacantes podrían deshabilitar el antimalware en la máquina virtual para evitar la detección.

Tácticas de MITRE: -

Gravedad: media

Exclusión de archivos antimalware inusual en la máquina virtual

(VM_UnusualAmFileExclusion)

Descripción: se detectó una exclusión inusual de archivos de la extensión antimalware en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían excluir archivos del análisis antimalware en la máquina virtual para evitar la detección mientras ejecutan código arbitrario o infectan la máquina con malware.

Tácticas de MITRE: Evasión de defensa

Gravedad: media

Comunicación con un dominio sospechoso identificado por inteligencia sobre amenazas

(AzureDNS_ThreatIntelSuspectDomain)

Descripción: la comunicación con un dominio sospechoso se detectó mediante el análisis de transacciones DNS desde el recurso y la comparación con dominios malintencionados conocidos identificados por fuentes de inteligencia sobre amenazas. A menudo, los atacantes realizan comunicación con dominios malintencionados y pueden implicar que el recurso se ve comprometido.

Tácticas de MITRE: acceso inicial, persistencia, ejecución, comando y control, explotación

Gravedad: media

Se detectaron acciones que indican la deshabilitación y eliminación de archivos de registro de IIS

Descripción: el análisis de las acciones detectadas de datos de host que muestran que los archivos de registro de IIS se deshabilitan o eliminan.

Tácticas de MITRE: -

Gravedad: media

Se detectó una combinación anómala de caracteres en mayúsculas y minúsculas en la línea de comandos.

Descripción: el análisis de datos de host en %{Compromised Host} detectó una línea de comandos con una combinación anómala de caracteres mayúsculas y minúsculas. Aunque posiblemente este tipo de patrón es benigno, también es típico de los atacantes que intentan ocultarse de la regla basada en hash o que distingue mayúsculas de minúsculas al realizar tareas administrativas en un host en peligro.

Tácticas de MITRE: -

Gravedad: media

Se detectó un cambio en una clave del Registro que se puede usar para omitir UAC.

Descripción: el análisis de datos de host en %{Compromised Host} detectó que se cambió una clave del Registro que se puede abusar para omitir UAC (Control de cuentas de usuario). Aunque posiblemente este tipo de configuración es benigno, también es típico de la actividad de los atacantes cuando intentan pasar de la obtención de acceso sin privilegios (usuario estándar) a un acceso con privilegios (por ejemplo, administrador) en un host en peligro.

Tácticas de MITRE: -

Gravedad: media

Se detectó la descodificación de un archivo ejecutable mediante la herramienta integrada certutil.exe.

Descripción: el análisis de datos de host en %{Compromised Host} detectó que certutil.exe, una utilidad de administrador integrada, se usaba para descodificar un archivo ejecutable en lugar de su propósito estándar relacionado con la manipulación de certificados y datos de certificados. Se sabe que los atacantes abusan de la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas; por ejemplo, utilizan una herramienta como certutil.exe para descodificar un ejecutable malintencionado que se ejecutará posteriormente.

Tácticas de MITRE: -

Gravedad: alta

Se detectó la habilitación de la clave del Registro UseLogonCredential de WDigest.

Descripción: el análisis de los datos del host detectó un cambio en la clave del Registro HKLM\SYSTEM\ CurrentControlSet\Control\SecurityProviders\WDigest\ "UseLogonCredential". Concretamente, esta clave se ha actualizado para permitir que las credenciales de inicio de sesión se almacenen en texto no cifrado en la memoria LSA. Una vez se habilita, un atacante puede volcar contraseñas de texto no cifrado de la memoria LSA con herramientas de recopilación de credenciales como Mimikatz.

Tácticas de MITRE: -

Gravedad: media

Se detectó un archivo ejecutable codificado en los datos de la línea de comandos.

Descripción: el análisis de datos de host en %{Compromised Host} detectó un ejecutable codificado en base 64. Esto se ha asociado previamente con atacantes que intentan crear archivos ejecutables sobre la marcha mediante una secuencia de comandos e intentan eludir los sistemas de detección de intrusiones al asegurarse de que ningún comando individual desencadena una alerta. Esto podría indicar una actividad legítima o que un host se encuentra en peligro.

Tácticas de MITRE: -

Gravedad: alta

Se detectó una línea de comandos ofuscada

Descripción: los atacantes usan técnicas de ofuscación cada vez más complejas para eludir las detecciones que se ejecutan en los datos subyacentes. El análisis de datos del host en %{Compromised Host} detectó indicadores sospechosos de ofuscación en la línea de comandos.

Tácticas de MITRE: -

Gravedad: informativo

Se detectó una posible ejecución del archivo ejecutable keygen.

Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de un proceso cuyo nombre es indicativo de una herramienta keygen; estas herramientas se usan normalmente para derrotar los mecanismos de licencia de software, pero su descarga a menudo se incluye con otro software malintencionado. Se sabe que el grupo de actividad GOLD usa archivos keygen para obtener acceso de manera encubierta por la puerta trasera a los hosts a los que pone en peligro.

Tácticas de MITRE: -

Gravedad: media

Se detectó una posible ejecución de un instalador de malware.

Descripción: el análisis de datos de host en %{Compromised Host} detectó un nombre de archivo que se ha asociado anteriormente a uno de los métodos del grupo de actividad GOLD para instalar malware en un host víctima.

Tácticas de MITRE: -

Gravedad: alta

Se detectó una posible actividad de reconocimiento local.

Descripción: el análisis de datos de host en %{Compromised Host} detectó una combinación de comandos systeminfo que se han asociado previamente a uno de los métodos del grupo de actividad GOLD para realizar la actividad de reconocimiento. Aunque "systeminfo.exe" es una herramienta de Windows legítima, su ejecución dos veces seguidas de la forma en que se ha producido aquí es poco frecuente.

Tácticas de MITRE: -

Gravedad: baja

Se detectó un uso potencialmente sospechoso de la herramienta Telegram.

Descripción: El análisis de datos de host muestra la instalación de Telegram, un servicio gratuito de mensajería instantánea basada en la nube que existe tanto para el sistema móvil como para el escritorio. Se sabe que los atacantes usan este servicio para transferir archivos binarios malintencionados a cualquier otro equipo, teléfono o tableta.

Tácticas de MITRE: -

Gravedad: media

Se detectó la supresión del aviso legal que se muestra a los usuarios en el inicio de sesión.

Descripción: el análisis de datos de host en %{Compromised Host} detectó cambios en la clave del Registro que controla si se muestra un aviso legal a los usuarios cuando inician sesión. El análisis de seguridad de Microsoft ha determinado que se trata de una actividad que habitualmente llevan a cabo los atacantes después de poner en peligro un host.

Tácticas de MITRE: -

Gravedad: baja

Se detectó una combinación sospechosa de HTA y PowerShell.

Descripción: mshta.exe (host de aplicación HTML de Microsoft), que es un binario de Microsoft firmado que usan los atacantes para iniciar comandos malintencionados de PowerShell. A menudo, los atacantes recurren a tener un archivo HTA con VBScript alineado. Cuando una víctima navega hasta el archivo HTA y elige ejecutarlo, se ejecutan los comandos y los scripts de PowerShell que contiene. El análisis de datos del host en %{Compromised Host} detectó que mshta.exe inicia comandos de PowerShell.

Tácticas de MITRE: -

Gravedad: media

Se detectaron argumentos de la línea de comandos sospechosos.

Descripción: el análisis de datos de host en %{Compromised Host} detectó argumentos sospechosos de línea de comandos que se han usado junto con un shell inverso utilizado por el grupo de actividad HYDROGEN.

Tácticas de MITRE: -

Gravedad: alta

Se detectó una línea de comandos sospechosa que se usa para iniciar todos los archivos ejecutables en un directorio.

Descripción: el análisis de datos de host ha detectado un proceso sospechoso que se ejecuta en %{Compromised Host}. La línea de comandos indica un intento de iniciar todos los ejecutables (*.exe) que podrían residir en un directorio. Esto podría indicar que un host se encuentra en peligro.

Tácticas de MITRE: -

Gravedad: media

Se detectaron credenciales sospechosas en la línea de comandos.

Descripción: el análisis de datos de host en %{Compromised Host} detectó una contraseña sospechosa que se usa para ejecutar un archivo por el grupo de actividad BORON. Se sabe que este grupo de actividad utiliza esta contraseña para ejecutar malware de Pirpi en el host de las víctimas.

Tácticas de MITRE: -

Gravedad: alta

Se detectaron credenciales de documentos sospechosas.

Descripción: el análisis de los datos del host en %{Compromised Host} detectó un hash de contraseña sospechoso y común precalificado usado por malware para ejecutar un archivo. Se sabe que el grupo de actividad HYDROGEN utiliza esta contraseña para ejecutar malware en el host de las víctimas.

Tácticas de MITRE: -

Gravedad: alta

Se detectó la ejecución sospechosa del comando VBScript.Encode.

Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución del comando VBScript.Encode. Este codifica los scripts en texto ilegible, lo que dificulta que los usuarios examinen el código. La investigación de amenazas de Microsoft muestra que los atacantes suelen usar archivos VBscript codificados como parte de su ataque para eludir los sistemas de detección. Esto podría indicar una actividad legítima o que un host se encuentra en peligro.

Tácticas de MITRE: -

Gravedad: media

Se detectó una ejecución sospechosa mediante el archivo rundll32.exe.

Descripción: el análisis de los datos del host en %{Compromised Host} detectó rundll32.exe usarse para ejecutar un proceso con un nombre poco común, coherente con el esquema de nomenclatura de procesos visto anteriormente por el grupo de actividad GOLD al instalar su primer implante de fase en un host en peligro.

Tácticas de MITRE: -

Gravedad: alta

Se detectaron comandos de limpieza de archivos sospechosos.

Descripción: el análisis de datos de host en %{Compromised Host} detectó una combinación de comandos systeminfo que se han asociado previamente a uno de los métodos del grupo de actividad GOLD para realizar la actividad de autoconvenido posterior al compromiso. Aunque "systeminfo.exe" es una herramienta legítima de Windows, ejecutarla dos veces consecutivas, seguida de un comando de eliminación en la forma en que se ha producido aquí es poco frecuente.

Tácticas de MITRE: -

Gravedad: alta

Se detectó la creación de un archivo sospechoso.

Descripción: el análisis de los datos del host en %{Compromised Host} detectó la creación o ejecución de un proceso que ha indicado previamente la acción posterior al compromiso realizada en un host de víctima por el grupo de actividad BARIUM. Se ha sabido que este grupo de actividad usa esta técnica para descargar malware adicional en un host en peligro después de abrir un archivo adjunto en un documento de suplantación de identidad (phishing).

Tácticas de MITRE: -

Gravedad: alta

Se detectaron comunicaciones de canalización con nombre sospechosas.

Descripción: el análisis de datos de host en %{Compromised Host} detectó que los datos se escriben en una canalización con nombre local desde un comando de consola de Windows. Se sabe que los atacantes utilizan canalizaciones con nombre a fin de realizar tareas y comunicarse con un implante malintencionado. Esto podría indicar una actividad legítima o que un host se encuentra en peligro.

Tácticas de MITRE: -

Gravedad: alta

Se detectó una actividad de red sospechosa.

Descripción: el análisis del tráfico de red de %{Compromised Host} detectó actividad de red sospechosa. Aunque posiblemente este tráfico es benigno, suele utilizarlo un atacante para comunicarse con servidores malintencionados para la descarga de herramientas, el comando y control y la filtración de datos. La actividad de atacante relacionada típica incluye la copia de herramientas de administración remota en un host en peligro y la extracción de los datos del usuario a partir de dicha copia.

Tácticas de MITRE: -

Gravedad: baja

Se detectó una nueva regla de firewall sospechosa.

Descripción: el análisis de los datos de host detectó que se ha agregado una nueva regla de firewall a través de netsh.exe para permitir el tráfico desde un archivo ejecutable en una ubicación sospechosa.

Tácticas de MITRE: -

Gravedad: media

Se detectó un uso sospechoso de Cacls para reducir el estado de seguridad del sistema

Descripción: los atacantes usan miles de formas como la fuerza bruta, la suplantación de identidad de lanza etcetera. para lograr el compromiso inicial y obtener un punto de vista en la red. Una vez que se consigue la vulneración inicial, a menudo se llevan a cabo pasos para reducir la configuración de seguridad de un sistema. Cacls:"short for change access control list is Microsoft Windows native command-line utility often used for modifying the security permission on folders and files. En muchas ocasiones, los atacantes usan el archivo binario para reducir la configuración de seguridad de un sistema. Para ello, se concede a todos los usuarios acceso completo a algunos de los archivos binarios del sistema, como ftp.exe, net.exe, wscript.exe, etc. El análisis de datos del host en %{Compromised Host} detectó un uso sospechoso de Cacls para reducir la seguridad de un sistema.

Tácticas de MITRE: -

Gravedad: media

Se detectó un uso sospechoso del modificador -s de FTP.

Descripción: el análisis de los datos de creación de procesos del %{Compromised Host} detectó el uso del modificador ftp "-s:filename". Este modificador se usa para especificar un archivo de script FTP para que lo ejecute el cliente. Se sabe que el malware o los procesos malintencionados usan este conmutador FTP (-s:filename) para apuntar a un archivo de script que está configurado para conectarse a un servidor FTP remoto y descargar archivos binarios malintencionados adicionales.

Tácticas de MITRE: -

Gravedad: media

Se detectó un uso sospechoso del archivo Pcalua. exe para iniciar código ejecutable.

Descripción: el análisis de datos de host en %{Compromised Host} detectó el uso de pcalua.exe para iniciar código ejecutable. El archivo Pcalua.exe es un componente del "Asistente para la compatibilidad de programas" de Microsoft Windows que detecta problemas de compatibilidad durante la instalación o la ejecución de un programa. Se sabe que los atacantes usan la funcionalidad de las herramientas del sistema Windows legítimas para realizar acciones malintencionadas, por ejemplo, usan el archivo pcalua.exe con el modificador -a para iniciar archivos ejecutables malintencionados localmente o desde recursos compartidos remotos.

Tácticas de MITRE: -

Gravedad: media

Se detectó la deshabilitación de servicios críticos.

Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución del comando "net.exe stop" que se usa para detener servicios críticos como SharedAccess o la aplicación de Seguridad de Windows. La detención de cualquiera de estos servicios puede ser una indicación de un comportamiento malintencionado.

Tácticas de MITRE: -

Gravedad: media

Se detectó un comportamiento relacionado con la minería de datos de moneda digital.

Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de un proceso o comando normalmente asociado a la minería de monedas digitales.

Tácticas de MITRE: -

Gravedad: alta

Construcción dinámica del script de PS

Descripción: el análisis de datos de host en %{Compromised Host} detectó que un script de PowerShell se construye dinámicamente. A veces, los atacantes usan esta técnica para generar progresivamente un script con el fin de eludir los sistemas IDS. Podría tratarse de una actividad legítima o de una señal de que una de las máquinas se ha puesto en peligro.

Tácticas de MITRE: -

Gravedad: media

Se encontró un archivo ejecutable que se ejecuta desde una ubicación sospechosa.

Descripción: el análisis de los datos del host detectó un archivo ejecutable en %{Compromised Host} que se ejecuta desde una ubicación en común con archivos sospechosos conocidos. Este archivo ejecutable podría indicar una actividad legítima o que un host se encuentra en peligro.

Tácticas de MITRE: -

Gravedad: alta

Comportamiento de ataque sin archivos detectado

(VM_FilelessAttackBehavior.Windows)

Descripción: la memoria del proceso especificado contiene comportamientos que suelen usar los ataques sin archivos. Entre sus comportamientos específicos se incluyen los siguientes:

1. Shellcode, que es un pequeño fragmento de código que se usa normalmente como carga útil para aprovechar una vulnerabilidad de software.
2. Conexiones de red activas. Consulte NetworkConnections a continuación para más información.
3. Llamadas de función a interfaces de sistema operativo confidenciales de seguridad. Consulte Funcionalidades a continuación para ver las funcionalidades del sistema operativo a las que se hace referencia.
4. Contiene un subproceso que se inició en un segmento de código asignado dinámicamente. Se trata de un patrón común de los ataques por inyección de procesos.

Tácticas de MITRE: Evasión de defensa

Gravedad: baja

Se detectó una técnica de ataque sin archivos

(VM_FilelessAttackTechnique.Windows)

Descripción: la memoria del proceso especificado a continuación contiene evidencias de una técnica de ataque sin archivos. Los atacantes usan los ataques sin archivos para ejecutar código y evitar ser detectados por el software de seguridad. Entre sus comportamientos específicos se incluyen los siguientes:

1. Shellcode, que es un pequeño fragmento de código que se usa normalmente como carga útil para aprovechar una vulnerabilidad de software.
2. Imagen ejecutable insertada en el proceso, como en un ataque de inyección de código.
3. Conexiones de red activas. Consulte NetworkConnections a continuación para más información.
4. Llamadas de función a interfaces de sistema operativo confidenciales de seguridad. Consulte Funcionalidades a continuación para ver las funcionalidades del sistema operativo a las que se hace referencia.
5. Proceso hueco, que es una técnica utilizada por malware en la que se carga un proceso legítimo en el sistema para actuar como contenedor para código hostil.
6. Contiene un subproceso que se inició en un segmento de código asignado dinámicamente. Se trata de un patrón común de los ataques por inyección de procesos.

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: alta

Kit de herramientas de ataques sin archivos detectado

(VM_FilelessAttackToolkit.Windows)

Descripción: la memoria del proceso especificado contiene un kit de herramientas de ataques sin archivos: [nombre del kit de herramientas]. Los kits de herramientas de ataques sin archivos usan técnicas que minimizan o eliminan el rastro de malware en el disco y reducen considerablemente las posibilidades de detección mediante soluciones de análisis de malware basadas en disco. Entre sus comportamientos específicos se incluyen los siguientes:

1. Kits de herramientas conocidos y software de minería de datos criptográficas.
2. Shellcode, que es un pequeño fragmento de código que se usa normalmente como carga útil para aprovechar una vulnerabilidad de software.
3. Ejecutable malintencionado insertado en la memoria del proceso.

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: media

Se detectó un software de alto riesgo.

Descripción: el análisis de datos de host de %{Compromised Host} detectó el uso de software asociado a la instalación de malware en el pasado. Una técnica común que se emplea en la distribución de software malintencionado consiste en empaquetarlo con otras herramientas benignas, como la que se ha detectado en esta alerta. Al usar estas herramientas, el malware se puede instalar de forma silenciosa en segundo plano.

Tácticas de MITRE: -

Gravedad: media

Se enumeraron miembros del grupo de administradores locales.

Descripción: los registros de la máquina indican una enumeración correcta en el grupo %{Nombre de dominio del grupo enumerado}%{Nombre de grupo enumerado}. En concreto, el elemento %{Enumerating User Domain Name}%{Enumerating User Name} enumeraba de forma remota los miembros del grupo %{Enumerated Group Domain Name}%{Enumerated Group Name}. Esta actividad puede ser una actividad legítima o puede indicar que una máquina de la organización se ha puesto en peligro y se ha usado para el reconocimiento de la máquina virtual %{vmname}.

Tácticas de MITRE: -

Gravedad: informativo

El implante del servidor ZINC creó una regla de firewall malintencionada [Se detectó varias veces].

Descripción: se creó una regla de firewall mediante técnicas que coinciden con un actor conocido, ZINC. Es posible que la regla se usara para abrir un puerto en el host %{Compromised Host} a fin de permitir las comunicaciones del comando y control. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: alta

Actividad SQL malintencionada

Descripción: los registros de la máquina indican que la cuenta ejecutó '%{nombre de proceso}': %{nombre de usuario}. Esta actividad se considera malintencionada.

Tácticas de MITRE: -

Gravedad: alta

Se consultaron varias cuentas de dominio.

Descripción: el análisis de los datos de host ha determinado que se está consultando un número inusual de cuentas de dominio distintas en un breve período de tiempo desde %{Compromised Host}. Este tipo de actividad podría ser legítimo, pero también puede ser una indicación de un riesgo.

Tácticas de MITRE: -

Gravedad: media

Se detectó un posible volcado de credenciales [Se ha detectado varias veces].

Descripción: el análisis de los datos de host ha detectado el uso de la herramienta windows nativa (por ejemplo, sqldumper.exe) que se usa de una manera que permite extraer credenciales de la memoria. A menudo, los atacantes usan estas técnicas para extraer las credenciales que posteriormente usan para el movimiento lateral y la escalación de privilegios. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: media

Se detectó un posible intento de omitir AppLocker.

Descripción: el análisis de datos de host en %{Compromised Host} detectó un posible intento de omitir restricciones de AppLocker. AppLocker se puede configurar para implementar una directiva que limite los archivos ejecutables que se pueden ejecutar en un sistema Windows. El patrón de la línea de comandos similar al identificado en esta alerta se ha asociado anteriormente con intentos por parte del atacante de eludir la directiva de AppLocker mediante el uso de archivos ejecutables de confianza (permitidos por la directiva de AppLocker) para ejecutar código que no es de confianza. Esto podría indicar una actividad legítima o que un host se encuentra en peligro.

Tácticas de MITRE: -

Gravedad: alta

Se ejecutó un grupo de servicio SVCHOST inusual.

(VM_SvcHostRunInRareServiceGroup)

Descripción: el proceso del sistema SVCHOST se observó ejecutando un grupo de servicios poco frecuente. A menudo, el malware usa SVCHOST para enmascarar su actividad malintencionada.

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: informativo

Se detectó un ataque de teclas especiales.

Descripción: el análisis de datos del host indica que un atacante podría estar subvirtiendo un binario de accesibilidad (por ejemplo, teclas permanentes, teclado en pantalla, narrador) para proporcionar acceso de puerta trasera al host %{Compromised Host}.

Tácticas de MITRE: -

Gravedad: media

Ataque por fuerza bruta correcto

(VM_LoginBruteForceSuccess)

Descripción: se detectaron varios intentos de inicio de sesión desde el mismo origen. Algunos se autenticaron correctamente en el host. Esto se parece a un ataque por ráfagas, en el que un atacante realiza numerosos intentos de autenticación para buscar las credenciales de cuenta válidas.

Tácticas de MITRE: Explotación

Gravedad: Media/Alta

Nivel de integridad sospechoso que indica un secuestro de RDP

Descripción: el análisis de los datos del host ha detectado el tscon.exe que se ejecuta con privilegios SYSTEM: esto puede indicar que un atacante está abusando de este binario para cambiar el contexto a cualquier otro usuario que haya iniciado sesión en este host; es una técnica de atacante conocida para poner en peligro más cuentas de usuario y moverse lateralmente a través de una red.

Tácticas de MITRE: -

Gravedad: media

Instalación sospechosa de un servicio

Descripción: el análisis de los datos del host ha detectado la instalación de tscon.exe como servicio: este binario que se inicia como servicio potencialmente permite a un atacante cambiar trivialmente a cualquier otro usuario que haya iniciado sesión en este host secuestrando las conexiones RDP; es una técnica de atacante conocida para poner en peligro más cuentas de usuario y moverse lateralmente a través de una red.

Tácticas de MITRE: -

Gravedad: media

Se observó una sospecha de parámetros de ataque golden ticket de Kerberos.

Descripción: análisis de los parámetros de línea de comandos detectados de datos de host coherentes con un ataque de Golden Ticket de Kerberos.

Tácticas de MITRE: -

Gravedad: media

Se detectó la creación de una cuenta sospechosa.

Descripción: el análisis de datos de host en %{Compromised Host} detectó la creación o el uso de una cuenta local %{Nombre de cuenta sospechoso} : este nombre de cuenta se parece mucho a un nombre de grupo o cuenta de Windows estándar '%{Similar a nombre de cuenta}'. Esto significa que es posible que se trate de una cuenta no autorizada creada por un atacante, que la denomina de esta forma a fin de evitar que la detecte un administrador humano.

Tácticas de MITRE: -

Gravedad: media

Se detectó una actividad sospechosa.

(VM_SuspiciousActivity)

Descripción: el análisis de datos de host ha detectado una secuencia de uno o varios procesos que se ejecutan en %{nombre de equipo} que históricamente se han asociado a actividades malintencionadas. Aunque los comandos individuales pueden parecer benignos, la alerta se puntua en función de una agregación de estos comandos. Esto podría indicar una actividad legítima o que un host se encuentra en peligro.

Tácticas de MITRE: Ejecución

Gravedad: media

Actividad de autenticación sospechosa

(VM_LoginBruteForceValidUserFailed)

Descripción: aunque ninguno de ellos se realizó correctamente, el host reconoció algunas de ellas cuentas usadas. Esto es parecido a un ataque por diccionario, en el que un atacante realiza numerosos intentos de autenticación mediante un diccionario de nombres y contraseñas de cuentas predefinidos a fin de encontrar credenciales válidas para acceder al host. Indica que algunos de los nombres de cuentas de su host pueden existir en un diccionario de nombres de cuentas conocido.

Tácticas de MITRE: sondeo

Gravedad: media

Se detectó un segmento de código sospechoso.

Descripción: indica que se ha asignado un segmento de código mediante métodos no estándar, como la inserción reflectante y el hueco del proceso. La alerta ofrece características adicionales del segmento de código que se han procesado para proporcionar un contexto para las funcionalidades y los comportamientos del segmento de código notificado.

Tácticas de MITRE: -

Gravedad: media

Se ejecutó un archivo de extensión doble sospechoso.

Descripción: el análisis de datos de host indica una ejecución de un proceso con una extensión doble sospechosa. Esta extensión podría engañar a los usuarios para pensar que los archivos son seguros para abrirse y podría indicar la presencia de malware en el sistema.

Tácticas de MITRE: -

Gravedad: alta

Se detectó una descarga sospechosa mediante CertUtil. [Se ha detectado varias veces].

Descripción: el análisis de datos de host en %{Compromised Host} detectó el uso de certutil.exe, una utilidad de administrador integrada, para la descarga de un archivo binario en lugar de su propósito estándar relacionado con la manipulación de certificados y datos de certificados. Se sabe que los atacantes usan la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas. Por ejemplo, utilizan certutil.exe para descargar y descodificar un archivo ejecutable malintencionado que se ejecutará posteriormente. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: media

Se detectó una descarga sospechosa mediante CertUtil.

Descripción: el análisis de datos de host en %{Compromised Host} detectó el uso de certutil.exe, una utilidad de administrador integrada, para la descarga de un archivo binario en lugar de su propósito estándar relacionado con la manipulación de certificados y datos de certificados. Se sabe que los atacantes usan la funcionalidad de herramientas de administrador legítimas para realizar acciones malintencionadas. Por ejemplo, utilizan certutil.exe para descargar y descodificar un archivo ejecutable malintencionado que se ejecutará posteriormente.

Tácticas de MITRE: -

Gravedad: media

Se detectó una actividad de PowerShell sospechosa.

Descripción: el análisis de los datos de host detectó un script de PowerShell que se ejecuta en %{Compromised Host} que tiene características comunes con scripts sospechosos conocidos. Este script podría indicar una actividad legítima o que un host se encuentra en peligro.

Tácticas de MITRE: -

Gravedad: alta

SE ejecutaron cmdlets de PowerShell sospechosos.

Descripción: el análisis de datos de host indica la ejecución de cmdlets conocidos malintencionados de PowerShell PowerSploit.

Tácticas de MITRE: -

Gravedad: media

Se ejecutó un proceso sospechoso. [Se ha detectado varias veces].

Descripción: los registros de la máquina indican que el proceso sospechoso: '%{Proceso sospechoso}' se estaba ejecutando en la máquina, a menudo asociado con los intentos de atacante de acceder a las credenciales. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: alta

Se ejecutó un proceso sospechoso.

Descripción: los registros de la máquina indican que el proceso sospechoso: '%{Proceso sospechoso}' se estaba ejecutando en la máquina, a menudo asociado con los intentos de atacante de acceder a las credenciales.

Tácticas de MITRE: -

Gravedad: alta

Se ejecutó un proceso con un nombre sospechoso. [Se ha detectado varias veces].

Descripción: el análisis de los datos de host en %{Compromised Host} detectó un proceso cuyo nombre es sospechoso, por ejemplo, correspondiente a una herramienta de atacante conocida o denominada de una manera que es sugerente de herramientas de atacante que intentan ocultarse a simple vista. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro. Este comportamiento se ha detectado [x] veces en la actualidad en las siguientes máquinas: [nombres de las máquinas].

Tácticas de MITRE: -

Gravedad: media

Se detectó un nombre de proceso sospechoso.

Descripción: el análisis de los datos de host en %{Compromised Host} detectó un proceso cuyo nombre es sospechoso, por ejemplo, correspondiente a una herramienta de atacante conocida o denominada de una manera que es sugerente de herramientas de atacante que intentan ocultarse a simple vista. Este proceso podría indicar una actividad legítima o que una de sus máquinas se ha puesto en peligro.

Tácticas de MITRE: -

Gravedad: media

Actividad de SQL sospechosa

Descripción: los registros de la máquina indican que la cuenta ejecutó '%{nombre de proceso}': %{nombre de usuario}. Esta actividad no es habitual en esta cuenta.

Tácticas de MITRE: -

Gravedad: media

Se ejecutó el proceso SVCHOST sospechoso.

Descripción: el proceso del sistema SVCHOST se observó en ejecución en un contexto anómalo. A menudo, el malware usa SVCHOST para enmascarar su actividad malintencionada.

Tácticas de MITRE: -

Gravedad: alta

Se ejecutó un proceso del sistema sospechoso.

(VM_SystemProcessInAbnormalContext)

Descripción: se observó que el proceso del sistema %{nombre del proceso} se ejecutaba en un contexto anómalo. A menudo, el malware usa este nombre de proceso para enmascarar su actividad malintencionada.

Tácticas de MITRE: Evasión de defensa, Ejecución

Gravedad: alta

Actividad de instantánea de volumen sospechosa

Descripción: el análisis de los datos del host ha detectado una actividad de eliminación de instantáneas en el recurso. Instantáneas de volumen (VSC) es un artefacto importante que almacena instantáneas de datos. Cierto malware y, en concreto, el ransomware, dirige el VSC a las estrategias de copia de seguridad de sabotaje.

Tácticas de MITRE: -

Gravedad: alta

Se detectó un valor de registro de WindowPosition sospechoso.

Descripción: el análisis de los datos del host en %{Compromised Host} detectó un cambio de configuración del Registro WindowPosition que podría ser indicativo de ocultar ventanas de aplicación en secciones novisibles del escritorio. Esto podría indicar una actividad legítima o que una máquina se ha puesto en peligro. Este tipo de actividad se ha asociado previamente con adware conocido (o software no deseado) como Win32/OneSystemCare y Win32/SystemHealer, y malware como Win32/Creprote. Cuando el valor de WindowPosition se establece en 201329664, (hexadecimal: 0x0c00 0c00, correspondiente al eje X = 0c00 y al eje Y = 0c00), la ventana de la aplicación de consola se coloca en una sección que no es visible de la pantalla del usuario de un área que está oculta en la vista de la barra de tareas o el menú Inicio visible. El valor hexadecimal conocido incluye, pero no limitado a c000c0000.

Tácticas de MITRE: -

Gravedad: baja

Se detectó un proceso con nombre sospechoso.

Descripción: el análisis de datos de host en %{Compromised Host} detectó un proceso cuyo nombre es muy similar a pero diferente de un proceso de ejecución muy común (%{Similar al nombre del proceso}). Aunque este proceso podría ser benigno, se sabe que los atacantes a veces asignan nombres a sus herramientas malintencionadas para que se parezcan a otros del proceso legítimo y no se puedan detectar a simple vista.

Tácticas de MITRE: -

Gravedad: media

Restablecimiento de configuración inusual en la máquina virtual

(VM_VMAccessUnusualConfigReset)

Descripción: se detectó un restablecimiento de configuración inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer la configuración en la máquina virtual y ponerla en peligro.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Se detectó una ejecución de procesos poco frecuente.

Descripción: el análisis de datos de host en %{Compromised Host} detectó la ejecución de un proceso por %{Nombre de usuario} que era inusual. Las cuentas como %{Nombre de usuario} tienden a realizar un conjunto limitado de operaciones, esta ejecución se determinó que estaba fuera de carácter y podría ser sospechosa.

Tácticas de MITRE: -

Gravedad: alta

Restablecimiento de contraseña de usuario inusual en la máquina virtual

(VM_VMAccessUnusualPasswordReset)

Descripción: se detectó un restablecimiento de contraseña de usuario inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer las credenciales de un usuario local en la máquina virtual y ponerla en peligro.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Restablecimiento de clave SSH de usuario inusual en la máquina virtual

(VM_VMAccessUnusualSSHReset)

Descripción: se detectó un restablecimiento de clave SSH de usuario inusual en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Aunque esta acción puede ser legítima, los atacantes pueden intentar usar la extensión de acceso a la máquina virtual para restablecer la clave SSH de una cuenta de usuario en la máquina virtual y ponerla en peligro.

Tácticas de MITRE: Acceso a credenciales

Gravedad: media

Se detectó la asignación de un objeto HTTP de VBScript.

Descripción: se ha detectado la creación de un archivo VBScript mediante el símbolo del sistema. El siguiente script contiene el comando de asignación de objetos HTTP. Esta acción se puede usar para descargar archivos malintencionados.

Instalación sospechosa de una extensión de GPU en su máquina virtual (versión preliminar)

(VM_GPUDriverExtensionUnusualExecution)

Descripción: se detectó una instalación sospechosa de una extensión de GPU en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían utilizar la extensión de controlador de GPU para instalar controladores de GPU en su máquina virtual a través del Azure Resource Manager para realizar cryptojacking.

Tácticas de MITRE: Impacto

Gravedad: baja

Se detectó la invocación de la herramienta AzureHound

(ARM_AzureHound)

Descripción: AzureHound se ejecutó en la suscripción y realizó operaciones de recopilación de información para enumerar los recursos. Los actores de amenazas usan herramientas automatizadas, como AzureHound, para enumerar los recursos y usarlos para acceder a datos confidenciales o realizar movimientos laterales. Esto se ha detectado al analizar las operaciones de Azure Resource Manager de su suscripción. Esta operación puede indicar que se ha infringido una identidad de la organización y que el actor de amenazas está intentando poner en peligro el entorno.

Tácticas de MITRE: Detección

Gravedad: media

Nota:

En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.

Pasos siguientes

• Alertas de seguridad en Microsoft Defender for Cloud
• Administración de alertas de seguridad y respuesta a ellas en Microsoft Defender for Cloud
• Exportación continua de datos de Defender for Cloud