Con el objeto de entender correctamente el formato utilizado para presentar la información en el listado de acciones es necesario establecer un paralelismo con el lenguaje natural:
Todas las acciones tienen como sujeto el fichero clasificado como malware. Este sujeto no se indica en cada línea de la tabla de acciones porque es común para toda la tabla.
Todas las acciones tienen un verbo que relaciona el sujeto (la amenaza clasificada) con un complemento, llamado entidad. La entidad se corresponde con el campo Path/URL/Clave de Registro /IP:Puerto de la tabla.
La entidad se complementa con un segundo campo que añade información a la acción, que se corresponde con el campo Hash del Fichero/Valor del Registro /Protocolo-Dirección/Descripción.
A continuación se muestran dos acciones de ejemplo de un mismo malware hipotético:
Fecha |
Nº Veces |
Acción |
Path/URL/Clave de Registro/IP:Puerto |
Hash del Fichero/Valor de Registro/Protocolo-Dirección/Descripción |
Confiable |
3/30/2015 4:38:40 PM |
1 |
Connects with |
54.69.32.99:80 |
TCP-Bidrectional |
NO |
3/30/2015 4:38:45 PM |
1 |
Loads |
PROGRAM_FILES|\MOVIES TOOLBAR\SAFETYNUT\SAFETYCRT.DLL |
9994BF035813FE8EB6BC98ECCBD5B0E1 |
NO |
La primera acción indica que el malware (sujeto) se conecta (Acción Connects with) con la dirección IP 54.69.32.99:80 (entidad) mediante el protocolo TCP-Bidireccional.
La segunda acción indica que el malware (sujeto) carga (Acción Loads) la librería PROGRAM_FILES|\MOVIES TOOLBAR\SAFETYNUT\SAFETYCRT.DLL con hash 9994BF035813FE8EB6BC98ECCBD5B0E1
Al igual que en el lenguaje natural, en Adaptive Defense se implementan dos tipos de oraciones:
Activa: son acciones predicativas (con un sujeto y un predicado) relacionados por un verbo en forma activa. En estas acciones el verbo de la acción relaciona el sujeto, que siempre es el proceso clasificado como amenaza y un complemento directo, la entidad, que puede ser de múltiples tipos según el tipo de acción.
Pasiva: Son acciones donde el sujeto (el proceso clasificado como malware) pasa a ser sujeto paciente (que recibe la acción, no la ejecuta) y el verbo viene en forma pasiva (ser + participio). En este caso el verbo pasivo relaciona el sujeto pasivo que recibe la acción con la entidad, que es la que realiza la acción.
Ejemplos de acciones activas son los siguientes:
Connects with
Loads
Creates
Ejemplos de acciones pasivas son los siguientes:
Is created by
Downloaded from
A continuación se muestra una acción pasiva de ejemplo para un malware hipotético:
Fecha |
Nº Veces |
Acción |
Path/URL/Clave de Registro/IP:Puerto |
Hash del Fichero/Valor de Registro/Protocolo-Dirección/Descripción |
Confiable |
3/30/2015 4:51:46 PM |
1 |
Is executed by |
WINDOWS|\ explorer.exe |
7522F548A84ABAD8FA516DE5AB3931EF |
NO |
En esta acción el malware (sujeto pasivo) es ejecutado (acción pasiva Is executed by) por el programa WINDOWS|\explorer.exe (entidad) de hash 7522F548A84ABAD8FA516DE5AB3931EF
Las acciones de tipo activo nos permiten inspeccionar en detalle los pasos que ha ejecutado el Malware. Por el contrario las acciones de tipo pasivo suelen reflejar el vector de infección utilizado por el malware (qué proceso lo ejecutó, qué proceso lo copió al equipo del usuario etc.).
Temas relacionados