Tablas de acciones

Advanced EDR permite mostrar las acciones ejecutadas por los programas en el equipo del usuario cuando son detectados por alguna de las tecnologías de detección avanzada que soporta.

Para acceder a la tabla de acciones de las amenazas abre la ventana de detalle (consulta Detalle de los programas bloqueados) y haz clic en la pestaña Actividad.

La información de la amenaza se muestra en una tabla de acciones, que incluye los eventos producidos más relevantes.

La cantidad de acciones ejecutadas por un proceso es muy alta, visualizarlas todas dificultaría la extracción de información útil para realizar un análisis forense.

El contenido de la tabla se presenta inicialmente ordenado por fecha, de esta forma es más fácil seguir el curso de la amenaza.

La tabla de acciones contiene los campos mostrados a continuación:

Campo Comentario Valores

Fecha

Fecha de la acción registrada.

Fecha

Nº veces

Número de veces que se ejecutó la acción. Una misma acción ejecutada varias veces de forma consecutiva solo aparece una vez en el listado de acciones con el campo Nº veces actualizado.

Numérico

Acción

Tipo de acción registrada en el sistema y línea de comandos asociada a la ejecución de la acción.

  • Descargado de

  • Comunica con

  • Accede a datos

  • Accede

  • Es accedido por

  • LSASS.EXE abre

  • LSASS.EXE es abierto por

  • Es ejecutado por

  • Ejecuta

  • Es creado por

  • Crea

  • Es modificado por

  • Modifica

  • Es cargado por

  • Carga

  • Es borrado por

  • Borra

  • Es renombrado por

  • Renombra

  • Es matado por

  • Mata proceso

  • Proceso suspendido

  • Crea hilo remoto

  • Hilo inyectado por

  • Es abierto por

  • Abre

  • Crea

  • Es creado por

  • Crea clave apuntando a Exe

  • Modifica clave apuntando a Exe.

  • Intenta detener

  • Finalizado por

Path/URL/Clave de Registro /IP:Puerto

  • Entidad de la acción. Según el tipo de acción contiene diferentes valores.

  • Clave del registro: acciones que impliquen modificación del registro de Windows.

  • IP:Puerto: acciones que implican una comunicación con un equipo local o remoto.

  • Path: acciones que implican acceso al disco duro del equipo. Para obtener más información consulta Formato de la ruta.

  • URL: acciones que implican el acceso a una URL.

 

Hash del Fichero/Valor del Registro /Protocolo-Dirección/Descripción

Campo que complementa a la entidad:

  • Hash del Fichero: para todas las acciones que implican acceder a un fichero.

  • Valor del Registro: para todas las acciones que implican accederf al registro.

  • Protocolo-Dirección: para todas las acciones que implican comunicarse con un equipo local o remoto. Los valores posibles son:

  • TCP

  • UDP

  • Bidirectional

  • Unknown

  • Descripción

 

Confiable

El fichero está firmado digitalmente.

Binario

Campos de la tabla de acciones de una amenaza

Formato de la ruta

Se utilizan números y el carácter “|” para indicar la unidad de almacenamiento y las carpetas de sistema respectivamente:

Código Tipo de unidad de almacenamiento

0

Unidad desconocida.

1

Ruta inválida. Por ejemplo, una unidad que no tiene un volumen montado.

2

Unidad extraible. Por ejemplo, un disquete, una memoria USB o un lector de tarjetas.

3

Unidad interna. Por ejemplo, un disco duro o un disco SSD.

4

Unidad remota. Por ejemplo, una unidad de red.

5

Unidad de CD-ROM / DVD.

6

Unidad disco RAM.

Códigos utilizados para indicar el tipo de unidad

A continuación se muestran las partes de una ruta a modo de ejemplo:

3|TEMP|\app\a_470.exe

  • 3: Unidad interna. El fichero está almacenado en el disco duro del equipo.

  • |TEMP|: el fichero reside en la carpeta de sistema \windows\temp\ del equipo.

  • \app\: nombre de la carpeta donde esta almacenado el fichero.

  • a_470.exe: nombre del fichero.

Sujeto y predicado de las acciones

El formato utilizado para presentar la información en el listado de acciones mantiene cierto paralelismo con el lenguaje natural:

  • Todas las acciones tienen como sujeto el fichero clasificado como amenaza. Este dato no se indica en cada línea de la tabla de acciones porque es común para todas las líneas.

  • Todas las acciones tienen un verbo que relaciona el sujeto (la amenaza clasificada) con un complemento, llamado entidad. La entidad se corresponde con el campo Path/URL/Clave de Registro /IP:Puerto de la tabla.

  • La entidad se complementa con un segundo campo que añade información a la acción, indicado en el campo Hash del Fichero/Valor del Registro /Protocolo-Dirección/Descripción.

En Listado de acciones de una amenaza de ejemplo se muestran dos acciones de ejemplo de un mismo malware hipotético:

Fecha Nº veces Acción Path/URL/Registro/IP Hash/Registro/Protocolo/Descripción Confiable

3/30/2015 4:38:40 PM

1

Comunica con

54.69.32.99:80

TCP-Bidrectional

NO

3/30/2015 4:38:45 PM

1

Carga

PROGRAM_FILES|\ MOVIES TOOLBAR\SAFETYN

9994BF035813FE8EB6BC98E CCBD5B0E1

NO

Listado de acciones de una amenaza de ejemplo

La primera acción indica que el malware (sujeto) se conecta (Acción Comunica con) con la dirección IP 54.69.32.99:80 (entidad) mediante el protocolo TCP-Bidireccional.

La segunda acción indica que el malware (sujeto) carga (Acción Carga) la librería PROGRAM_FILES|\MOVIES TOOLBAR\SAFETYNUT\SAFETYCRT.DLL con hash 9994BF035813FE8EB6BC98ECCBD5B0E1.

Al igual que en el lenguaje natural, en Advanced EDR se implementan dos tipos de oraciones:

  • Activa: son acciones predicativas (con un sujeto y un predicado) relacionados por un verbo en forma activa. En estas acciones, el verbo de la acción relaciona el sujeto, que siempre es el proceso clasificado como amenaza y un complemento directo, la entidad, que puede ser de múltiples tipos según la acción. Ejemplos de acciones activas son:

    • Comunica con

    • Carga

    • Crea

  • Pasiva: son acciones donde el sujeto (el proceso clasificado como amenaza) pasa a ser sujeto paciente (que recibe la acción, no la ejecuta) y el verbo aparece en forma pasiva (ser + participio). En este caso el verbo pasivo relaciona el sujeto pasivo que recibe la acción con la entidad, que es la que ejecuta la acción. Ejemplos de acciones pasivas son:

    • Es creado por

    • Descargado de

Ejemplo de acción pasiva muestra una acción pasiva de ejemplo para un malware hipotético:

Fecha Nº veces Acción Path/URL/Registro/IP Hash/Registro/Protocolo/Descripción Confiable

3/30/2015 4:51:46 PM

1

Es ejecutado por

WINDOWS|\ explorer.exe

7522F548A84ABAD8FA516D E5AB3931EF

NO

Ejemplo de acción pasiva

En esta acción el malware (sujeto pasivo) es ejecutado (acción pasiva Es ejecutado por) por el programa WINDOWS|\explorer.exe (entidad) de hash 7522F548A84ABAD8FA516DE5AB3931EF.

Las acciones de tipo activa permiten inspeccionar en detalle los pasos que ha ejecutado la amenaza. Por el contrario, las acciones de tipo pasivo suelen reflejar el vector de infección utilizado por el malware (qué proceso lo ejecutó, qué proceso lo copió al equipo del usuario etc.).