Desde la Release XI de Aether se muestra, dentro de la actividad de exploits, la técnica de exploit que ha sido detectada, junto al programa que se ha visto comprometido.
En la siguiente tabla podrás encontrar las diferentes técnicas monitorizadas, así como una breve descripción de estas:
Nombre de la Técnica | Descripción de la Técnica |
Exploit/Metasploit | Detección por firmas de shellcodes de metasploit |
Exploit/ReflectiveLoader | Carga de ejecutable de forma reflectiva (metasploit, cobalt strike, etc) |
Exploit/RemoteAPCInjection | Inyección remota de código vía APCs |
Exploit/DynamicExec | Ejecución de código en páginas sin permisos de ejecución (solo 32 bits) |
Exploit/HookBypass | Bypass del hook en funciones en ejecución |
Exploit/ShellcodeBehavior | Ejecución de código en páginas MEM_PRIVATE que no corresponden a un PE |
Exploit/ROP1 | Ejecución de APIs de gestión de memoria estando el stack fuera de los límites del hilo |
Exploit/IE_GodMode | Técnica GodMode en Internet Explorer |
Exploit/RunPE | Técnicas de Process hollowing / RunPE |
Exploit/PsReflectiveLoader1 | Powershell - Carga de ejecutable de forma reflectiva (mimikatz, etc) |
Exploit/PsReflectiveLoader2 | Powershell - Carga de ejecutable de forma reflectiva (mimikatz, etc) |
Exploit/NetReflectiveLoader | Carga reflectiva .NET (Assembly.Load) |
Exploit/JS2DOT | Técnica JS2DOT |
Exploit/Covenant | Detección framework de Covenant |
Exploit/DumpLsass | Dumpeo de memoria del proceso lsass |
Exploit/APC_Exec | Ejecución de código local vía APC |
Adicionalmente, se ha añadido la posibilidad de excluir la detección de una técnica para un programa concreto. De esta forma, en el caso de que el cliente quiera permitir, por cualquier cosa, una excepción para un proceso o programa concreto, puede hacerse, y seguir protegiendo al resto de procesos frente a ese intento de explotación.
Para ello, en la detección del exploit, dentro del tooltip accesible desde Acción, existe la opción de No volver a detectar.