Resumen
Es posible que observes un gran número de eventos de bloqueo que se recopilan en el Microsoft Defender portal de Protección contra amenazas avanzada (MDATP). Estos eventos son generados por el motor de integridad de código (CI) y se pueden identificar por su ExploitGuardNonMicrosoftSignedBlocked ActionType.
Evento como se muestra en el registro de eventos del punto de conexión
|
Tipo de acción |
Proveedor/origen |
Id. del evento |
Descripción |
|
ExploitGuardNonMicrosoftSignedBlocked |
Security-Mitigations |
1,2 |
Bloqueo de protección de integridad de código |
Evento como se ve en la escala de tiempo
Se bloqueó el proceso de '\Device\HarddiskVolume3\Windows\System32\WindowsPowerShell\v1.0\powershell.exe' (PID 8780) para que no cargara el binario no firmado por Microsoft '\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.M870d558a#\08d37b687669e97c65681029a1026d28\Microsoft.Management.Infrastructure.Native.ni.dll'
Más información
El motor de CI se asegura de que solo los archivos de confianza se puedan ejecutar en un dispositivo. Cuando CI está habilitado y encuentra un archivo que no es de confianza, genera un evento de bloque. En el modo auditoría, el archivo aún puede ejecutarse, mientras que en el modo Exigir, se impide que se ejecute el archivo.
CI se puede habilitar de varias maneras, incluso al implementar una directiva de Control de aplicaciones de Windows Defender (WDAC). Sin embargo, en esta situación, el MDATP habilita CI en el back-end, que está desencadenando eventos cuando encuentra archivos de imagen nativa sin firmar (NI) que provienen de Microsoft.
La firma de un archivo está pensada para habilitar la verificación de la autenticidad de los archivos. CI puede comprobar que un archivo no está modificado y proviene de una autoridad de confianza basada en su firma. La mayoría de los archivos procedentes de Microsoft están firmados, pero algunos archivos no pueden firmarse o no por diversos motivos. Por ejemplo, los binarios de NI (compilados a partir de código de .NET Framework) suelen firmarse si se incluyen en una versión. Sin embargo, normalmente se vuelven a generar en un dispositivo y no se pueden firmar. Por separado, muchas aplicaciones solo tienen su archivo CAB o MSI firmado para verificar su autenticidad en la instalación. Cuando se ejecutan, crean archivos adicionales que no están firmados.
Mitigación
No le recomendamos que ignore estos eventos, ya que pueden indicar problemas de seguridad originales. Por ejemplo, un atacante malintencionado podría intentar cargar un archivo binario sin firmar bajo la apariencia de origen de Microsoft.
Sin embargo, estos eventos se pueden filtrar por consulta cuando intenta analizar otros eventos de la caza avanzada excluyendo los eventos que tienen el ExploitGuardNonMicrosoftSignedBlocked ActionType.
Esta consulta le mostraría todos los eventos relacionados con esta detección en particular:
DeviceEvents | where ActionType == "ExploitGuardNonMicrosoftSignedBlocked" y InitiatingProcessFileName == "powershell.exe" y FileName termina con "ni.dll" | donde timestamp > ago(7d)
Si desea excluir este evento, tendrá que invertir la consulta. Esto mostraría todos los eventos de ExploitGuard (incluido el EP), excepto los siguientes:
DeviceEvents | donde ActionType comienza con "ExploitGuard" | where ActionType != "ExploitGuardNonMicrosoftSignedBlocked" o (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" y InitiatingProcessFileName != "powershell.exe") o (ActionType == "ExploitGuardNonMicrosoftSignedBlocked" y InitiatingProcessFileName == "powershell.exe" y FileName !termina con "ni.dll") | donde timestamp > ago(7d)
Además, si usa .NET Framework 4.5 o una versión posterior, tiene la opción de regenerar archivos ni para resolver muchos de los eventos superfluos. Para ello, elimine todos los archivos NI del directorio NativeImages y, a continuación, ejecute el comando ngen update para regenerarlos.
