Hay formas comunes en las que el malware funciona: en la actualidad, muchos utilizan PowerShell, por ejemplo, para descargar la carga útil y ejecutar. Normalmente, esto se debe a que, por ejemplo, Word.exe llamando a cmd.exe ha llamado a powershell.exe con argumentos.
Por lo tanto, detectar si un proceso para cmd.exe se ha creado por palabra es un indicador de la actividad de malware potencial y tiene un proceso secundario de powershell.exe.
Ahora hay bastantes ataques comunes que tienen indicadores como estos enumerados por Mitre:
enlace
Dados los tipos de ataque conocidos, puedes detectar este comportamiento y responder. Si comienzas a agrupar los diferentes tipos de ataques encadenados, es de esperar que puedas determinar si, hasta cierto punto, si algo es malo.
Un buen ejemplo de una herramienta que controla el comportamiento malicioso es sysmon
Sysmon puede configurarse para buscar solo ciertos tipos de comportamiento y escribir en el registro de eventos de Windows.
Obviamente, si una nueva categoría de ataque con nuevos indicadores se convierte en un problema.
Así que ahora también comienza a determinar cuál es el comportamiento normal en un sistema utilizando algunas técnicas de ai, por lo que si ocurre algo fuera de lo normal, se puede marcar y se pueden ver otros indicadores.