Qué es y para qué sirve el AntiTamper


En muchos ataques Sophos ha comprobado que el intruso suele ganar acceso al sistema operativo por diversos medios y una vez que gana acceso a los sistemas con privilegios de administrador, es capaz de lanzar diversos ataques como un ransomware, o ganar persistencia en los sistemas permaneciendo como un caballo de troya dentro de la organización. 


Cuando se deciden a lanzar el ataque, como ya son administradores de las máquinas que tienen capturadas sin que lo sepamos, detienen los servicios de antimalware y antivirus y logran así ejecutar ransomware, cifrar nuestros archivos para posteriormente pedir un rescate, o hacer lo que quieran con nuestra red.


De cara a evitar que este tipo de ataques tenga éxito, Sophos ha creado una protección anti manipulaciones en el agente de Endpoint / Intercept-X tanto en puestos como en servidores que impide que aunque seamos administradores de la máquina podamos detener la protección.


Para poder hacerlo, o incluso desinstalarla, necesitamos autenticarnos con una contraseña que será única para cada dispositivo protegido. Si hacemos doble click en el icono de Sophos obtendremos una pantalla como esta:



Cómo hacer cambios de configuración o Desinstalar Sophos con AntiTamper


Y si deseamos hacer cambios en la configuración, detener el motor, o desinstalarlo, primero, tendremos que acceder a Sophos Central para obtener una clave de desbloqueo (antitamper) que nos permita hacerlo.


Una vez que pinchamos sobre "Inicio de sesión de administrador" se nos pedirá esta contraseña:


Cómo obtener el código AntiTamper de una máquina


Para obtenerla, debemos buscar el equipo en cuestión dentro de la consola de Sophos Central, y una vez pinchamos sobre el dispositivo al que deseamos acceder, hay una sección "Tamper Protection" y dentro de la misma, tenemos la opción "View Password Details":



Pinchando sobre esta opción obtendremos la contraseña actual, y también podremos generar otra, para cambiarla y no conservar la misma tras utilizar la actual, o bien porque la que se muestre parezca no funcionar: Se forzará generar una que reemplazará a la actual.