Cinco Maneras en que los piratas informáticos ocultan sus pistas
AS-048-2021
Fecha: 20/Mayo/2021
Resumen:
Los CISO tienen una variedad de herramientas en constante mejora para ayudar a detectar y detener la actividad maliciosa entre ellas: herramientas de monitoreo de red, escáneres de virus, herramientas de análisis de composición de software (SCA), análisis forense digital y soluciones de respuesta a incidentes, entre otras.
Pero, por supuesto, la ciberseguridad es una batalla en curso entre ataque y defensa, y los atacantes siguen planteando desafíos novedosos, usan técnicas de ofuscación, esteganografía y empaque de malware, los actores de amenazas hoy en día con frecuencia se aprovechan de servicios, plataformas, protocolos y herramientas legítimos para llevar a cabo sus actividades, esto les permite mezclarse con el tráfico o la actividad que pueden parecer "limpios" tanto para los analistas humanos como para las máquinas.
Se describe cinco tácticas que los ciberdelincuentes están utilizando para cubrir sus huellas hoy en día.
1.Abuso de plataformas de confianza que no generarán alarmas.
Desde servicios y herramientas de pruebas de penetración como Cobalt Strike y Ngrok, hasta ecosistemas de código abierto establecidos como GitHub, sitios de imágenes y texto como Imgur y Pastebin, los atacantes se han dirigido a una amplia gama de plataformas de confianza en los últimos años.
Xavier Mertens en el instituto SANS detectó una de esas muestras de malware escritas en Python que contenían código codificado en base64 para plantar una puerta trasera en el sistema infectado que utiliza Ngrok. Debido a que Ngrok es ampliamente confiable, el atacante remoto podría conectarse al sistema infectado a través de un túnel Ngrok, que probablemente omitirá firewalls corporativos o protecciones NAT.
GitHub también ha sido abusado para alojar malware de Octopus Scanner a Gitpaste-12. Recientemente, atacantes astutos abusaron de GitHub e Imgur combinados, usando un script de PowerShell de código abierto que les hizo posible hospedar un script simple en GitHub que calcula la carga útil de Cobalt Strike a partir de una foto benigna de Imgur. Cobalt Strike es un popular marco de pruebas para simular ciberataques avanzados del mundo real, pero como cualquier producto de software de seguridad, puede ser mal utilizado por los adversarios.
Del mismo modo, las herramientas de automatización en las que confían los desarrolladores no son inmunes a ser explotadas.
En abril, los atacantes abusaron de GitHub Actions para dirigirse a cientos de repositorios en un ataque automatizado que utilizaba el servidor y los recursos de GitHub para la minería de criptomonedas.
Estos ejemplos muestran por qué los atacantes encuentran valor en la segmentación de plataformas legítimas que muchos firewalls y herramientas de supervisión de seguridad pueden no bloquear.
2. Ataques ascendentes que capitalizan el valor, la reputación o la popularidad de una marca.
Las preocupaciones de seguridad de la cadena de suministro de software pueden haber ganado la atención pública después de la reciente violación a SolarWinds.
Los ataques "ascendentes" explotan la confianza dentro de los ecosistemas asociados conocidos y capitalizan la popularidad o reputación de una marca o componente de software. Los atacantes tienen como objetivo insertar código malicioso ascendente a una base de código de confianza asociada a una marca, que luego se distribuye, concluyendo que el objetivo final son los socios, clientes o usuarios de esa marca.
3. Cualquier sistema abierto a todo el mundo también está abierto a los adversarios.
Muchos ataques se dirigen a ecosistemas de código abierto, algunos de los cuales tienen una validación para mantener el principio de "abierto a todos". Sin embargo, las organizaciones comerciales también están sujetas a estos ataques.
Los proveedores de software tendrán que aumentar la inversión para mantener sus construcciones de desarrollo seguras. Las soluciones en IA y ML capaces de prevenir, detectar y bloquear automáticamente componentes de software sospechosos. Además, a medida que más empresas adoptan contenedores Kubernetes o Docker para implementar sus aplicaciones, las soluciones de seguridad de contenedores que tienen un firewall de aplicaciones web integrado y son capaces de detectar errores de configuración incorrecta simples a tiempo pueden ayudar a evitar un compromiso mayor.
4. Uso de canales y protocolos comunes.
Al igual que las plataformas y marcas de confianza, los canales cifrados, los puertos y los protocolos utilizados por las aplicaciones legítimas proporcionan otra forma para que los atacantes oculten sus pasos.
Por ejemplo, HTTPS es un protocolo universalmente indispensable para la Web hoy en día, y por esa razón, el puerto 443 (utilizado por HTTPS/SSL) es muy difícil de bloquear en un entorno corporativo.
Sin embargo, DNS a través de HTTPS un protocolo para resolver dominios utiliza el puerto 443 y ha sido abusado por autores de malware para transmitir sus comandos de comando y control (C2) a sistemas infectados.
Bloquear DNS en cualquier forma en sí plantea un desafío, pero ahora, dado que las solicitudes y respuestas DNS se cifran a través de HTTPS, se convierte en una molestia para los profesionales de seguridad interceptar, señalar y analizar el tráfico sospechoso de muchas solicitudes HTTPS que se mueven hacia adentro y hacia afuera a través de la red.
5. Uso de binarios firmados para ejecutar malware ofuscado.
El concepto familiar de malware sin archivos (LOLBINs)sigue siendo una técnica de evasión válida.
Los LOLBINs se refieren a ejecutables legítimos firmados digitalmente, como ejecutables de Windows firmados por Microsoft, que pueden ser utilizados indebidamente por los atacantes para lanzar código malicioso con privilegios elevados, o para evadir productos de seguridad de endpoints como antivirus.
El mes pasado, Microsoft compartió algunas instrucciones sobre técnicas defensivas que las empresas pueden adoptar para evitar que los atacantes abusen de los LolBINs de Azure de Microsoft.
En otro ejemplo, un malware Linux y macOS recientemente descubierto tenía una tasa perfecta de detección cero entre todos los productos antivirus líderes. El binario contenía código ofuscado, que ayudaba a la evasión. Sin embargo, una investigación adicional también reveló que el malware fue construido utilizando cientos de componentes legítimos de código abierto y llevó a cabo sus actividades maliciosas, como la obtención de privilegios administrativos, de maneras idénticas a cómo las aplicaciones legítimas lo harían, su verdadero poder proviene de eludir los productos de seguridad, o volar bajo su radar.
Y esto es posible cuando las cargas útiles se combinan hasta cierto punto con componentes de software de confianza, protocolos, canales, servicios o plataformas.
Referencias:
https://www.csoonline.com/article/3617983/5-ways-hackers-hide-their-tracks.html
