[01/07/2021] Los CISOs disponen de una serie de herramientas cada vez mejores para ayudar a detectar y detener la actividad maliciosa: herramientas de supervisión de la red, escáneres de virus, herramientas de análisis de la composición del software (SCA), soluciones de análisis forense digital, respuesta a incidentes (DFIR), etc.
Pero, por supuesto, la ciberseguridad es una batalla continua entre el ataque y la defensa, y los atacantes siguen planteando nuevos retos.
Las técnicas más antiguas, como la esteganografía -el arte de ocultar información, incluida la carga útil maliciosa, en archivos por lo demás benignos, como las imágenes- están evolucionando, dando lugar a nuevas posibilidades. Por ejemplo, hace poco un investigador demostró que ni siquiera Twitter era inmune a la esteganografía y que las imágenes de la plataforma podían ser abusadas para empaquetar archivos ZIP de hasta 3MB dentro de ellas.
Sin embargo, en mis propias investigaciones he observado que, además de utilizar técnicas de ofuscación, esteganografía y empaquetado de malware, los actores de las amenazas se aprovechan con frecuencia de servicios, plataformas, protocolos y herramientas legítimos para llevar a cabo sus actividades. Esto les permite mezclarse con el tráfico o la actividad que puede parecer "limpia" tanto para los analistas humanos como para las máquinas.
He aquí cinco tácticas que los delincuentes cibernéticos están utilizando para cubrir sus huellas hoy en día.
Abuso de plataformas de confianza que no hacen saltar las alarmas
Este fue un tema común visto por los profesionales de la seguridad en el 2020, que se ha colado en este año.
Desde servicios y herramientas de pruebas de penetración como Cobalt Strike y Ngrok, hasta ecosistemas de código abierto establecidos como GitHub, pasando por sitios de imágenes y texto como Imgur y Pastebin, los atacantes han apuntado a una amplia gama de plataformas de confianza en los últimos años.
Normalmente, Ngrok es utilizado por los hackers éticos interesados en recopilar datos o establecer túneles simulados para las conexiones entrantes como parte de los ejercicios de cazar errores o de las pruebas de penetración. Sin embargo, los actores maliciosos han abusado de Ngrok para instalar directamente el malware de la red de bots, o para conectar un servicio de comunicaciones legítimo a un servidor malicioso. En un ejemplo más reciente, Xavier Mertens, del Instituto SANS, descubrió una muestra de malware escrita en Python que contenía código codificado en base64 para plantar una puerta trasera en el sistema infectado que utilizaba Ngrok.
Dado que Ngrok goza de una gran confianza, el atacante remoto podría conectarse al sistema infectado a través de un túnel Ngrok, que probablemente eluda los firewalls corporativos o las protecciones NAT.
GitHub también ha sido utilizado para alojar malware, desde Octopus Scanner hasta Gitpaste-12. Recientemente, unos astutos atacantes abusaron de GitHub e Imgur combinando un script PowerShell de código abierto que les permitió alojar un sencillo script en GitHub que calcula la carga útil de Cobalt Strike a partir de una foto benigna de Imgur. Cobalt Strike es un popular marco de pruebas de penetración para simular ataques cibernéticos avanzados en el mundo real, pero como cualquier producto de software de seguridad, puede ser mal utilizado por los adversarios.
Del mismo modo, las herramientas de automatización en las que confían los desarrolladores no son inmunes a ser explotadas.
En abril, los atacantes abusaron de las acciones de GitHub para atacar cientos de repositorios en un ataque automatizado que utilizó el servidor y los recursos de GitHub para la minería de criptomonedas.
Estos ejemplos muestran por qué los atacantes encuentran valor en atacar plataformas legítimas que muchos firewalls y herramientas de supervisión de la seguridad podrían no bloquear.
Ataques ascendentes que aprovechan el valor, la reputación o la popularidad de una marca
Es posible que la preocupación por la seguridad de la cadena de suministro de software haya atraído la atención del público tras la reciente violación de SolarWinds, pero estos ataques han ido en aumento durante algún tiempo.
Ya sea en forma de typosquatting, brandjacking o confusión de dependencias (que inicialmente salió a la luz como una investigación de prueba de concepto, pero que luego fue abusada con fines maliciosos), los ataques "upstream" explotan la confianza dentro de los ecosistemas de socios conocidos y capitalizan la popularidad o reputación de una marca o componente de software. El objetivo de los atacantes es introducir código malicioso en una base de código de confianza asociada a una marca, que luego se distribuye hacia el objetivo final: los socios, clientes o usuarios de esa marca.
Cualquier sistema abierto a todo el mundo está también abierto a los adversarios. Así, muchos ataques a la cadena de suministro se dirigen a los ecosistemas de código abierto, algunos de los cuales tienen una validación laxa para mantener el principio de "abierto a todos". Sin embargo, las organizaciones comerciales también son objeto de estos ataques.
En un caso reciente que algunos han comparado con el incidente de SolarWinds, la empresa de pruebas de software Codecov reveló un ataque contra su script Bash Uploader que había pasado desapercibido durante más de dos meses.
Entre los más de 29 mil clientes de Codecov se encuentran algunas de las principales marcas mundiales. En este ataque, el uploader utilizado por los clientes de la empresa fue alterado para exfiltrar las variables de entorno del sistema (claves, credenciales y tokens) a la dirección IP del atacante.
La protección contra los ataques a la cadena de suministro exige actuar en varios frentes. Los proveedores de software tendrán que aumentar la inversión para mantener la seguridad de sus construcciones/creaciones de desarrollo. Las soluciones de desarrollo basadas en IA y ML capaces de detectar y bloquear automáticamente los componentes de software sospechosos pueden ayudar a prevenir los ataques de typosquatting, brandjacking y confusión de dependencias.
Además, a medida que más empresas adoptan los contenedores Kubernetes o Docker para desplegar sus aplicaciones, las soluciones de seguridad de contenedores que tienen un firewall de aplicaciones web incorporado, y son capaces de detectar a tiempo los errores de configuración simples pueden ayudar a evitar un compromiso mayor.
Canalización de pagos de criptomonedas a través de métodos difíciles de rastrear
Los vendedores de la darknet y los operadores de ransomware suelen comerciar con criptodivisas, dado su diseño descentralizado y orientado a la privacidad.
Sin embargo, aunque no se acuñan ni son controladas por los bancos centrales del gobierno, las criptomonedas siguen careciendo del mismo nivel de anonimato que el dinero en efectivo.
Por ello, los delincuentes cibernéticos encuentran formas innovadoras de desviar fondos entre cuentas.
Recientemente, más de 760 millones de dólares de Bitcoin vinculados al hackeo de Bitfinex del 2016 fueron trasladados a nuevas cuentas en múltiples transacciones más pequeñas, con cantidades que van desde 1 BTC a 1.200 BTC.
La criptomoneda no es una forma completamente infalible de ocultar el rastro del dinero. La noche de las elecciones presidenciales del 2020 en Estados Unidos, el gobierno estadounidense vació un monedero de Bitcoin de mil millones de dólares que contenía fondos vinculados al mercado más notorio de la darknet, Silk Road, que a su vez había sido cerrado en el 2013.
Algunas otras criptodivisas, como Monero (XMR) y Zcash (ZEC), tienen una capacidad de preservación de la privacidad más amplia que Bitcoin para anonimizar las transacciones. No cabe duda de que las idas y venidas entre los delincuentes y los investigadores continuarán en este frente, ya que los atacantes siguen buscando mejores formas de ocultar sus huellas.
Uso de canales y protocolos comunes
Al igual que las plataformas y marcas de confianza, los canales, puertos y protocolos encriptados que utilizan las aplicaciones legítimas proporcionan otra forma para que los atacantes oculten sus pasos.
Por ejemplo, HTTPS es un protocolo universalmente indispensable para la Web hoy en día, y por esa razón, el puerto 443 (utilizado por HTTPS/SSL) es muy difícil de bloquear en un entorno corporativo.
Sin embargo, el DNS sobre HTTPS (DoH) -un protocolo para resolver dominios- también utiliza el puerto 443 y ha sido objeto de abuso por parte de los autores de malware para transmitir sus comandos de mando y control (C2) a los sistemas infectados.
Este problema tiene dos aspectos. En primer lugar, al abusar de un protocolo de uso común como HTTPS o DoH, los atacantes disfrutan de las mismas ventajas de privacidad de los canales cifrados end-to-end que los usuarios legítimos.
En segundo lugar, esto plantea dificultades para los administradores de red. Bloquear el DNS en cualquiera de sus formas supone un reto; pero ahora, dado que las peticiones y respuestas del DNS están cifradas a través de HTTPS, se ha convertido en una molestia para los profesionales de la seguridad interceptar, señalar y analizar el tráfico sospechoso de muchas solicitudes HTTPS que entran y salen por la red.
El investigador Alex Birsan, que mostró la técnica de confusión de dependencia para hackear éticamente a más de 35 grandes empresas tecnológicas, pudo maximizar su tasa de éxito utilizando DNS (puerto 53) para exfiltrar información básica. Birsan eligió el DNS por la alta probabilidad de que los firewalls corporativos no bloqueen el tráfico DNS, debido a los requisitos de rendimiento y a sus usos legítimos.
Uso de binarios firmados para ejecutar malware ofuscado
El conocido concepto de malware sin archivos/fileless que utiliza binarios "living-off-the-land" (LOLBINs) sigue siendo una técnica de evasión válida.
Los LOLBINs se refieren a ejecutables legítimos firmados digitalmente, como los ejecutables de Windows firmados por Microsoft, que pueden ser utilizados por los atacantes para lanzar código malicioso con privilegios elevados o para evadir los productos de seguridad de los endpoints, como los antivirus.
El mes pasado, Microsoft compartió algunas orientaciones sobre las técnicas defensivas que las empresas pueden adoptar para evitar que los atacantes abusen de los LOLBINs de Azure de Microsoft.
En otro ejemplo, un malware para Linux y macOS descubierto recientemente que analicé tenía una tasa de detección perfecta de cero entre los principales antivirus.
El binario contenía código ofuscado, que ayudaba a la evasión. Sin embargo, una investigación más profunda también reveló que el malware se construyó utilizando cientos de componentes legítimos de código abierto y llevó a cabo sus actividades maliciosas, como la obtención de privilegios administrativos, de forma idéntica a como lo harían las aplicaciones legítimas.
Mientras que el malware ofuscado, los empaquetadores de tiempo de ejecución, la evasión de las máquinas virtuales o la ocultación de la carga útil maliciosa en las imágenes son técnicas evasivas conocidas utilizadas por las amenazas avanzadas, su verdadero poder proviene de eludir los productos de seguridad o de volar bajo su radar.
Y esto es posible cuando las cargas útiles se combinan con componentes de software, protocolos, canales, servicios o plataformas de confianza.
Basado en el artículo de Ax Sharma (CSO) y editado por CIO Perú