Técnicas cibercriminales en 2019

30 noviembre, 2018
15 Compartido 3,562 Visualizaciones

Los cibercriminales están teniendo éxito en evadir la detección en ordenadores Windows abusando de herramientas de administración legítimas que se encuentran frecuentemente en ese sistema operativo.

Este es uno de los puntos fundamentales del Informe de Amenazas SophosLabs 2019, que explica cómo esta técnica pasó de ser poco utilizada a una de las más populares en el arsenal de los ciberdelincuentes.

Conocida en el argot de la ciberseguridad como “living off the Land” o “LoL”, ya que evita el tener que descargar otras herramientas, su objetivo favorito es PowerShell, un potente shell de línea de comandos que está incorporado por defecto en todos los ordenadores Windows recientes, aunque pocos lo hayan utilizado o lo conozcan.

Otras alternativas incluyen Windows Scripting Host (WScript.exe), Windows Management Instrumentation Command (WMIC), así como diversas herramientas populares externas como PsExec y WinSCP.

Es una estrategia simple que complica mucho su detección. Eliminar las herramientas es una opción pero pocos administradores estarían contentos con esto, tal y como se indica en el informe:

PoweShell también es un componente integral de las herramientas que ayudan a los administradores a gestionar redes de todos los tamaños, y por lo tanto debe estar presente y activado para que los administradores puedan realizar acciones como, por ejemplo, implementar cambios en las directivas de grupos.

Los atacantes, por supuesto, lo saben y a menudo tejen una osada red de scripts e interfaces de comando, cada uno ejecutado en un proceso distinto de Windows.

Según SophosLabs, los atacantes pueden comenzar como un JavaScript adjunto malicioso, que ejecute wscript.exe, antes de descargar finalmente un script a medida de PowerShell. La defensa se encuentra ante un reto: »Con un rango amplio de tipos de ficheros que incluyen varios scripts en texto simple, encadenados sin un orden en particular y sin ningún tipo de previsibilidad, el reto consiste en como separar las operaciones normales de un ordenador del comportamiento anómalo anterior a una infección de malware».

Ataques macro 2.0

Mientras tanto, los atacantes no muestran signos de dejar de probar nuevas variantes de ataques macro para Microsoft Office, otra forma de amenaza que no necesita descargar nada.

En los últimos años, protecciones como desactivar marcos en documentos o usar el modo de vista previa, habían mermado esta técnica.

Desafortunadamente, los atacantes han desarrollado nuevas formas para persuadir a la gente de deshabilitar estas usando las herramientas de creación de macros que se encuentran en Office, Flash y otros exploits empleando documentos que utilizan sofisticadas técnicas de ingeniería social.

Para empeorar las cosas, los cibercriminales han actualizado su obsoleta base de vulnerabilidades con nuevas más peligrosas. Los análisis de SophosLabs muestran que solo el 3% de los documentos maliciosos detectados incluyen exploits anteriores a 2017.

Al estar los tipos de ficheros habituales bien monitoreados por las herramientas de seguridad, la tendencia es usar tipos de ficheros más exóticos para realizar ataques, especialmente los que parecen inocuos como el del shell de Windows .cmd (archivo de comando), .cpl (panel de control), .HTA (Windows Script Host), .LNK (Atajo de Windows) y .PIF (fichero de información del programa).

Movimiento lateral

El exploit EternalBlue (CVE–2017-0144) sorprendentemente se ha convertido en una popular base para los creadores de malware, pese a que Microsoft publicó un parche antes de su primer uso con WannaCry en mayo de 2017.

Los criptomineros son unos usuarios entusiastas de EternalBlue, utilizándolo para moverse lateralmente entre redes para infectar al mayor número posible de máquinas.

Los atacantes que combinan estas innovaciones (herramientas LoL de Windows, ataques macro, nuevos exploits y criptominería) representan un reto porque a menudo confunden las suposiciones de los defensores.

Irónicamente estos enfoques más complejos se deben al éxito de la industria de la ciberseguridad en detectar el malware tradicional. Joe Levy, CTO de Sophos, concluye: »Esperamos que al final queden menos adversarios pero más fuertes».

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

La UE adopta normas de ciberseguridad y señala las preocupaciones de China
Actualidad
27 compartido2,372 visualizaciones
Actualidad
27 compartido2,372 visualizaciones

La UE adopta normas de ciberseguridad y señala las preocupaciones de China

Vicente Ramírez - 20 marzo, 2019

El Parlamento Europeo adoptó normas diseñadas para reforzar la ciberseguridad en la Unión Europea (UE), al tiempo que expresa su…

Atos lanza una solución software de alta disponibilidad para aplicaciones Cloud
Cloud
17 compartido2,242 visualizaciones
Cloud
17 compartido2,242 visualizaciones

Atos lanza una solución software de alta disponibilidad para aplicaciones Cloud

Samuel Rodríguez - 25 enero, 2019

La solución Evidian SafeKit “en el Cloud” es fácil de utilizar (“plug & play”) y no requiere ninguna experiencia en…

Las administraciones públicas europeas capacitan a más ciudadanos a través de unos servicios públicos digitales de confianza
Actualidad
8 compartido2,101 visualizaciones
Actualidad
8 compartido2,101 visualizaciones

Las administraciones públicas europeas capacitan a más ciudadanos a través de unos servicios públicos digitales de confianza

Alicia Burrueco - 13 noviembre, 2019

La 16ª edición del eGovernment Benchmark sobre el desarrollo de la administración electrónica revela la reducción de la distancia entre…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.