Técnicas cibercriminales en 2019

30 noviembre, 2018
15 Compartido 3,007 Visualizaciones

Los cibercriminales están teniendo éxito en evadir la detección en ordenadores Windows abusando de herramientas de administración legítimas que se encuentran frecuentemente en ese sistema operativo.

Este es uno de los puntos fundamentales del Informe de Amenazas SophosLabs 2019, que explica cómo esta técnica pasó de ser poco utilizada a una de las más populares en el arsenal de los ciberdelincuentes.

Conocida en el argot de la ciberseguridad como “living off the Land” o “LoL”, ya que evita el tener que descargar otras herramientas, su objetivo favorito es PowerShell, un potente shell de línea de comandos que está incorporado por defecto en todos los ordenadores Windows recientes, aunque pocos lo hayan utilizado o lo conozcan.

Otras alternativas incluyen Windows Scripting Host (WScript.exe), Windows Management Instrumentation Command (WMIC), así como diversas herramientas populares externas como PsExec y WinSCP.

Es una estrategia simple que complica mucho su detección. Eliminar las herramientas es una opción pero pocos administradores estarían contentos con esto, tal y como se indica en el informe:

PoweShell también es un componente integral de las herramientas que ayudan a los administradores a gestionar redes de todos los tamaños, y por lo tanto debe estar presente y activado para que los administradores puedan realizar acciones como, por ejemplo, implementar cambios en las directivas de grupos.

Los atacantes, por supuesto, lo saben y a menudo tejen una osada red de scripts e interfaces de comando, cada uno ejecutado en un proceso distinto de Windows.

Según SophosLabs, los atacantes pueden comenzar como un JavaScript adjunto malicioso, que ejecute wscript.exe, antes de descargar finalmente un script a medida de PowerShell. La defensa se encuentra ante un reto: »Con un rango amplio de tipos de ficheros que incluyen varios scripts en texto simple, encadenados sin un orden en particular y sin ningún tipo de previsibilidad, el reto consiste en como separar las operaciones normales de un ordenador del comportamiento anómalo anterior a una infección de malware».

Ataques macro 2.0

Mientras tanto, los atacantes no muestran signos de dejar de probar nuevas variantes de ataques macro para Microsoft Office, otra forma de amenaza que no necesita descargar nada.

En los últimos años, protecciones como desactivar marcos en documentos o usar el modo de vista previa, habían mermado esta técnica.

Desafortunadamente, los atacantes han desarrollado nuevas formas para persuadir a la gente de deshabilitar estas usando las herramientas de creación de macros que se encuentran en Office, Flash y otros exploits empleando documentos que utilizan sofisticadas técnicas de ingeniería social.

Para empeorar las cosas, los cibercriminales han actualizado su obsoleta base de vulnerabilidades con nuevas más peligrosas. Los análisis de SophosLabs muestran que solo el 3% de los documentos maliciosos detectados incluyen exploits anteriores a 2017.

Al estar los tipos de ficheros habituales bien monitoreados por las herramientas de seguridad, la tendencia es usar tipos de ficheros más exóticos para realizar ataques, especialmente los que parecen inocuos como el del shell de Windows .cmd (archivo de comando), .cpl (panel de control), .HTA (Windows Script Host), .LNK (Atajo de Windows) y .PIF (fichero de información del programa).

Movimiento lateral

El exploit EternalBlue (CVE–2017-0144) sorprendentemente se ha convertido en una popular base para los creadores de malware, pese a que Microsoft publicó un parche antes de su primer uso con WannaCry en mayo de 2017.

Los criptomineros son unos usuarios entusiastas de EternalBlue, utilizándolo para moverse lateralmente entre redes para infectar al mayor número posible de máquinas.

Los atacantes que combinan estas innovaciones (herramientas LoL de Windows, ataques macro, nuevos exploits y criptominería) representan un reto porque a menudo confunden las suposiciones de los defensores.

Irónicamente estos enfoques más complejos se deben al éxito de la industria de la ciberseguridad en detectar el malware tradicional. Joe Levy, CTO de Sophos, concluye: »Esperamos que al final queden menos adversarios pero más fuertes».

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Vector ITC Group alerta de las infecciones mediante BadUSB
IoT
560 visualizaciones
IoT
560 visualizaciones

Vector ITC Group alerta de las infecciones mediante BadUSB

Redacción - 13 septiembre, 2017

Nuestro país ha hecho frente a más de 4.000 incidentes  "similares a WannaCry" en los dos últimos años, según indica Vector…

»Estamos hablando de que el usuario pueda comprar con su pulgar de una forma segura»
Entrevistas
17 compartido2,458 visualizaciones
Entrevistas
17 compartido2,458 visualizaciones

»Estamos hablando de que el usuario pueda comprar con su pulgar de una forma segura»

Vicente Ramírez - 20 noviembre, 2018

Masaltos es uno de los primeros e-commerce de España que ofrecen zapatos con alzas para hombres que podrá aumentar su estatura…

“La restricción del acceso al dato, la auditoría y la alerta ante un acceso no autorizado es fundamental para nosotros”
Entrevistas
19 compartido2,544 visualizaciones
Entrevistas
19 compartido2,544 visualizaciones

“La restricción del acceso al dato, la auditoría y la alerta ante un acceso no autorizado es fundamental para nosotros”

Mónica Gallego - 24 julio, 2019

Sanitas es una compañía aseguradora y proveedora de servicios de salud y bienestar de origen español, perteneciente en la actualidad…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.