Técnicas cibercriminales en 2019

30 noviembre, 2018
15 Compartido 2,816 Visualizaciones

Los cibercriminales están teniendo éxito en evadir la detección en ordenadores Windows abusando de herramientas de administración legítimas que se encuentran frecuentemente en ese sistema operativo.

Este es uno de los puntos fundamentales del Informe de Amenazas SophosLabs 2019, que explica cómo esta técnica pasó de ser poco utilizada a una de las más populares en el arsenal de los ciberdelincuentes.

Conocida en el argot de la ciberseguridad como “living off the Land” o “LoL”, ya que evita el tener que descargar otras herramientas, su objetivo favorito es PowerShell, un potente shell de línea de comandos que está incorporado por defecto en todos los ordenadores Windows recientes, aunque pocos lo hayan utilizado o lo conozcan.

Otras alternativas incluyen Windows Scripting Host (WScript.exe), Windows Management Instrumentation Command (WMIC), así como diversas herramientas populares externas como PsExec y WinSCP.

Es una estrategia simple que complica mucho su detección. Eliminar las herramientas es una opción pero pocos administradores estarían contentos con esto, tal y como se indica en el informe:

PoweShell también es un componente integral de las herramientas que ayudan a los administradores a gestionar redes de todos los tamaños, y por lo tanto debe estar presente y activado para que los administradores puedan realizar acciones como, por ejemplo, implementar cambios en las directivas de grupos.

Los atacantes, por supuesto, lo saben y a menudo tejen una osada red de scripts e interfaces de comando, cada uno ejecutado en un proceso distinto de Windows.

Según SophosLabs, los atacantes pueden comenzar como un JavaScript adjunto malicioso, que ejecute wscript.exe, antes de descargar finalmente un script a medida de PowerShell. La defensa se encuentra ante un reto: »Con un rango amplio de tipos de ficheros que incluyen varios scripts en texto simple, encadenados sin un orden en particular y sin ningún tipo de previsibilidad, el reto consiste en como separar las operaciones normales de un ordenador del comportamiento anómalo anterior a una infección de malware».

Ataques macro 2.0

Mientras tanto, los atacantes no muestran signos de dejar de probar nuevas variantes de ataques macro para Microsoft Office, otra forma de amenaza que no necesita descargar nada.

En los últimos años, protecciones como desactivar marcos en documentos o usar el modo de vista previa, habían mermado esta técnica.

Desafortunadamente, los atacantes han desarrollado nuevas formas para persuadir a la gente de deshabilitar estas usando las herramientas de creación de macros que se encuentran en Office, Flash y otros exploits empleando documentos que utilizan sofisticadas técnicas de ingeniería social.

Para empeorar las cosas, los cibercriminales han actualizado su obsoleta base de vulnerabilidades con nuevas más peligrosas. Los análisis de SophosLabs muestran que solo el 3% de los documentos maliciosos detectados incluyen exploits anteriores a 2017.

Al estar los tipos de ficheros habituales bien monitoreados por las herramientas de seguridad, la tendencia es usar tipos de ficheros más exóticos para realizar ataques, especialmente los que parecen inocuos como el del shell de Windows .cmd (archivo de comando), .cpl (panel de control), .HTA (Windows Script Host), .LNK (Atajo de Windows) y .PIF (fichero de información del programa).

Movimiento lateral

El exploit EternalBlue (CVE–2017-0144) sorprendentemente se ha convertido en una popular base para los creadores de malware, pese a que Microsoft publicó un parche antes de su primer uso con WannaCry en mayo de 2017.

Los criptomineros son unos usuarios entusiastas de EternalBlue, utilizándolo para moverse lateralmente entre redes para infectar al mayor número posible de máquinas.

Los atacantes que combinan estas innovaciones (herramientas LoL de Windows, ataques macro, nuevos exploits y criptominería) representan un reto porque a menudo confunden las suposiciones de los defensores.

Irónicamente estos enfoques más complejos se deben al éxito de la industria de la ciberseguridad en detectar el malware tradicional. Joe Levy, CTO de Sophos, concluye: »Esperamos que al final queden menos adversarios pero más fuertes».

Te podría interesar

Los antivirus serán como ‘Neo’, el protagonista de Matrix según Panda Security
Actualidad
12 compartido2,030 visualizaciones
Actualidad
12 compartido2,030 visualizaciones

Los antivirus serán como ‘Neo’, el protagonista de Matrix según Panda Security

Vicente Ramírez - 4 junio, 2018

Según publica Panda Security, las máquinas llegarán a ser más inteligentes que las personas muy pronto, cuando sepan sacar conclusiones de…

Un nuevo informe destaca el aumento de los ataques sin malware por correo
Actualidad
461 visualizaciones
Actualidad
461 visualizaciones

Un nuevo informe destaca el aumento de los ataques sin malware por correo

Vicente Ramírez - 18 septiembre, 2018

La investigación de FireEye revela que dos tercios del tráfico de email no estaba “limpio” durante el primer semestre de…

OnePlus será la primera compañía en lanzar un smartphone comercial 5G en Europa
Actualidad
16 compartido866 visualizaciones
Actualidad
16 compartido866 visualizaciones

OnePlus será la primera compañía en lanzar un smartphone comercial 5G en Europa

Vicente Ramírez - 12 diciembre, 2018

El nuevo terminal contará con Qualcomm Snapdragon 855 e inicialmente estará disponible en el Reino Unido con el operador móvil…

Deje un comentario

Su email no será publicado