Ataques Dirigidos – APT’s – Códigos Maliciosos.

Una amenaza persistente avanzada es un conjunto de procesos informáticos con un fin específico, su objetivo es perpetuar los sistemas informáticos y generar persistencia ocultando sus actividades por largos periodos de tiempo, posterior a la infección se escalan privilegios en el sistema de manera total, y continua con el proceso de exfiltración toda clase de información posible.

Utilizan técnicas complejas, silenciosas y estructuradas, previamente se desarrolla ardua inteligencia sobre el objetivo y la infraestructura en cuestión. Estos modelos de ataques suelen ser, dirigidos, críticos y generalmente las empresas que son víctimas, no lo detectan hasta que se hace público, aveces por parte de los atacantes. En otras ocasiones la propia entidad notifica una vez mitigado el mismo, habiendo hecho el análisis “post mortem” del incidente, de esa forma se podría analizar los sucesos y entender como se generó dicho ataque.

Tengamos presente que llamamos “información de interés“, a un “todo” como un gran paquete de información, dado que una vez dentro dentro del sistema, ese paquete se comercializa en el mercado negro y gran parte del mismo remite ganancias:

Información de empleados, clientes externos, datos financieros, cuentas de correo electrónicos, datos de la infraestructura, backdoors para posteriores ingresos, herramientas corporativas, licencias de productos MS, documentación privada de altos mandos y documentación de propiedad intelectual.

Todo vale, incluso para posteriores ataques a terceros o involucrados con la empresa atacada (clientes expuestos). Se pueden notar campañas de phishing posteriores a estos grandes ataques.

Sabemos que estos grupos actúan de forma profesional, por lo que también el código y las metodologías de ataque lo son, utilizan técnicas complejas y avanzadas, he ahí una de las razones por las cuales lleva tiempo ser detectados.

Las metodologías de infección van desde:

Exploits 0days.

Phishing.

Vulnerabilidades del tipo WebDav (MS15-089).

Infecciones de unidades USB(BadUSB).

Fuerza bruta de password por defecto en sistemas críticos SCADA (Stunex)

Inyecciones de código malicioso en documentos ofimáticos.

Vulnerabilidades en Navegadores (CVE-2010-0249 y KB939752 IE 7,8 ejemplo)

Drive by Download (JS/Exploit.CVE-2010-0249 y variantes Win32/AutoRun.Delf Win32/Agent.OBZ,)

Las posteriores acciones:

Ofuscan y cifran las comunicaciones con sus CC’s (command control)

Ejecuciones de código mediante librerías nativas del sistema operativo, por lo que los antivirus no pueden detectar movimientos anómalos. (script de powershell)

Cifrado de disco en donde ejecutan sus acciones maliciosas, borrando huellas en el sistema volviéndolo al estado anterior.

Reutilizan o copian el código de distintas muestras o examples, así ocultan su verdadero origen, lo que hace pensar que pueden ser llevados a cabo por los mismos grupos. (o no).

Inician sus acciones en horarios nocturnos, o bien en horas de alto trafico. Pasan desapercibidos por el alto volumen de datos que existe en la red.

Firman sus certificados a nombre de entidades de confianza.

Interacciones vía P2P (en caso de que la comunicación con su CC se anule).

Modifican extensiones y se ejecutan en procesos ocultos del sistema de manera silenciosa.

Vectores:

Java,MS Office, Adobe Reader, IE/Chrome. Recientemente el objetivo fue CClenaner, e inclusive se utilizan repositorios de PlayStore y AppStore para diseminar el malware.

Black Swans relevantes

Operación Aurora (Comele o Hydraq) https://www.welivesecurity.com/la-es/2010/01/21/que-es-operacion-aurora/

Stuxnet https://es.wikipedia.org/wiki/Stuxnet

Duqu https://en.wikipedia.org/wiki/Duqu

Flame, Gauss, miniFlame, Shamoon https://es.wikipedia.org/wiki/Flame_(malware)

Starts https://es.wikipedia.org/wiki/Stars_(virus_inform%C3%A1tico)

USB Thief https://es.wikipedia.org/wiki/USB_Thief

Conclusiones y Recomendaciones :

Podríamos afirmar que estos ataques por sus facilidades de ejecución, son bastante efectivos a la hora de infectar usuarios y equipos, son de garantía para los atacantes y el éxito del mismo. El hecho de abrir un link infectado o ingresar vía un navegador vulnerable es lo que preocupa, ya que existe la “mínima” interacción con el usuario.

Las empresas y sus vulnerabilidades criticas generan un clima ideal para que estas propagaciones en masa sean efectivas, por otro lado logran un gran volumen de infecciones en muy poco tiempo.

Como usuarios responsables que somos, debemos atender los parches y actualizaciones de nuestras aplicaciones y sistema operativo, ninguna aplicación esta excluida. La negligencia de las personas a la hora de asegurar los sistemas, ayudan al éxito de este método.

Por ultimo existe otro escenario para las grandes corporaciones a la hora de aplicar parches y actualizaciones. Las empresas que prestan servicios deben analizar su proceso de implementación. Se debe llevar a un nivel de “stress” tal, que les “garantice efectividad y seguridad.” Aplicar tales cambios.

Hay un largo camino y mucho trabajo por delante. Todos podemos aportar. Gracias por su visita.

Fuentes y recomendaciones a leer:

https://www.wired.com/story/iran-hackers-apt33

https://www.cronista.com/financialtimes/Hackers-rusos-apuntan-al-candidato-frances-Macron-20170426-0027.html

https://www.welivesecurity.com/wpcontent/uploads/2015/11/Guia_respuesta_infeccion_malware_ESET.pdf

https://www.welivesecurity.com/la-es/2017/09/01/phishing-credenciales-de-mastercard/

https://es.wikipedia.org/wiki/Guerra_inform%C3%A1tica

https://www.welivesecurity.com/la-es/2017/09/21/falso-documento-de-afip-vulnerabilidad/

https://www.securityartwork.es/2017/01/13/la-cci-rusa-ix-grupos-apt/

http://blog.segu-info.com.ar/2017/05/snaketurlauroburos-apt-dirigida-osx.html

https://www.wired.com/story/iran-hackers-apt33

http://www.pandasecurity.com/spain/mediacenter/pandalabs/webinar-ataques-dirigidos/ (incluye videos)

 

Autor: malwargsecurity

malwargsecurity un proyecto personal, sin fines de lucro y para la comunidad.

4 comentarios en “Ataques Dirigidos – APT’s – Códigos Maliciosos.”

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s