Ataques sin malware provocan una gran fuga de información

08/12/2017

Credenciales robadas, exploits de herramientas de línea de comandos son utilizadas en 66% de los ataques.

A pesar del aumento de los ataques masivos de cripto ransomware, surgió un problema aún más preocupante en los datos recopilados por la firma de seguridad CrowdStrike en el año pasado y publicados en el “Libro de casos de Servicios de intrusión” de 2017 de la compañía. La mayoría de los ataques a los que la compañía dio respuesta no aprovecharon el malware basado en archivos, sino que explotaron una combinación del software nativo de los sistemas de las víctimas, malware de solo memoria y credenciales robadas para ganar acceso y persistencia en las redes objetivo. El ataque promedio persistió 86 días antes de ser detectado.

“Encontramos que 66% de los ataques que hemos investigado no tenían archivos o estaban libres de malware”, dice Bryan York, director de servicios de CrowdTStrike, en una entrevista con Ars. “Estos ataques han aprovechado alguna especie de credenciales comprometidas o algún tipo de malware que se ejecuta solo en la memoria.”

Algunos de estos ataques utilizan malware que fue implementado en la memoria de un sistema objetivo para explotar una vulnerabilidad de software en un sistema accesible desde Internet, como un punto de partida, o tenían una mala configuración en el sistema web para obtener acceso (y en algunos casos aprovechaban características de Windows como PowerShell o Windows Management  Instrumentation VMI) para establecer una puerta trasera persistente y extenderse lateralmente a través de las redes objetivo sin dejar una huella de malware detectable por un escaneo tradicional de antivirus. “Obviamente, es bastante difícil protegerse contra malware de solo memoria”, dice York.

Algunos de estos ataques han difuminado la diferencia entre actividad criminal y ataques de actores estatales, en gran medida, dijo York, debido a que la comunidad criminal de atacantes conoce las tácticas utilizadas por los actores estatales gracias a factores como la filtración por Shadowbrokers de herramientas de la NSA. Obviamente este problema se extiende a los ataques basados en malware, como lo demostrado por los ataques de ransomware este año que usaron métodos de autopropagación basados en herramientas filtradas por Shadowbrokers.

En algunos casos, el malware solo se usaba como un “gotero” para introducir malware de solo memoria. En un incidente reportado por CrowdStrike, un correo malicioso con un archivo adjunto ejecutaba un script de PowerShell que creaba una simple puerta trasera persistente. Después los comandos de PowerShell fueron usados “para extraer un Metasploit implantable de solo memoria”, escribieron investigadores de CrowdStrike en el libro de casos reportados de 2017. “Rastreando hacia atrás”, se hizo evidente que este código auxiliar de PowerShell había sido enviado a todos los sistemas del punto de venta (POS) en la red del cliente de más de 14,000 sistemas y 160 controladores. La revisión adicional del implante reveló que era malware de “raspado de Ram".

Otros ataques “libres de malware” no necesitaron ese nivel de sofisticación técnica; explotaban herramientas de acceso remoto, como servidores de Protocolo de Escritorio Remoto (RDP) o conexiones a redes privadas virtuales para obtener acceso a las redes de las víctimas;  o atacaban portales de correo web accesibles desde el exterior o aplicaciones en la nube. A menudo usando credenciales robadas a través de phishing, phishing dirigido u otros métodos de ingeniería social.

 “Una de las cosas que vi este año fue un aumento, en cuestiones de fraude electrónico, en el aprovechamiento de las credenciales comprometidas para iniciar sesión en los sistemas Office 365 y Outlook Web Access”, menciona York. “Constantemente comienzan con una especie de ejercicio de phishing donde roban las credenciales de alguien. Esa es una enorme tendencia en el fraude electrónico, la semana pasada, un cliente perdió tres millones de dólares en una serie de tres transacciones de ese tipo de ataque”.

En los más de 100 casos que CrowdStrike investigó este año, los investigadores de la compañía encontraron que los atacantes tenían un “tiempo de permanencia” promedio de 86 días (tiempo entre el comprometimiento de la red y su detección). “Esa es una tendencia a la baja”, señaló York. “El año pasado tuvimos casos que duraron alrededor de cientos de días antes de la detección”.

La disminución en el tiempo de permanencia es una indicativa de los resultados de mejores inversiones internas en tecnología y personal dedicado a monitorear la actividad maliciosa, por parte de las compañías. Esto también es reflejado en el porcentaje de los ataques que fueron detectados por las propias organizaciones objetivos, 68%, 11% más que las cifras registradas por CrowdStrike el año pasado. Pero todavía hay casos en los que los atacantes han estado dentro de las redes durante muchos meses (o incluso años) antes de que el comprometimiento fuera detectado, y aún existe un porcentaje significativo de ataques que son descubiertos mediante la notificación de un tercero, un cliente, un banco, una empresa de procedimiento de pagos o una aplicación de la ley.

Artículos relacionados: