El cofre de herramientas de un atacante: Vivir de la tierra

Si se ha mantenido al día con el mundo de la seguridad de la información, ciertamente ha escuchado que los recientes ataques de ransomware y otras amenazas persistentes avanzadas a veces utilizan un tipo especial de herramientas. Pero en su mayor parte, las herramientas le resultarán muy familiares.

Las herramientas utilizadas por un atacante están mostrando lo que puede hacer un determinado grupo de ciberdelincuentes con mucha paciencia y habilidades. La pregunta que mucha gente siempre me hace es qué tipo de herramientas se han utilizado en qué tipo de ataque.

MITRE ATT&CK

Para darle una buena visión general de las herramientas que se utilizan, también le presento el marco MITRE ATT&CK, ya que la mayoría de las técnicas utilizadas por las herramientas nombradas aquí se pueden encontrar allí.

MITRE ATT&CK son las siglas de MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK). El marco MITRE ATT&CK es una base de conocimiento y un modelo para el comportamiento del adversario cibernético, que refleja las diversas fases del ciclo de vida del ataque de un adversario y las plataformas a las que se sabe que se dirigen. La abstracción de tácticas y técnicas en el modelo proporciona una taxonomía común de acciones adversarias individuales entendidas por los lados ofensivos y defensivos de la ciberseguridad. También proporciona un nivel apropiado de categorización para la acción adversaria y formas específicas de defenderse contra ella.

MITRE ATT&CK fue creado en 2013. La pregunta clave para los investigadores fue «¿Qué tan bien estamos haciendo en la detección del comportamiento adversario documentado?» Para responder a esa pregunta, los investigadores desarrollaron ATT&CK, que se utilizó como una herramienta para categorizar el comportamiento del adversario.

Parte de los mecanismos y algunas de las utilidades que se describen a continuación se pueden encontrar fácilmente dentro del marco MITRE ATT&CK.

Hacking Ético: Softwares Especializados en Gestión de Vulnerabilidades

Las herramientas de los ciberdelincuentes

a) Las opciones obvias

Si profundizas en los forenses detrás de varios ataques cibernéticos, de repente se te ocurrirá un montón de herramientas de piratería típicas que son utilizadas tanto por hackers legítimos como por ciberdelincuentes. La mayoría utiliza algunas herramientas de código abierto y de terceros para realizar sus ataques. Enumeré varios de ellos a continuación:

Escáner IP avanzado

Sabueso

Huelga de cobalto

Control del defensor

Impacket

LaZagne

Mimikatz

Herramientas de recuperación de contraseña de NirSoft

ProcDump

PsExec

Imperio PowerShell

PowerSploit

Cómo es la consola avanzada Windows PowerShell

Estas herramientas están siendo ampliamente utilizadas por los ciberdelincuentes, los hackers legítimos, pero también, por supuesto, por los administradores de red normales. Por cierto, esta lista no está completa, solo le brinda una visión general interesante de lo que se está utilizando.

Los verdaderos

Sin embargo, si profundiza en el mundo de los piratas informáticos y los ciberdelincuentes, verá principalmente que están utilizando lo que está ampliamente disponible en la red de MS Windows. Como la mayoría de las herramientas están disponibles y son utilizadas por administradores o scripts dentro de la empresa, también explica por qué los ataques basados en esto son más difíciles de detectar. Varios MS Windows uUtilities están siendo utilizados ampliamente por los atacantes. Lo bueno es que incluso si los atacantes más sofisticados todavía usan este tipo de técnicas y utilidades, siempre habrá esperanza de atraparlos.

La mayoría de las herramientas que se utilizan son comunes y son herramientas que la mayoría de los administradores de TI están utilizando en sus propias redes. Pero, ¿no es eso una buena señal? ¿No podríamos evitar ejecutar estas herramientas en nuestras redes? Esto no es necesariamente una buena noticia, por razones en las que entraremos.

Echemos un vistazo más profundo a varias de estas utilidades y permítanme explicar en pocas palabras cómo se usan. Las utilidades estándar de MS Windows son en realidad una de las herramientas más utilizadas por el malware y los actores de amenazas, desde el descubrimiento y el movimiento lateral hasta la persistencia y mucho más.

 Utilidades de Windows

(solo una descripción general en orden aleatorio: la mayoría de las descripciones provienen de la documentación técnica de Microsoft)

Schtasks (schtasks.exe)

Permite a un administrador crear, eliminar, consultar, cambiar, ejecutar y finalizar tareas programadas en un equipo local o remoto.

Utilizado por malware y ciberdelincuentes como mecanismo de persistencia en su red.

Nltest (nltest.exe)

Prueba de ubicación de red: enumere los controladores de dominio, fuerce un apagado remoto, consulte el estado de confianza, pruebe las relaciones de confianza y el estado de la replicación del controlador de dominio.

Esta herramienta es utilizada a menudo por los delincuentes para enumerar la confianza de Active Directory.

Wmic (wmic.exe)

La utilidad de línea de comandos WMI proporciona una interfaz de línea de comandos para Instrumental de administración de Windows (WMI)

Los atacantes pueden matar procesos, buscar procesos, eliminar instantáneas, ejecutar procesos localmente o de forma remota, etc.

Sc (sc.exe)

Se comunica con Service Controller y los servicios instalados

Se utiliza para deshabilitar, crear, eliminar o detener servicios.

BCDEdit (bcdedit.exe)

BCDEdit es una herramienta de línea de comandos para administrar almacenes de datos de configuración de arranque

Utilizado por ransomware para deshabilitar las funciones de recuperación.

Ping (ping.exe)

Comprueba la conectividad de nivel IP a otro equipo TCP/IP mediante el envío de mensajes de solicitud de eco del Protocolo de mensajes de control de Internet (ICMP).

El comando ping se utiliza a menudo para ver si las máquinas están en funcionamiento.

Neto (net.exe)

El componente Net.exe Utility es una herramienta de línea de comandos que controla usuarios, grupos, servicios y conexiones de red.

Esta utilidad se puede utilizar para ver recursos compartidos, crear usuarios y grupos, descubrimiento, ver políticas de contraseñas… etc.

Mshta (mshta.exe)

Mshta.exe es una utilidad que ejecuta archivos de aplicaciones HTML de Microsoft (HTA).

A menudo se ve en las primeras etapas de la infección de un ejecutable de oficina, pero también se puede ver como una técnica para evitar una lista blanca o control de aplicaciones.

Rundll32 (rundll32.exe)

Este ejecutable se utiliza para cargar y ejecutar bibliotecas de vínculos dinámicos.

Esta herramienta se puede utilizar para ejecutar DLL maliciosas, JavaScript o incluso ejecutar DLL de forma remota desde un recurso compartido.

Systeminfo (systeminfo.exe)

Muestra información de configuración detallada sobre un equipo y su sistema operativo, incluida la configuración del sistema operativo, la información de seguridad, el identificador del producto y las propiedades de hardware.

Utilizado por malware y atacantes para el descubrimiento.

Attrib (attrib.exe)

Muestra, establece o quita atributos asignados a archivos o directorios.

Utilizado por malware para ocultar un archivo o una carpeta.

Reg (reg.exe)

Reg es una utilidad de Windows utilizada para interactuar con el Registro de Windows. Se puede usar en la interfaz de línea de comandos para consultar, agregar, modificar y eliminar información.

Utilizado por los atacantes para permanecer en el sistema mediante la adición o modificación de claves o como un mecanismo de consulta para comprobar si ciertas configuraciones o software están instalados y como herramienta para volcar credenciales.

Taskkill (taskkill.exe)

Finaliza una o más tareas o procesos. Los procesos se pueden finalizar por ID de proceso o nombre de imagen

Esta utilidad es a menudo utilizada por malware o atacantes para asegurarse de que otros programas, como el software de copia de seguridad o el software de seguridad, no interfieran con su trabajo.

ICacls (icacls.exe)

Muestra o modifica listas de control de acceso discrecional (DACL) en archivos especificados y aplica DACL almacenadas a archivos en directorios especificados.

Utilizado por malware y ransomware para cambiar y modificar directorios y permisos de archivos mediante la concesión de permisos completos en archivos y carpetas en el caso de ransomware, que generalmente es uno de los últimos pasos antes de iniciar el módulo de cifrado.

Vssadmin (vssadmin.exe)

Muestra las copias de seguridad de instantáneas de volumen actuales y todos los creadores y proveedores de instantáneas instalados

Esto es a menudo utilizado por el ransomware para eliminar instantáneas de disco de una computadora para evitar cualquier opción de restauración.

Y una de las herramientas más populares es PowerShell.exe que es el nombre del popular intérprete de lenguaje de programación y scripting. Esta herramienta de scripting de Microsoft que se puede usar para ejecutar comandos para descargar cargas útiles, atravesar redes comprometidas y realizar reconocimientos. Cada vez es más fácil para los atacantes aprovechar PowerShell en sus ataques con la disponibilidad de marcos de explotación basados en PowerShell, como PowerSploit y PowerShell Empire, que son fáciles de usar y reducen la barrera de entrada para usar PowerShell en ataques y hay muchas más MS Tools (WscriptRegsvr32, etc…) que ni siquiera he investigado aquí, ya que esta lista ya se está volviendo demasiado extensa.

Técnicas de vivir de la tierra

En el mundo físico, «vivir de la tierra» simplemente significa sobrevivir solo utilizando los recursos que puedes cosechar de la tierra «natural». Puede haber múltiples razones para hacer esto: por ejemplo, quieres volverte «invisible» o tal vez tienes algo o alguien de quien esconderte o simplemente te gusta el desafío de ser autosuficiente. En el mundo de TI, «vivir de la tierra» se refiere al comportamiento del atacante que utiliza herramientas que ya existen en el entorno objetivo.

Los atacantes que utilizan herramientas ya existentes evitan la necesidad de crear y probar las nuevas herramientas. No tienen que preocuparse por la compatibilidad o las dependencias. También es más barato y más rápido usar lo que ya está allí. Tampoco es tan fácil crear programas que sean lo suficientemente sigilosos como para evitar la detección, por ejemplo. Por extraño que parezca, desarrollar malware que sea lo suficientemente sigiloso es casi una forma de arte que es difícil de dominar. Desde el punto de vista de un atacante, el uso de herramientas existentes hace que el trabajo del defensor sea definitivamente más difícil. Debido a que el atacante utiliza herramientas que ya están presentes en la red, cualquier actividad maliciosa rara vez se destaca de las actividades regulares.

Detener los ataques

Esta visión general muestra claramente que la mayoría de las amenazas provienen de herramientas que se utilizan ampliamente en las redes con fines de administración. Se recomienda el monitoreo diario de la red y debe ser parte de su política de seguridad cibernética. También hay posibilidades de incluir en la lista negra herramientas específicas para que no se ejecuten. Esto podría detener varios ataques muy fácilmente. Sin embargo, elegir el uso malicioso de las herramientas integradas frente al uso autorizado de las herramientas por parte del administrador del sistema puede ser similar a buscar una aguja en un pajar, excepto que el pajar es realmente un montón de agujas. Otra posibilidad es crear algunas reglas para detener el uso de una técnica específica y basar el comportamiento de los usuarios en ella para que los usuarios promedio de la red no se vean obstaculizados en su trabajo diario. Otra muy buena técnica de prevención de bloqueo de amenazas es vigilar la interacción de las claves del registro, ya que una gran cantidad de malware y atacantes están haciendo un mal uso del registro de muchas maneras. No siempre es fácil encontrar un proceso legítimo que ejecute código malicioso en su red. Al menos con la ayuda del marco MITRE ATT&CK (ver arriba) puede tener una buena visión general de lo que puede salir mal en su red.

Sin embargo, la mejor prevención es detener la amenaza antes de que llegue a su red, ya que el atacante tendrá que engañar al usuario para que ejecute algo o haga clic en los enlaces incorrectos, excepto en el caso de que se trate de una vulnerabilidad. La buena noticia es que la mayoría de las amenazas se pueden detener desde el principio mediante una buena implementación de Cyber Security Awareness Trainings, Endpoint Security Protection y una política rápida de administración de parches. El comienzo de cualquier buena estrategia de seguridad es establecer una línea de base. Esto le ayudará a crear criterios para los patrones de actividad que son normales en comparación con aquellos que pueden indicar juego sucio. Sin esa línea de base, es muy difícil o incluso imposible detectar actividades que justifiquen una mirada más cercana. Si se encuentra con alguna actividad sospechosa sin una línea de base, es muy probable que esto sea el resultado de una buena investigación.
Y si hay algo en lo que definitivamente no quieres tener que confiar para la seguridad en tus redes, entonces es la suerte.

Enlace: Vivir de la tierra | G DATOS (gdatasoftware.com) Blog de GDATA Eddy Willems