Tecnología Info Tecnología

La ciberseguridad es una solución a todo tipo de ciberataques ofensivos, problemas de protección, etc.

Ampliación de funciones del DAIM/MIAD para la defensa y protección contra todo tipo de ciberataques ofensivos

Javier Areitio Bertolín, director del Grupo de Investigación Redes y Sistemas, Universidad de Deusto

14/03/2022
En este artículo se presenta la evolución del DAIM (Defensive Advanced Intelligent Malware) / MIAD (Malware Inteligente Avanzado Defensivo) en base a la ampliación de funciones para la defensa y protección (con autonomía) contra todo tipo de ciberataques ofensivos procedentes de cualquier clase de entidad ofensiva (no sólo proveniente del malware ofensivo, sino también de ciberatacantes en general, personas, robots con IA, avatares, etc.). Se examinan los puntos de fisura de los activos que utilizan las entidades ofensivas para ciberatacar. Se exploran los exploits facilitadores de la progresión de los ciberataques. Y, por último, se expone el bloqueo de todo tipo de intentos de realizar acciones maliciosas por parte de los ciberataques ofensivos en general (no sólo los del malware ofensivo).

La ciberseguridad no es un problema, ni una pesadilla, ni una calamidad, sino todo lo contrario, una solución a todo tipo de ciberataques ofensivos, problemas de protección, etc. La ciberseguridad es un área de la ciencia, tecnología e ingeniería que diseña, sintetiza, construye, aplica y gestiona defensas y protecciones a favor de ‘todo’ (activos: personas, animales, medio ambiente, plataformas de nube (cloud, fog, edge-computing donde se observa un uso creciente para alojar infraestructuras maliciosas/malware), naturaleza, Web, infraestructuras, 5G, servicios, organizaciones, Internet, sostenibilidad, APPs, transportes, software, redes, seguridad vial (por ejemplo, impidiendo que se muestren en los paneles de información mensajes falsos que pueden crear accidentes, caravanas, caos, etc., impedir que se controlen los semáforos de forma anárquica, impedir que se pervierta el servicio e-call, impedir que se ciberataquen las plataformas de gestión de tráfico, de multas, etc., como Tramo, Testra, Centro Estrada, etc.), industria, sanidad, finanzas, IT, OT, etc.). Un ejemplo de realización en ciberseguridad, es el DAIM/MIAD diseñado para defender y proteger (con autonomía) contra todo tipo de ciberataques ofensivos.

Imagen

La ciberseguridad está preparada para proteger y defender actuando en todas las posibles dimensiones y frentes: tierra (personas, vehículos CAV, robots, tanques, etc.), mar (personas, barcos, submarinos, portaviones, fragatas, drones submarinos, torpedos, etc.), aire (personas, aviones, drones aéreos, helicópteros, misiles, etc.), espacio (personas, satélites, estaciones espaciales como ISS (International Space Station), sondas espaciales, etc.) y ciberespacio (está presente y embebido en los cuatro frentes anteriores ya que hoy en día la cibernética lo envuelve todo).

La ciberseguridad permite proteger hardware, firmware, software, datos, inteligencia, empresas, industrias, infraestructuras, personas, comunicaciones por IM, RRSS, video-conferencia, chat, correo electrónico, smart-TV, foros, vehículos (evitando la toma de control remota que impide nuestra conducción y el vehículo se acelera, frena, bloquea su dirección en una curva, se activan los airbags sin colisión, se abren y cierran las puertas, se arranca y para sin llave, se cierran las ventanillas y se pone la calefacción al máximo, se roban los datos del usuario, etc.), aviones, CPS, ICS, CRM, SCADA, ERP, BDs, Internet, Web 3.0 donde se encuentra un conjunto cada vez más interconectado de metaversos inmersivos (o universos de realidad virtual interaccionables con el usuario con gafas de RV, auriculares detectores de movimiento de dedos, brazos y piernas e interaccionable con nuestro mundo físico analógico-digital) donde la persona se sustituye o representa utilizando avatares para todo tipo de actividades ocio, trabajos, investigaciones, arte, etc.

En un metaverso se utilizan criptomonedas/criptodivisas (como monero, stellar, ethereum, bitcoin, litecoin, etc.), contratos inteligentes y NFTs (Non Fungible Tokens) que son activos no tangibles como ficheros de música, voz, fotos, arte, videos, etc., originales bajo ‘block-chain’, pero cuidado, la mayor parte de las implementaciones de ‘block-chain’ están llenas de vulnerabilidades explotables. La distribución de vulnerabilidades software en ‘blockchain’ es muy extensa con muy diversos puntos sensibles, como, por ejemplo: ‘verificación de entradas y salidas’ observando buffer-overflows, CSS, ciberataques de inyección, deficiente gestión de memoria, etc.; ‘calidad del código’ monitorizando null pointer dereference, problemas con APIs, variables locales no utilizadas, etc.; ‘características de seguridad’ observando números aleatorios no seguros, override access, etc.; visualizando infinidad de vulnerabilidades CVE como CVE-2018-12959 con ‘call abuse’, etc.).

Además, ‘block-chain’ es una cadena descentralizada que es confiable sólo mientras el sistema se encuentre en mayor número de nodos y en manos diferentes. Si alguna entidad ofensiva (malware, etc.) con suficientes recursos fuera capaz de controlar muchos de esos nodos de computación hasta el punto de ser capaz de inyectar modificaciones y registros fraudulentos dejaría de ser confiable. Algo parecido sucedió con la red descentralizada de anonimato TOR que para des-anonimizar conexiones se optó por utilizar técnicas basadas en controlar un porcentaje significativo de la red de manera directa o indirecta.

Puntos de fisura utilizados para ciberatacar: vulnerabilidades

Una vulnerabilidad (correlacionable con vector de ciberataque) es un fallo, error, bug, flaw, debilidad, deficiencia, incompetencia, lentitud, vagancia, confianza (se debe implementar tecnología de confianza cero o ZT), fisura, etc., existente en cualquier activo o entidad: firmware, hardware, software, personas, organizaciones, datos, APPs, APIs, sistemas, protocolos, estrategias de seguridad vial, reglas, infraestructuras, vehículos conectados/autónomos, satélites, etc., que facilitan a las entidades ofensivas (por ejemplo, a los ciberatacantes, personas, malware ofensivo, robots con IA, etc.) posibilitar la entrada, progresar, infectar, subsistir y ciberatacar.

Una superficie de ciberataque es un área de debilidades-vulnerabilidades de una organización-corporación que posibilitan ciberataques. Existen muchos tipos de vulnerabilidades: de implementación, de diseño, de configuración, de operación, de algoritmos defectuosos, de gestión deficiente de claves criptográficas/contraseñas, de gestión defectuosa de memoria (buffer stack/head), vulnerabilidades locales (como argumentos de línea de comando, variables de entorno, leer datos de un fichero, leer datos de pipes o memoria compartida, etc.), vulnerabilidades remotas (como leer datos de un socket), etc.

Hay vulnerabilidades: que vienen del lado del cliente, del lado del servidor, del lado del software/firmware/hardware, del lado de la aplicación/APP-API, pero a veces otras arrancan en la infraestructura empezando con todos los datos/activos que la persona/máquina expone a Internet (por ejemplo, compartiendo), de este modo se pueden revelar áreas débiles de tu organización, de tus servicios APPs y pueden ayudar a detectar servicios operativos, puertos abiertos, certificados SSL, subdominios y dominios asociados, etc.

Algunos vectores de ciberataque son: los ficheros, correos electrónicos, mensajería instantánea, SMSs, URLs, códigos QR maliciosos, links-botones-iconos-aspas en pop-ups, maliciosas, etc. Existen diversas bases de datos públicas y privadas de vulnerabilidades, algunos ejemplos son: CVE/Mitre, plataformas y bases de datos de recompensa por vulnerabilidades (como HackerOne, Epicbounties, etc.).

Imagen

Ejemplos concretos de vulnerabilidades son: CVE-2021-44228 (del 9-12-2021) es una vulnerabilidad RCE (Remote Code Execution) sin autenticarse que afecta al package Log4j (Java logging) (por ejemplo, encontrado en el Log4j logging framework de Apache implementado en muchas aplicaciones Java en servidores, appliances y clientes), lo utilizan muchas aplicaciones populares y servicios Web, permite al malware un control total del servidor afectado. La vulnerabilidad CVE-2022-0609 afecta al navegador Web Chrome de Google. La vulnerabilidad CVE-2021-26855 (o Proxy-Logon) es una vulnerabilidad en el software del servidor de correo electrónico Exchange Microsoft que permite a un malware no autenticado instalar ficheros en los servidores Exchange. La vulnerabilidad CVE-2021-33739 posibilita la elevación de privilegios de la biblioteca principal de Microsoft DWM. La vulnerabilidad CVE-2021-31955 posibilita la divulgación de información del kernel de Windows. La vulnerabilidad CVE-2021-33742 posibilita la ejecución remota de código de la plataforma Windows MSHTML. La vulnerabilidad CVE-2020-0787 especifica que el servicio Windows BITS (Background Intelligent Transfer Service) es vulnerable a la vulnerabilidad de elevación de privilegios si maneja impropiamente links simbólicos.

Un malware puede explotar esta vulnerabilidad para ejecutar código arbitrario con privilegios de nivel de sistema. La vulnerabilidad CVE-2019-11510 en la empresa Pulse permite la lectura arbitraria de ficheros. La vulnerabilidad CVE-2017-11882 afecta al Microsoft Office y permite la RCE (Remote Code Execution). ‘Heartbleed 101 bug’ es una vulnerabilidad en la librería de software criptográfico OpenSSL que permite robar información protegida bajo condiciones normales a través del cifrado. La vulnerabilidad ‘ROCA’ (Return Of Coppersmith's Attack) causada por una implementación defectuosa del módulo-algoritmo de generación de clave en el algoritmo criptográfico RSA.

Algunas vulnerabilidades software son: stack overflow, heap overflow (char*buf=malloc(100); strcpy(buf, argv[1];), double free (free(buf); free(buf);), format string (printf(argv[1];), off-by-one (int vectors[100]; for (i=0; i<=100; i++) vector[i]=x;), etc., Así mismo: problemas de validación de entradas, buffer-overflow, integer overflows, CPU bugs, fallos a la hora de manejar adecuadamente errores y excepciones y vulnerabilidades vinculadas a errores de escalada de privilegos.

Otras vulnerabilidades software son: buffer-overflow de pila cmd.exe de Windows Microsoft (publicada 19-9-2021 en Exploitalert), el ‘envenenamiento del Schema’, control de acceso roto, XSS (Cross Site Scripting), cookie-tampering, ‘WSDL scanning’, secuestro de sesión, fuga de datos salientes, payload-recursiva, Inyección SQL y de comandos de sistema operativo, XSRF (Cross Site Request Forgery), inclusión de fichero remoto, ‘http request smuggling’, payload-oversized, ‘XML parameter tampering’, etc.

Las vulnerabilidades 0-day son vulnerabilidades que nadie conoce de su existencia o no se han publicado. Si un desarrollador no ha lanzado un parche para una vulnerabilidad 0-day antes de que un malware ofensivo explote dicha vulnerabilidad entonces el ciber-ataque se denomina ‘ciberataque malware 0-day’. La compañía HackerOne detecto un incremento de vulnerabilidades del 264% del 2020 al 2021. HackerOne y Epicbounties son plataformas que recompensan por hallar vulnerabilidades.

El ciberataque malware tipo DDoS volumétrico denominado ICARUS contra redes de satélites LSN (L (Low Earth Orbit) Satellite Networks) se basa en una botnet de dispositivos infectados su objetivo es congestionar los enlaces e interrumpir las comunicaciones entre usuarios y satélites (ejemplos de satélites LSN son SpaceXStarlink y Amazon Kuiper).

La utilización de ficheros adjuntos de correo electrónico es un método de propagación y progreso de malware ofensivo, se basa, por ejemplo, en utilizar ficheros VBScript+JScript ofuscados que descargan e instalan silenciosamente un ‘Java Runtime Environment’ completo si el dispositivo víctima no lo tiene. Recientemente el general que dirige la comandancia francesa del Espacio confirmó que el satélite KA-SAT había sufrido un ciberataque. Este satélite proporciona Internet a parte de Europa y afecta a numerosos aerogeneradores que quedaron sin control remoto sobre ellos.

Exploits facilitadores de los ciberataques ofensivos

Los ciberataques ofensivos en general y los del malware ofensivo en particular utilizan diversos exploits, es decir, métodos, técnicas, tácticas, prácticas, etc., para ciberatacar objetivos (sistemas, dispositivos, redes, etc.) con vulnerabilidades. Los objetivos de los exploits son muy diversos: sistemas operativos (kernel, driver, usuario, etc.), navegadores Web, aplicaciones (cliente-servidor, P2P, base de datos, correo electrónico, IM, Web, etc.), APPs/APIs, firmware, objetos IoT, componentes, redes, usuarios, etc. Algunos ejemplos de exploits son los siguientes:

(1) Exploits software. Un exploit software es un código, micro-aplicación o script creada para aprovecharse de las vulnerabilidades/bugs/flaws/vectores de ciberataque (conocidos y 0-day) de aplicaciones o servicios de terceras partes que puede conducir a que el software afectado se comporte de una forma no esperada o se vea infectado. Normalmente los exploits están relacionados con vulnerabilidades encontradas en escaners basadas en servidor y online. Las principales bases de datos de exploits son: (i) 0day (o Inj3ctOr). Compra y vende exploits (para vulnerabilidades locales, remotos, DoS/DDoS, PoC, Shellcode, etc.) de forma anónima. (ii) Rapid7. Ofrece exploits (módulos) y vulnerabilidades. Permite ejecutar exploits desde la consola de Metasploit. (iii) CXSecurity. Esta BD ofrece acceso directo a los últimos exploits desde un interfaz basado en Web. (iv) Vulnerability Lab. (v) Exploit DB. Pertenece a Offensive Security, es gratuita. (vi) SecurityFocus. Basada en Symantec. (vii) Google Hacking Database. Es un proyecto del nombre de dominio Exploit-DB.com para encontrar APPs vulnerables. (vii) Packet Storm Security.

(2) Debilidades criptográficas. Un exploit que se aprovecha de una red que utiliza cifrado deficiente cuando almacena, transmite o ejecuta datos permitiendo a una entidad-agente ofensivo o malware leer y/o modificar los datos.

(3) Watering hole. Es un método por el cual el malware explota las vulnerabilidades de sitios Web frecuentados por usuarios del sistema a ciberatacar. El malware se inyecta en el sistema objetivo utilizando los sitios Web comprometidos.

(4) Open redirect. Un exploit donde la víctima es engañada para que seleccione una URL (localización de un sitio Web o su código QR) que ha sido modificado para redirigirlos a un sitio malicioso externo que puede contener malware que puede comprometer el dispositivo de la víctima (smartphone, PC, tablet, servidor, IoMT, IoT, AIoT, IIoT, etc.)

(5) Path traversal. Un exploit que busca obtener acceso a ficheros fuera de un directorio restrictivo por medio de la modificación del pathname de directorio en una aplicación que no neutraliza adecuadamente elementos especiales (como ‘…’, ‘/’, ‘…/’, etc.) dentro de pathname.

(6) CSRF (Cross-Site Request Forgery). Un exploit que se aprovecha de que una aplicación/APP no pueda verificar o no lo suficientemente bien si una petición consistente, válida, bien formada fue intencionalmente proporcionada por el usuario quién envió la petición, engañando a la víctima en ejecutar una petición falsificada que dé lugar a que el sistema o datos se vean comprometidos.

(7) Inclusión de funcionalidad desde una esfera no confiable. Un exploit que se aprovecha de una funcionalidad ejecutable de terceras partes confiable (por ejemplo, librería o widget Web) como medio de ejecutar código malicioso en software cuyos mecanismos de protección no pueden determinar si la funcionalidad es de una fuente confiable, modificada en tránsito o esta falsificada.

(8) SQL-I (Structured Query Language-Injection). Un exploit que implica la alteración de una búsqueda de base de datos en una aplicación basada en Web que puede utilizarse para obtener acceso no autorizado a información sensible de la base de datos dando lugar a pérdida o corrupción de datos, denegación de servicios o tomar el control completo del dispositivo de computación.

(9) CSS (Cross-Site Scripting). Un exploit que utiliza los recursos Web de terceras partes para ejecutar líneas de código de programación (denominadas scripts) dentro del navegador Web de la víctima o aplicación influenciada por el script. Esto ocurre cuando un usuario utilizando un navegador Web visita una Web maliciosa o hace clic en un link malicioso. Las consecuencias más peligrosas pueden ocurrir cuando este método se utiliza para explotar vulnerabilidades adicionales que pueden permitir a una entidad-agente ofensiva o malware robar cookies (datos intercambiados entre un servidor Web y el navegador Web del cliente), capturar lo que tecleamos, capturar pantallas, descubrir y recoger información de red o remotamente acceder y controlar la máquina de la víctima.

Imagen

(10) Inyección de comandos en el sistema operativo. Un exploit que se aprovecha de una incapacidad de un sistema para neutralizar adecuadamente elementos especiales utilizados en los comandos del sistema operativo, posibilitando que una entidad ofensiva o malware ejecute comandos no esperados en el sistema bien modificando los comandos ya evocados o evocando sus propios comandos.

(11) Buffer overflow clásico. Un exploit que implica la transmisión intencionada de más datos de los que puede soportar un buffer de entrada de un programa, esto conduce al borrado de datos críticos y subsiguiente ejecución de código malicioso.

(12) Terceras partes de confianza. Un exploit que se aprovecha de vulnerabilidades de terceras partes confiables para obtener acceso de otra manera a un sistema seguro.

(13) Basado en credenciales. Un exploit que se aprovecha de una autenticación de usuario insuficiente o deficiente de un sistema y/o de cualesquiera elementos vulnerables que soporta para incluir no limitación del número de intentos de login fallidos (esto se denomina fuerza bruta), el uso de credenciales hard-coded (embebidas en texto en claro en el programa), el uso de algoritmos criptográficos mal implementados, deficientes o rotos, el uso de gestión de claves criptográficas con fallos, etc.

(14) Phishing y spear-phishing. Es una forma digital de ingeniería social que utiliza correos electrónicos, SMSs, sitios Web o mensajes de mensajería instantánea que parecen ser auténticos para hacer que los usuarios descarguen y abran ficheros infectados con malware, abran ficheros adjuntos contaminados o hagan clic en links-botones-iconos o escaneen códigos QR comprometidos que les dirija a un sitio Web que les pida información sensible, les infecte o les haga ejecutar código malicioso. En campañas de phishing se han utilizado ficheros CSV (Comma Separated Variable) maliciosos para entregar malware a usuarios que creen incorrectamente que los ficheros CSV en texto en claro son seguros abrir en Excel.

(15) Compromiso de la certificación y certificado. Existen exploits facilitados por emisores de certificados digitales fraudulentos (por ejemplo, SSL/Secure Sockets Layer, seguridad de la capa de transporte). El malware utiliza estos certificados para establecer conexiones seguras con la organización objetivo o individuos imitando una tercera parte confiable.

(16) Format string no controlados. La entidad ofensiva (por ejemplo, el malware ofensivo) manipula externamente format strings controlados en funciones del estilo print para obtener acceso a la información y/o ejecutar código o comandos no autorizados.

(17) Integer overflow. Un exploit donde el código malicioso se inserta lo que conduce al ‘integer-overflow’ no esperado que puede utilizarse por el malware para controlar looping o generar decisiones de seguridad para causar casques de programas, corrupción de memoria o la ejecución de código arbitrario utilizando buffer-overflow.

(18) Carga de ficheros sin restricción. Un exploit que se aprovecha de restricciones insuficientes de carga, lo que permite al malware cargar código malicioso (por ejemplo, ficheros con extensión.php) en lugar del tipo de fichero deseado (por ejemplo, con extensión.jpg).

(19) Buffer-overflow basado en heap. Similar al buffer-overflow clásico pero el buffer que se sobre-escribe esta asignada a la porción de memoria ‘heap’ generalmente significa que el buffer fue asignado utilizando una rutina de asignación de memoria como ‘malloc ()’.

(20) Exploits de entrada de software. En programas EXE (como argumentos de línea de comandos, variables de entorno, ficheros de configuración y ‘settings’ cambiados en el Registro por otro programa, paquetes de red, etc.). En DLLs y librerías pre-compiladas Unix RUNTIME (como llamadas a función desde otros programas).

(21) Exploits efectivos. Navegadores Web (no actualizados, pronto Internet Explorer), JavaScript ofuscada, Flash, PDF infectados, visitar sitio Web infectado y hacer clic en un link-botón-icono o en un link de un correo spam, se genera una o varias redirecciones.

Bloqueo de todo tipo de intentos de realizar acciones maliciosas procedentes de ciberataques ofensivos

Todo ciberataque ofensivo (procedente tanto del malware ofensivo como de otras entidades ofensivas como ciberatacantes, robots con IA, personas, etc.) incluye diferentes fases, estrategias, pautas, tácticas, técnicas, procedimientos, etc.:

(1) Acceso inicial-reconocimiento (el ciberefecto identificado es la interceptación). El malware inteligente avanzado defensivo o DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva realice scanning/reconocimiento de la red perimetral. Se identifican como vectores de ciberataque la conexión a la red externa (vía OTA, cable o enlace satelital). Asimismo, el malware defensivo bloqueará todo tipo de intento de que cualquier entidad ofensiva realice un sniffing de las redes expuestas. Se identifican como vectores de ciberataque la conexión a la red externa o a la red interna si se produce recursividad. También, el malware defensivo bloqueará todo tipo de intento de que cualquier entidad ofensiva realice un sniffing de las redes externas (como, por ejemplo, ISPs/Internet Service Providers) a las que están conectadas las redes de la organización. Se identifican como vectores de ciberataque la conexión a la red externa. Además, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva realice un análisis del tráfico de red basado en el sniffing de red. Se identifican como vectores de ciberataque la conexión a la red externa y a la red interna si se produce recursividad. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva recoja información utilizando el descubrimiento de fuente abierta de la información de la organización (vía RRSS, Foros, capturadores de cookies, Dark-Web, ciber-agentes de tracking, etc.). Se identifican como vectores de ciberataque la información públicamente disponible, medios sociales, uso de buscadores de dispositivos como Shodan, de buscadores de información como Google, etc. Así mismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva realice un reconocimiento y vigilancia de las organizaciones objetivo. Se identifican como vectores de ciberataque la observación física, interacciones con medios sociales, las interacciones entre personas, el correo electrónico, la IM, el seguimiento de la localización, etc. Así mismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva realice un reconocimiento interno dirigido. Se identifican como vectores de ciberataque el entorno de mantenimiento, las acciones de usuarios con privilegios, la conexión de red con socios o entidades confiables.

(2) Weaponize (no presenta ciberefectos inmediatos). El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva realice ciberataques phishing de engaño. Se identifican como vectores de ciberataque la conexión a redes externas, el correo electrónico, IM, SMS, etc. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva realice ciberataques de spearphishing dirigidos de engaño. Se identifican como vectores de ciberataque la conexión a redes externas, el correo electrónico, etc. También, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva realice ciberataques de manipulación de personal de alto nivel (whaling). Se identifican como vectores de ciberataque las interacciones con medios sociales, el correo electrónico, etc. Además, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva realice ciberataques específicamente basados en información desplegada en el entorno tecnológico. Se identifican como vectores de ciberataque la conexión a la red externa, la conexión a la red de socios o entidades confiables. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva cree sitios Web falsificados/falsos. Se identifica como vector de ciberataque la conexión a la red externa. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva cree certificados falsificados. Se identifica como vector de ciberataque la conexión a la red externa, la conexión a la red de socios o entidades confiables. Además, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva cree y opere con organizaciones frontales falsas para inyectar componentes maliciosos en la cadena de suministro. Se identifica como vector de ciberataque la cadena de suministro. También, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva comprometa-infecte sistemas en otras organizaciones para establecer una presencia en la cadena de suministro. Se identifica como vector de ciberataque la cadena de suministro.

(3) Entrega. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva establezca o utilice un canal de comunicaciones a la organización como un todo o a un sistema dirigido; no presenta ciberefectos inmediatos. Se identifican como vectores de ciberataque la conexión a redes externas y la conexión a redes de socios o entidades de confianza. Además, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva entregue comandos al sistema dirigido (por ejemplo, login); el ciberefecto identificado es el uso no autorizado. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva entregue código malicioso a los sistemas de información de la organización interna (por ejemplo, malware vía correo electrónico/código QR; el ciberefecto identificado es la modificación, inserción o corrupción. Se identifican como vectores de ciberataque la conexión a la red externa, el correo electrónico, la IM, SMS, APPs, etc. También el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva entregue malware modificado a los sistemas de información de la organización interna; el ciberefecto identificado es la modificación, inserción o corrupción. Se identifican como vectores de ciberataque la conexión a la red interna, las acciones autorizadas de usuarios no privilegiados, las acciones de usuarios con privilegios, los puertos de dispositivos USB (por ejemplo, para pendrives). Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva entregue malware para controlar los sistemas internos y exfiltrar datos; el ciberefecto identificado es la modificación, inserción o corrupción. Se identifican como vectores de ciberataque la conexión a la red interna, las acciones autorizadas de usuarios no privilegiados, las acciones de usuarios con privilegios, los puertos de dispositivos USB (por ejemplo, para pendrives). Además, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva entregue malware a través de medios removibles como pendrives USB, DVD, CDROM, discos; el ciberefecto identificado es la modificación, inserción o corrupción. Se identifican como vectores de ciberataque las acciones autorizadas de usuarios no privilegiados, las acciones de usuarios con privilegios, los puertos de dispositivos USB (por ejemplo, para pendrives). Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda insertar malware no dirigido en software descargable y/o productos tecnológicos de información comerciales; el ciberefecto identificado es la modificación, inserción o corrupción. Se identifican como vectores de ciberataque las cadenas de suministro. También el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda insertar malware dirigido en los sistemas de información de la organización y componentes del sistema de información; el ciberefecto identificado es la modificación, inserción o corrupción. Se identifican como vectores de ciberataque las cadenas de suministro y entornos de mantenimiento. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda insertar malware especializado en los sistemas de información de la organización basados en configuraciones del sistema; el ciberefecto identificado es la modificación, inserción o corrupción. Se identifican como vectores de ciberataque las cadenas de suministro y entornos de mantenimiento. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda insertar hardware falso falsificado en la cadena de suministro (como contramedida uso de tecnologíaPUF); el ciberefecto identificado es la modificación, inserción o corrupción. Se identifican como vectores de ciberataque las cadenas de suministro. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda insertar componentes críticos dirigidos en los sistemas de la organización; el ciberefecto identificado es la modificación, inserción o corrupción. Se identifican como vectores de ciberataque las cadenas de suministro y entornos de mantenimiento. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda comprometer-infectar los sistemas de información o dispositivos utilizados externamente y reintroducidos en la organización; el ciberefecto identificado es la modificación, inserción, corrupción y uso no autorizado. Se identifican como vectores de ciberataque los dispositivos conectados transitoriamente o móviles.

Imagen

(4) Entrega-exploit. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda instalar sniffers de propósito general en los sistemas de información o redes controlados por la organización; el ciber-efecto identificado es la modificación o inserción. Se identifican como vectores de ciberataque las redes internas y las acciones autorizadas de usuarios con privilegios, los puertos de dispositivo (por ejemplo, los medios removibles USB). El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda instalar sniffers persistentes dirigidos en las redes y los sistemas de información de la organización; el ciber-efecto identificado es la modificación o inserción. Se identifican como vectores de ciberataque las redes internas, las acciones autorizadas de usuarios con privilegios, los puertos de dispositivos (como los medios removibles USB). Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda insertar dispositivos de scanning maliciosos (como, por ejemplo, sniffers inalámbricos) dentro de las instalaciones; el ciberefecto identificado es la modificación o inserción. Se identifican como vectores de ciberataque la proximidad física inmediata.

(5) Exploit. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda explotar los sistemas de información no autorizados expuestos a Internet o mal configurados; el ciberefecto identificado es la modificación, inserción o corrupción. Se identifican como vectores de ciberataque la conexión a redes externas. Además, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda dividir el tunneling en un sistema de usuario final para obtener acceso a los sistemas de la organización; el ciberefecto identificado es la interceptación, exfiltración. Se identifican como vectores de ciberataque la conexión a redes externas, el sistema de usuario final. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda obtener una cuenta legítima; sin efectos inmediatos. Se identifica como vector de ciberataque la conexión a red externa (cableada, inalámbrica, satelital). El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda explotar vulnerabilidades conocidas en sistemas móviles (como, por ejemplo, smartphones, PCs, tablets, etc.), por ejemplo, para establecer acceso de usuario ilícito; el ciber-efecto identificado es la interceptación, corrupción. Se identifican como vectores de ciberataque los dispositivos conectados transitoriamente o móviles.

(6) Exploit/control. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda explotar las vulnerabilidades descubiertas para conseguir movimiento lateral; los ciberefectos identificados son la modificación, inserción, corrupción, uso no autorizado. Se identifican como vectores de ciberataque la conexión a redes externas o la conexión a la red del socio o confiable, a la red interna.

(7) Control. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda adquirir privilegios asociados con una cuenta, proceso, servicio o dominio del usuario (para el acceso a credenciales); los ciberefectos identificados son el uso no autorizado. Se identifican como vectores de ciberataque la red interna, los servicios de infraestructura compartidos internos. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda modificar o incrementar los privilegios asociados con una cuenta, proceso, servicio o dominio de usuario (con vistas al escalado de privilegios); el ciberefecto identificado es la modificación o inserción. Se identifican como vectores de ciberataque la red interna, los servicios de infraestructura compartidos internos. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda realizar un reconocimiento interno (posibilitado por la instalación de un sniffer), de adquirir privilegios y de modificar privilegios; el ciberefecto identificado es la interceptación. Se identifican como vectores de ciberataque la red interna, los servicios de infraestructura compartidos internos. También el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda explotar estructuras multi-inquilino en entornos/plataformas cloud (para movimiento lateral, posibilitado por la obtención de una cuenta legítima; los ciber-efectos identificados son la interceptación y corrupción. Se identifican como vectores de ciberataque los servicios de infraestructura compartidos internos. El malware inteligente avanzado defensivo bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda explotar vulnerabilidades (de todo tipo: conocidos, 0-day y generadas) en los sistemas IT de información internos de la organización y en los sistemas OT (para posibilitar movimiento lateral); los ciberefectos identificados son la inserción, modificación, corrupción o uso no autorizado. Se identifican como vectores de ciberataque la conexión a red externa o la conexión a red de socio o entidad confiable, red interna. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda explotar vulnerabilidades utilizando ciberataques 0-day (para posibilitar movimiento lateral); los ciberefectos identificados son la inserción, modificación, corrupción o uso no autorizado. Se identifican como vectores de ciberataque la conexión a red externa o la conexión a red de socio o entidad confiable, red interna, dispositivos conectados de forma transitoria o móviles.

(8) Control/ejecutar. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda explotar vulnerabilidades en sistemas de información y OT en tiempo de las operaciones de negocios/misión de la organización/industria; los ciberefectos identificados son interrupción, degradación, corrupción, modificación, inserción o uso no autorizado. Se identifican como vectores de ciberataque la red externa, red interna, conexión de red con los socios o entidades confiables.

(9) Control. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda explotar borrados de datos incompletos o inseguros en estructuras multi-inquilino; los ciberefectos identificados son interceptación y exfiltración. Se identifican como vectores de ciberataque la conexión a red externa, la conexión de red con los socios o entidades confiables, a red interna, los servicios de infraestructura compartidos internos. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda violar el aislamiento en estructuras multi-inquilino; los ciberefectos identificados son la interrupción, la degradación, la exfiltración la interceptación. Se identifican como vectores de ciberataque los servicios de infraestructura o compartidos internos. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda establecer canales C&C (Command and Control) para ciberatacantes/malware o componentes comprometidos (esto facilita el C&C); los ciberefectos identificados son la modificación, inserción, exfiltración, corrupción, uso no autorizado. Se identifican como vectores de ciberataque la conexión a red externa, los servicios de infraestructura o compartidos internos, la red interna, la conexión de red a socios o entidades confiables. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda emplear medidas anti-IDS-IPS/anti-debugger (con objeto de evadirse de las defensas); los ciberefectos identificados son la modificación y la inserción. Se identifican como vectores de ciberataque la red interna, los servicios de infraestructura o compartidos internos. También, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda emplear medidas anti-forenses (con objeto de evadirse de las defensas); los ciberefectos identificados son la modificación y la inserción. Se identifican como vectores de ciberataque la red interna, los servicios de infraestructura o compartidos internos, sistema interno. También, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda comprometer los sistemas de información y OT críticos vía el acceso físico; los ciberefectos identificados son interrupción, degradación, corrupción, modificación, inserción o uso no autorizado. Se identifican como vectores de ciberataque la proximidad física inmediata. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda comprometer el software/firmware de los sistemas de información críticos de la organización; los ciberefectos identificados son la corrupción, modificación, inserción o uso no autorizado. Se identifican como vectores de ciberataque el entorno de mantenimiento, red interna, servicios de infraestructura o compartidos internos, la acción autorizada de usuarios con privilegios, los puertos de dispositivos. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda comprometer los sistemas de información y OT de la organización para facilitar la exfiltración de datos/información (de cara a relocalizar y almacenar datos en el computador/sistemas de información/redes/almacenamientos de datos de la víctima); los ciberefectos identificados son la corrupción, modificación, inserción, uso no autorizado, exfiltración, interceptación. Se identifican como vectores de ciberataque el entorno de mantenimiento, red interna, servicios de infraestructura o compartidos internos, la acción autorizada de usuarios con privilegios, los puertos de dispositivos. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda organizar datos para su exfiltración (de cara a relocalizar y almacenar datos en el computador/sistemas de información/redes/almacenamientos de datos de la víctima); el ciberefecto identificado es la inserción. Se identifican como vectores de ciberataque la red interna, los servicios de infraestructura o compartidos internos, sistema interno. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda comprometer información crítica para las funciones de la organización/misión; los ciber-efectos identificados son la inserción, corrupción, modificación. Se identifican como vectores de ciberataque la red interna, los servicios de infraestructura o compartidos internos, la acción autorizada de un usuario sin privilegios, la acción autorizada de un usuario con privilegios, puertos de dispositivo, datos.

Imagen

(10) Ejecutar. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda obtener información sensible a través de sniffing de redes externas (de cara a la recogida); el ciber-efecto identificado es la interceptación. Se identifican como vectores de ciberataque la conexión a red externa, la conexión a red de socio o entidad confiable. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda realizar degradación o denegación de servicios/capacidades seleccionadas (de cara a la denegación de acceso); los ciberefectos identificados son la degradación e interrupción. Se identifican como vectores de ciberataque la red interna, los servicios de infraestructura o compartidos internos, la acción autorizada de usuarios con privilegios. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda causar deterioro/destrucción de componentes y funciones del sistema de información/operacional IT/OT (de cara a destruir software/firmware/datos/hardware); los ciberefectos identificados son la degradación e interrupción. Se identifican como vectores de ciberataque la red interna, los servicios de infraestructura o compartidos internos, la acción autorizada de usuarios con privilegios. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda causar pérdida de integridad debido a crear, borrar y/o modificar datos en sistemas de información y OT accesibles públicamente (por ejemplo, hacer trastadas cambiando y añadiendo ‘cosas’ en Web; los ciberefectos identificados son la inserción, modificación o corrupción. Se identifican como vectores de ciberataque la red externa. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda causar pérdida de integridad debido a corrupción o polución de datos críticos (de cara a alterar los datos de los sistemas IT/OT de la víctima); los ciberefectos identificados son la modificación, corrupción. Se identifican como vectores de ciberataque la red interna, los servicios de infraestructura o compartidos internos, las acciones autorizadas de usuarios con privilegios, las acciones autorizadas de usuarios sin privilegios, los datos. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda causar pérdida de integridad debido a la inyección falsa pero creíble de datos en los sistemas de información y OT de la organización; el ciberefecto identificado es la inserción. Se identifican como vectores de ciberataque la red interna, los servicios de infraestructura o compartidos internos, las acciones autorizadas de usuarios con privilegios, las acciones autorizadas de usuarios sin privilegios, los datos. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda reducir o denegar la disponibilidad interfiriendo las comunicaciones; los ciberefectos identificados son la interrupción, degradación. Se identifican como vectores de ciberataque la red externa, la conexión de red a un socio o entidad confiable, red interna. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda causar revelación de información sensible y/o crítica por usuarios autorizados; los ciberefectos identificados son la interceptación, exfiltración. Se identifican como vectores de ciberataque la red interna, los servicios de infraestructura o compartidos internos, las acciones autorizadas de usuarios con privilegios, la ingeniería social. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda causar revelación no autorizada y/o no disponibilidad revelando la información sensible/crítica; los ciberefectos identificados son la interceptación, exfiltración. Se identifican como vectores de ciberataque la red interna, los servicios de infraestructura o compartidos internos, las acciones autorizadas de usuarios con privilegios, la ingeniería social. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda transmitir información sensible/crítica de la red interna a un destino externo de forma encubierta (de forma subliminar, con esteganografía, emanación electromagnética, cifrada, etc.) de cara a la exfiltración de datos/información; el ciberefecto identificado es la exfiltración. Se identifican como vectores de ciberataque la red externa, la conexión de red a socio o entidad de confianza, red interna. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda inyectar tráfico de red fabricado; los ciber-efectos identificados son la inserción, modificación, corrupción. Se identifican como vectores de ciberataque la red externa, la conexión de red a socio o entidad confiable, red interna. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda transmitir mensajes a un rango dirigido de direcciones de red del perímetro para denegar servicio; los ciberefectos identificados son la interrupción, degradación. Se identifican como vectores de ciberataque la red externa, la conexión de red a socio o entidad confiable. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda descargar información sensible a dispositivos o sistemas de información utilizados externamente y reintroducidos dentro de la organización; los ciberefectos identificados son la interceptación, exfiltración. Se identifica como vector de ciberataque la red interna. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda obtener información por interceptación localizada externamente de tráfico de red inalámbrico (por ejemplo, OTA, 5G, satelital); el ciber-efecto identificado es la interceptación. Se identifica como vector de ciberataque la red interna. El DAIM/MIAD bloqueará todo tipo de intento de obtener acceso no autorizado; el ciberefecto identificado es el uso no autorizado. Se identifican como vectores de ciberataque la red interna, los servicios de infraestructura o compartidos internos, las acciones autorizadas de usuarios con privilegios, las acciones autorizadas de usuarios sin privilegios, la ingeniería social. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda obtener información/datos sensibles de sistemas de información accesibles públicamente; los ciberefectos identificados son la interceptación, exfiltración. Se identifica como vector de ciberataque la red externa. Asimismo, el DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda obtener información/datos por robo oportunista o rebuscar/husmear en basureros/papeleras (cibernéticas y/o convencionales donde se incluyen componentes y sistemas de información, memoria, discos duros, en dispositivos-equipos o tirados a un basurero convencional sin trituradora de papeles y borrado profundo tipo ‘wipe’); los ciberefectos identificados son la interceptación, exfiltración. Se identifican como vectores de ciberataque la cadena de suministro, el entorno de mantenimiento.

(11) Mantenimiento. El DAIM/MIAD bloqueará todo tipo de intento de que cualquier entidad ofensiva pueda ofuscar las acciones perversas (de cara a la evasión de defensas); los ciberefectos identificados son la modificación, corrupción. Se identifican como vectores de ciberataque la red interna, los servicios de infraestructura o compartidos internos, las acciones autorizadas de usuarios con privilegios. Desde una perspectiva de conjuntos de técnicas/tácticas el DAIM/MIAD bloqueará toda clase de intento: de ejecución (de código controlado por la entidad ofensiva tanto en un sistema local como remoto), de acceso a credenciales (para acceder o controlar las credenciales de un sistema, dominio o servicio con objeto de utilizarlas dentro de un entorno a ciberatacar), de comunicaciones C&C (para que las entidades ofensivas puedan comunicarse con sus sistemas bajo su control dentro o fuera de una red objetivo), de movimiento lateral (para que accedan y controlen sistemas remotos en una red e incluso ejecuten herramientas ofensivas en sistemas remotos), de exfiltración (para coger ficheros e información de una red objetivo), de recogida (para identificar y recoger información como ficheros sensibles de una red objetivo antes de la exfiltración), de persistencia (conjunto de accesos, acciones o cambios de configuración en un sistema para dar presencia persistente en el sistema a la entidad ofensiva), de escalada de privilegios (para obtener niveles mayores de permisos y autorizaciones en un dispositivo, red o sistema), de evasión de posibles defensas (para evadir la detección, trazabilidad o evitar anti-malware, etc.), de descubrimiento (para ganar conocimiento sobre el sistema, red interna, etc.), etc. Desde una perspectiva de operaciones el DAIM/MIAD bloqueará todo tipo de intento: de uso malicioso (de WinRM (Windows Remote Management) y saltarse el hash), de acciones maliciosas (de escaneo de servicios de red y query-registry), de (captura de entrada y credential dumping), de (borrado malicioso de ficheros y binary-padding), de (inyección dll y Web Shell), de (acciones maliciosas vía bootkit), de (codificación de datos maliciosa y de empleo malicioso de puertos no utilizados comúnmente), de (cifrar datos maliciosamente y ‘scheduled transfer’), de (captura maliciosa de audio, video, contenido de pantalla, teclas pulsadas/keylogger, ‘clipboard data’), de uso malicioso de (WMI (Windows Management Instrumentation), PowerShell), de poder entregar malware RAT (Remote Access Trojan, como Nanocore, Netwire, AsyncRAT, etc.) capaz de tomar el control del dispositivo de la víctima para realizar acciones ofensivas (como robar datos, modificar información, etc.), de ejecutar en el dispositivo de la víctima un fichero.ZIP malicioso transportado, por ejemplo, en un correo que contiene una imagen ISO con un cargador en forma de: un JavaScript, un fichero batch de Windows o de un Script de Visual Basic (que se aloja en un servidor Windows basado en Azure-Cloud o en una instancia AWS (Amazon-Web-Services)-EC2 cloud), etc.

Imagen

Consideraciones finales

El malware defensivo o DAIM/MIAD son tres cosas:

  1. Una ciberarma defensiva y de protección (con autonomía) contra todo tipo de ciberataques ofensivos.
  2. Una ciberherramienta sofisticada de ciberdefensa/protección contra todo tipo de ciberataques ofensivos.
  3. Una ciberamenaza de neutralización contra los ciberataques ofensivos. La capacidad adaptativa, inteligente del malware defensivo DAIM/MIAD es clave para bloquear y contrarrestar cualquier intento de acción maliciosa y de evolución de todo tipo de ciber-ataques ofensivos. El malware defensivo es invisible, inteligente, autónomo, ciberresiliente, persistente, sigiloso, con autocontrol, adaptativo y multi-etapa (con varias etapas, si una falla, habrá otras que intervienen y evitan el intento de la acción maliciosa del ciber-ataque ofensivo). El malware defensivo accede a numerosas bases de conocimiento en continua actualización, a herramientas de neutralización, inactivación y bloqueo de todo tipo de ciber-conductas y acciones maliciosas, etc. Examinemos diferentes operaciones que se pueden realizar en un ciber-ataque ofensivo:

(1) Ciberbrecha. En este caso, una entidad ofensiva (por ejemplo, un malware ofensivo) puede obtener información sensible (PII (Personally Identificable Information), información propietaria, secretos registrados, claves privadas, datos de PLCs/SCADA, tokens, tarjetas de crédito, datos confidenciales OT, etc.) de los sistemas OT/IT de una organización. Actualmente, las acciones maliciosas/perversas/insidiosas de los malware ofensivos no se deben sufrir, se deben combatir con malware defensivo.

(2) Ciberfraude. En este caso, una entidad ofensiva modifica o fabrica información en los sistemas de una organización, de modo que se le robará dinero a dicha organización o se transferirán otros activos a la entidad ofensiva y servidores asociados. En el SIF (Synthetic Identity Fraud) la entidad ofensiva roba, secuestra, cambia y/o fabrica identidades falsas con tecnologías como synthetic-media, deep-fake, etc. con impacto en la autenticación biométrica, control de acceso, áreas financieras, de seguridad de una organización, etc. La tecnología synthetic-media o deep-fake se puede emplear para saltarse la autenticación de identidades, el reconocimiento y los sistemas de control de acceso utilizados para acceder a áreas protegidas. Se puede engañar a sistemas que incluyen reconocimiento biométrico (facial, retina, huellas dactilares y de voz, forma de guiñar, moverse, etc.) en base a señales de video, audio, voz, imágenes, textos, etc., fraudulentas).

(3) Ciberdestrucción. En este caso, una entidad ofensiva modifica o destruye activos de una organización IT/OT víctima para impedir a dicha organización que pueda realizar sus funciones primarias. Este escenario incluye denegación de servicios, interrupción, trastorno, subversión, etc. de las operaciones de la organización víctima. Así mismo un ciber-ataque sobre un vehículo puede destruirlo y producirse muertes y heridos.

(4) Uso indebido. En este caso, una entidad ofensiva modifica o fabrica software/firmware o datos de configuración o actualización en los sistemas de la víctima de modo que puede dirigir su uso (normalmente para la reventa de la capacidad como es el caso de redes/granjas de bots (o botnets) o minería no autorizada de criptomonedas). Este ciberescenario se enfoca en la usurpación de recursos como CPU, GPU, memoria, etc.

(5) Ciberextorsión. En este caso, una entidad ofensiva (por ejemplo, un malware ofensivo) modifica o incapacita los activos de negocios para ganancia financiera (por ejemplo, utilizando ciberataques DDoS (Distributed Denial of Service), ransomware (secuestro de datos mediante cifrado/borrado pidiendo rescate), doxware (extracción de datos para amenazar con su publicación, ciberataque a la confidencialidad pidiendo rescate), etc.). Este ciberescenario está relacionado con aquellos que implican modificación para propósitos de fraude y para trastorno o denegación de funciones del negocio.

(6) Ciberataque hacia atrás. En este caso, una entidad ofensiva compromete a un suministrador o socio para aumentar la vulnerabilidad de la organización al ciberataque. Este ciberescenario incluye ciberataques a las organizaciones de los socios, así como a la cadena de suministro de la organización.

(7) Daño a la reputación y caídas en ratings. En este caso, una entidad ofensiva trastorna las operaciones de la organización o fabrica información que la organización presenta a sus clientes/usuarios, dañando su reputación y la confianza de sus clientes. Este ciber-escenario se relaciona con aquellos que implican trastorno o denegación de funciones de la misión, pero también incluye la modificación de información visible externamente o servicios de forma que socava la confianza en dicha organización.

(8) Ciberataque hacia adelante. En este caso, una entidad ofensiva compromete los sistemas de la organización para ciber-atacar a las entidades posteriores (como clientes, clientes de clientes). Como el ciberescenario de ‘daño de reputación’, este ciber-escenario se relaciona con aquellos que implican trastorno de las funciones de la misión. Sin embargo, también está relacionado con aquellos ciberescenarios que implican la adquisición de información sensible o transacciones fraudulentas.

(9) Ciberataque de fuego amigo. En este caso, una entidad ofensiva engaña a los gestores del área de negocios/control industrial y personal de defensa para que tomen acciones operacionalmente disruptivas. Este ciberescenario se enfoca en modificar o fabricar datos de negocios/control industrial o de configuración, así como modificar o trastornar las funciones de negocio con resultados no deseados.

(10) Ciberataque de influencia (geopolítica, a personas, organizaciones...) /desinformación/modificación de opinión/de inducción a patologías psicológicas. En este caso, una entidad ofensiva emite informaciones falsas muy sutiles para confundir, enfermar, subordinar, hacer cambiar la opinión, etc. sin que la víctima se dé cuenta. Por ejemplo, permite activar el síndrome FOMO (Fear Of Missing Out) posibilita crear ansiedad, temor, angustia y trastornar ciertas personas en conexión con RRSS para que teman perderse o no enterarse de información o eventos, a su parecer, trascendentales, hacen ver a la víctima que es menos popular y activa que sus amigos y eso crea frustración que puede llegar al suicidio. El ciberbullying o ciberacoso opera con medios telemáticos, RRSS, videojuegos online, etc. se puede ejercer acoso psicológico a ciertas personas hasta llegar en algunos casos al suicidio. La entidad ofensiva del ciberataque o ciberacosador crea un perfil falso en las RRSS y cuelga ciertas imágenes, videos o audios comprometedores. El ciber-grooming es un ciberacoso y abuso sexual online a menores utilizando dispositivos conectados a la red como móviles, PCs, smart-TVs, juguetes infantiles inteligentes (con cámara Web, micrófono y altavoz y algunos incluso con pantalla), etc. donde se interacciona con el menor y se graba sin quererlo (vía creepware) o engañándolo.

(11) Ciberataque a prótesis médicas (IoMT). En este caso, una entidad ofensiva controla remotamente dispositivos sensibles como marcapasos, implantes cocleares, bombas de insulina y otros medicamentos, implantes cerebrales, etc.

Referencias

  • Areitio, J. ‘Seguridad de la Información: Redes, Informática y Sistemas de Información’. Cengage Learning-Paraninfo. 2020.
  • Areitio, J. ‘Identificación y exploración de tendencias en el incremento, tipos de impactos y efectos del malware’. Revista Eurofach Electrónica. EF-478. Noviembre 2020.
  • Areitio, J. ‘Exploración longitudinal y transversal de las infecciones de malware’. Revista Seguridad. SG-31. Febrero 2021.
  • Areitio, J. ‘Matizaciones sobre los efectos de la no anticipación contra el incremento creciente del malware oculto no detectable’. Revista Eurofach Electrónica. EF-481. Interempresas. Abril 2021.
  • Areitio, J. ‘Exploración, identificación y detección de malware inteligente para evitar caos ciber-epidemiológicos y ciber-pandemias’. Revista Seguridad. SG-34. Interempresas. Julio 2021.
  • Areitio, J. ‘Identificación y exploración del horizonte de sucesos y espacio de observación vinculado al moderno malware’. Revista Seguridad. SG-35. Septiembre 2021.
  • Areitio, J. ‘Campos de acción, confluencias e impactos de las vulnerabilidades en la evolución y ciclo de vida del malware inteligente avanzado (ofensivo y defensivo)’. Revista Seguridad. SG-36. Noviembre 2021.
  • Areitio, J. ‘Análisis y predicción de estrategias y tácticas para la creación de malware inteligente avanzado defensivo’. Revista Eurofach Electrónica. EF-485. Interempresas. Diciembre 2022.
  • Areitio, J. ‘Empoderamiento de las capacidades del malware inteligente avanzado defensivo’. Revista Eurofach Electrónica. EF-486 y Revista Seguridad. SG-37. Interempresas. Febrero 2022.
  • Wardle, P. ‘The Art of Mac Malware: The Guide to Analyzing Malicious Software’. No Starch Press. 2022.
  • DiMaggio, J. ‘The Art of Cyberwarfare: An Investigator's Guide to Espionage, Ransomware, and Organized Cybercrime’. No Starch Press. 2022.
  • Badhwar, R. ‘The Ciso's Next Frontier: AI, Post-Quantum Cryptography and Advanced Security Pradigms’. Springer. 2021.
  • Wittkop, J. ‘The Cybersecurity Playbook for Modern Enterprise: An End-to-End Guide to Preventing Data Breaches and Cyber Attacks’. Packt Publishing. 2022.
  • Hettema, H. ‘Agile Security Operations: Engineering for Agility in Cyber Defense, Detection, and Response’. Packt Publishing. 2022.
  • Bravo, C. and Kitchen, D. ‘Mastering Defensive Security: Effective Techniques to Secure Your Windows, Linux, IoT, and Cloud Infrastructure’. Packt Publishing. 2022.
  • Stamp. M., Alazab, M. and Shalaginov, A. ‘Malware Analysis Using Artificial Intelligence and Deep Learning’. Springer. 2021.
  • Di Pietro, R., Raponi, S., Caprolu, M. and Cresci, S. ‘New Dimensions of Information Warfare (Advances in Information Security)’. Springer. 2021.
  • Hughes, S. ‘How To Protect Yourself From Adware Or Spyware: The Ultimate Guide To Remove Spyware/Adware From Your PC’. Ed. Independently published. 2021.
  • Patton, H.E. ‘Navigating the Cybersecurity Career Path’. Wiley. 2021.
  • Jenkinson, A. ‘Stuxnet to Sunburst: 20 Years of Digital Exploitation and Cyber Warfare’. CRC Press. 2021.
  • Borges, D. ‘Adversarial Tradecraft in Cybersecurity: Offense versus Defense in Real-time Computer Conflicto’. Packt Publishing. 2021.
  • Grimes, R.A. ‘Ransomware Protection Playbook’.‎ Wiley. 2021.
  • Liska, A. ‘Ransomware: Understand. Prevent. Recover’. ActualTech Media. 2021.
  • Gupta, B.B. ‘Advances in Malware and Data-Driven Network Security’. Information Science Reference. IGI Global Publisher. 2021.
  • Monnappa K. A. ‘Learning Malware Analysis: Explore the Concepts, Tools, and Techniques to Analyze and Investigate Windows Malware’. Packt Publishing. 2018.
  • Maglaras, L., Kantzavelou, I and Ferrag, M.A. ‘Cyber Security of Critical Infrastructures’. Mdpi AG. 2021.
  • Hoglund, G. and Butler, J. ‘Rootkits: Subverting the Windows Kernel: Subverting the Windows Kernel’. Addison-Wesley Professional. 2005.
  • Boutwell, M. ‘The Ransomware Handbook: How to Prepare for Prevent and Recover from Ransomware Attacks’. Ed. Mike Boutwell. 2021.
  • Petrenko, S. ‘Developing a Cybersecurity Immune System for Industry 4.0’. River Publishers. 2020.
  • Matrosov, A., Rodionov, E. and Bratus, S. ‘Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats’. No Starch Press. 2019.
  • Matthew, J.S. ‘Cyberpocalypse: Inside the Digital Assault on Healthcare’. Blue River Publishing. 2021.
  • Payne, K. ‘I Warbot: The Dawn of Artificially Inteligent Conflict’. Oxford University Press. 2021.

Comentarios al artículo/noticia

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos