Tecnología Info Tecnología

En la evolución de todo ciberataque ofensivo se puede distinguir un origen, que se aprovecha de las vulnerabilidades y del uso de exploits

Neutralización debida al DAIM/MIAD contra el universo de microacciones generadas en los distintos tipos de ciberataques ofensivos

Javier Areitio Bertolín, director del Grupo de Investigación Redes y Sistemas, Universidad de Deusto

20/04/2022

Este artículo explora la neutralización por parte del DAIM (Defensive Advanced Intelligent Malware) / MIAD (Malware Inteligente Avanzado Defensivo) para paralizar el universo de microacciones perversas, que se generan para poder llevar a cabo los ciberataques ofensivos en general (suelen incluir malware ofensivo) en todo tipo de entorno, por ejemplo, OT/IT. Expone los efectos perversos de los ciberataques y los puntos de entrada que utilizan (vulnerabilidades/exploits), así mismo, se introduce terminología clave en este área. Y, por último, se modelizan las ciberconductas/cibercomportamientos inactivados por el DAIM en los ciberataques ofensivos.

En la evolución de todo ciberataque ofensivo (procedente de personas ciberatacantes, ciberterroristas, hackers ofensivos, multiagentes del tipo testers de penetración ofensivos, granjas de robots con IA para ciberintrusiones, avatares, crackers, etc. y donde suele incluirse malware malicioso) se puede distinguir un origen que se aprovecha de las vulnerabilidades (en todo: software/firmware/hardware, aplicaciones, APPs, APIs, sistemas operativos, hipervisores, objetos (IoT, IoMT, IIoT, AIoT), CPSs, ICSs, ERPs, BDs, CRMs, IT, OT, etc.) y del uso de exploits. En este entorno el DAIM se encarga de bloquear, inactivar, neutralizar, inhabilitar, esterilizar, etc. todo tipo de intentos de realizar microacciones que se puedan producir en la génesis (y resto del ciclo de vida) de todo ciberataque ofensivo. Y un conjunto de horizontes/destinos en donde los agentes ofensivos (generadores de ciberataques, pen-testers ofensivos, ciberarmas ofensivas malware autónomas, hackers ofensivos, crackers, etc.) aplicarán todo su potencial para ejecutar sus deseos (de ciberdelitos, cibercrimen, ciberatentado, ciberguerra, etc.).

Imagen

En este entorno el DAIM se encargará de mitigar, neutralizar, bloquear, inhabilitar, etc. todo tipo de intentos maliciosos de ejecutar acciones (procedimientos, técnicas, métodos, tácticas, subtécnicas, etc.). Consecuentemente la misión del DAIM es paralizar/inactivar desde el origen al conjunto de horizontes cambiantes todo tipo de microacciones maliciosas existentes. Los efectos perversos de los ciberataques sobre entornos, IT, OT y OT-IT son:

(I) Impacto. Como pérdida de control, de protección, de visión, robo de información/inteligencia, afectación a la sostenibilidad, medio ambiente, salud pública, conductores, peatones, etc.

(II) Daño directo. Como inyección de lógica de control, corte/parada/blackout de servicios, inhabilitación de mecanismos de seguridad, destrucción de datos, manipulación de protocolos, modificación del firmware y software, etc.

(III) Daño indirecto. Como exfiltración de datos, reconocimiento, descubrimiento de sistemas remotos, identificación de la localización, ingeniería social (engaño y desinformación), etc. Un ciberataque ‘blended’ es un ciberataque combinado que utiliza mezcla de técnicas (exploits, vulnerabilidades, etc.) para llevar a cabo diversos objetivos e invadir diferentes sistemas. Un vector de ciberataque posibilita realizar los deseos de los ciber-atacantes (robo de identidad, secuestro de sesiones (caso de e-banking), acceso no autorizado a servicios, DoS (sobrecargar los recursos del sistema), MITM (infiltrarse en procesos o protocolos de seguridad), ciber-atacar al flujo de información (como enviar mensajes falsos, modificar mensajes en tránsito, repetir mensajes, etc.), modificar páginas Web (cambiar contenido, colocar malware), abusar de sistemas (infiltrar al sistema código de ciber-ataque), ingeniería social (phishing), romper mecanismos criptográficos, actuar sobre infraestructura de Internet (ARP, DNS, protocolos entre routers), etc.).

Algunos vectores de ciber-ataque son: drones (posibilitan saltarse los perímetros para sniffing o insertar dispositivos de escuchas clandestinas), SDR (Software Defined Radio; todas las comunicaciones y protocolos por radio sin cifrado robusto son altamente expuestas), robots (pueden acceder a áreas no accesibles para las personas. Pueden ser controlados de forma remota para realizar acciones como manipular, monitorizar, etc.).

Una vulnerabilidad (punto singular que ayuda-facilita la existencia de ciberataques en cooperación con los exploits) son muchas cosas, por ejemplo, es un error, bug, flaw, debilidad, fisura en el código (se minimiza con la implantación de DevSecOps), en la lógica de las operaciones, en la gestión de memoria/claves criptográficas, en los protocolos no seguros, en configuraciones no seguras, uso de ingeniería social, inadecuada segmentación de red en un ICS, configuración inadecuada de servicios, uso de hardware y software desactualizado, carencia de formación en ciberseguridad que puede facilitar los ciberataques basados en ingeniería social, etc., afecta al software, firmware, hardware, navegador Web (cuando un usuario visita una página Web comprometida, el programa script descarga el fichero infectado en el dispositivo de computación de la víctima utilizando la vulnerabilidad del navegador web y entonces se lanza el fichero), personas, gestión, gobernanza, organización, etc.

La distribución de malware utilizando páginas Web se ha convertido en una técnica de implementación muy popular, consiste en colocar en la página Web un fichero infectado y un programa script que explota la vulnerabilidad del navegador cuando se coloca en dicha página Web. Un exploit (punto singular que ayuda-facilita la existencia de ciberataques en cooperación con las vulnerabilidades) es un método (en esencia, un fragmento de código o programa que explota vulnerabilidades) que se aprovecha de las vulnerabilidades para ciber-atacar. Una entidad que comercializa exploits es ‘Zerodium’.

Un ejemplo de exploit es ‘iFrames’. Algunas formas de introducir exploits son: servidores Web comprometidos, anuncios, widgets de terceras partes, contenido que contribuye el usuario, phishing, compartición de recursos, nubes (cloud-fog-edge), etc. Los exploits se dividen según el comportamiento después de explotar la vulnerabilidad en: ejecución de código arbitrario, instalar código, escalada de privilegios, entrada y entrega de malware, denegación de servicios, cambiar configuración del navegador Web, exposición de los datos (exfiltración, modificación, borrado, cifrado, etc.), etc. Algunos tipos de exploits son: ejecución remota de código, escalada de privilegios, denegación de servicios, en aplicaciones Web (buffer overflow, inyección SQL, XSS, etc.), etc. Algunos ejemplos de exploits son: utilizado por el worm ‘Win32/Nimda.A@mm’, el ‘Web Server Folder Traversal exploit’ para infectar servidores Web IIS y el ‘MIME header exploit’ para poder ejecutarse leyendo o ‘previewing’ un correo infectado.

Algunas estrategias utilizadas para atraer las víctimas a una página Web infectada son: envío de mensajes vía sistemas de mensajería instantánea, envío de mensajes spam/phishing por correo electrónico que contienen la dirección de la página infectada en un link/botón/icono/código QR, compartir recursos, etc., utilizando motores de búsqueda donde el texto colocado en una página infectada lo procesa el motor de búsqueda y el link a la página se incluye en las listas de resultados de búsquedas.

Algunas vulnerabilidades software típicas son: uso de primitivas de seguridad deficientes (algoritmos débiles de cifrado/firma digital, algoritmos hash, generación de números aleatorios, etc.), ‘truncation hidden Web paths cookie’, fugas de información (mensajes de error que revelan demasiada información, como: versión del software, fragmentos de código fuente, nombres o errores de las tablas de base de datos, canales de timing, etc.), validación de entradas (como (i) vulnerabilidades de inyección como: CSS (Cross-Site-Scripting, inyección de comandos SQL, inyección de code/script, ‘format-string’ (printf(argv[1]);), ‘path-traversal’, ‘open-redirect’, off-by-one, double free, etc. (ii) Buffer overflows (stack-overflow/head-overflow) como: “integer overflow”, incorrecto tamaño de buffer o incorrecto cálculo de los límites. (iii) Otros efectos específicos de la aplicación de entrada no segura), ejecución con privilegios no necesarios (ejecución de código con privilegios de administrador/root, configuración/setting incorrectos o perdidos), error/exception-handling code (fallo para testear ‘error/exception-handling code’, ‘race conditions’, fallo para comprobar código de error, por ejemplo: open, malloc, etc.), operación de seguridad perdida (En autenticación, debilidades, no existencia de autenticación, autenticación de un sólo factor, uso de credenciales ‘hard-coded’. En autorización sin comprobaciones (CSRF/Cross-Site-Request-Forgery). Fallo del cifrado, funciones hash, uso de salt, etc.), fallo para reconocer o aplicar límites seguros (Llamando a función que confía sus entradas en datos no confiables. Incluyendo código sin entender sus dependencias. Confiar en datos o cookies en aplicaciones web).

Imagen

El DAIM está diseñado para bloquear, inactivar, neutralizar, etc. todo tipo de intentos de ejecutar cualquier clase de exploit que se aproveche de cualquier tipo de vulnerabilidad (un ‘stack canary’ es un sistema de alerta temprana de stack-overflow para así bloquearlo a tiempo). Algunas de las principales vulnerabilidades software encontradas en blockchain son: race-condition, check-validation, resource-leak, transaction-related, deadlock, go-panic, block-related, denial-of-service, peer/node-related, sanity-check, overflow (integer-overflow, arithmetic-overflow, stack/head-overflow), wallet-key/password, uninitialized-read, call-abuse, RPC-related, out-of-bound, off-by-one, segfault, memory-pool, nil-pointer-deref., database-corruption, etc. Exploremos las terminologías y siglas fundamentales en esta área: CVE (Common Vulnerabilities and Exposures) del Mitre es un diccionario de identificadores de vulnerabilidades CVE (por ejemplo, CVE-2018-4878 es una vulnerabilidad en Adobe Flash). CWE (Common Weakness Enumeration) del Mitre es una lista de tipos de debilidades software, por ejemplo, CWE-89 es una ocultación inadecuada de elementos especiales utilizados en un comando SQL, es una debilidad o fallo en el código de WordPress que causa la vulnerabilidad CVE-2015-2213. CCE (Common Configuration Enumeration) especifica identificadores-nombres para configuraciones de seguridad de software, por ejemplo, el identificador CCE-3108-8 hace referencia a “deberían asignarse permisos de servicio correctos para el servicio Telnet. CVSS (Common Vulnerabiliy Scoring System) especifica la severidad CVSS3/CVSS2 (3 baja, 5 media, desde 8 alta). NVD (National Vulnerability Database) del NIST es una base de datos de CVE que contiene referencias a soluciones y herramientas. Bugcrowd (comunidad de hackers que buscan vulnerabilidades). Exploit-Database es una BD con exploits y vulnerabilidades software CVE. OSVDB (Open Sourced Vulnerability DataBase) es una BD de fuente abierta de vulnerabilidades. OWASP TOP 10 (especifica las 10 principales ciber-amenazas), SANS TOP 20 (especifica las 20 principales ciberamenazas).

Integrando lo anterior en un ejemplo: CVE-2017-8759 es una vulnerabilidad que permite a un ciberatacante la ejecución remota de código RCE (Remote-Code-Execution) empleando un documento o aplicación infectada.NET 2.0, 3.5, 3.5.1, 4.5.2, 4.6, 4.6.1, 4.6.2, 4.7 Framework de Microsoft; si se utiliza un documento infectado (irá en un adjunto de correo electrónico o un link) o si se emplea una aplicación maliciosa (el ciberatacante construye una aplicación.NET infectada y la descarga a un ‘network-share’ y engaña a la víctima para que la ejecute); se utiliza una técnica de ciberataque denominada ‘ejecución por parte del usuario’, que conduce a una explotación de servicios remotos para ello el ciber-atacante utiliza ficheros adjuntos o links spear-phishing; no requiere exploit; iniciada por el usuario; no requiere autenticación; se asocia con CWE-20; se asocia con una severidad global CVSS3/CVSS2 de valor 9.4 (elevada). Para reducir el impacto de vulnerabilidades latentes nunca ejecutar software con privilegios de administrador, siempre, se debe ser un usuario sin privilegios, es decir, con los mínimos derechos de acceso.

Modelización de las ciberconductas inactivadas en los ciber-ataques ofensivos por parte del DAIM/MIAD

Los ciberataques en general y los del malware ofensivo en particular se pueden describir de forma multidimensional con IA, de muchísimas formas todas ellas integradas en las ciberconductas de los ciberataques ofensivos en general. Para ello exploremos los puntos en común de los diferentes modelos, bases de conocimiento, árboles multinivel de ciberataques, etc., públicos y privados más relevantes: Los ciberataques ofensivos en general (que suelen incluir malware ofensivo) pueden verse como una secuencia-cadena en un espacio n-dimensional de acciones, técnicas, procedimientos, tácticas, estrategias, contenidos de playbooks, etc. de acuerdo a un plan dinámicamente cambiante. Las principales fases-pautas-tácticas de acción y explotación identificables de forma visible o invisible en todo ciberataque en general que DAIM bloqueará, inactivará, neutralizará, etc. todo tipo de intentos maliciosos son los siguientes:

(1) Acceso-compromiso inicial - Reconocimiento global e interno. En el acceso inicial, los ciberatacantes o malware ofensivo utilizan vectores para ganar-establecer una posición inicial dentro de un objetivo (red, sistema, dispositivo, etc.). En el reconocimiento, los ciberatacantes o malware ofensivos tratan de recoger la mayor cantidad de información (sobre los objetivos a ciberatacar sin el conocimiento de la víctima), con esa información investigan, identifican, seleccionan, etc. mejor sus operaciones. Así mismo, tratan de recoger datos e información de inteligencia antes del ciberataque. Esta información puede recogerse de Internet en RRSS, Dark Web, foros, chats, motores de búsquedas Web de información (como Google, Yahoo, etc.) y motores de búsquedas de dispositivos como Shodan, etc. El DAIM está diseñado para neutralizar/bloquear todo tipo de intentos maliciosos de captura de dicha información y en caso de que cuente con alguna información de corromper dicha información para bloquear dicha táctica. Así mismo, el DAIM bloqueará todo tipo de intentos maliciosos de escaneo y reconocimiento de la red perimetral así como de sniffing de red de las redes expuestas, de redes externas (por ejemplo, ISPs/Internet Service Providers, servidores proxy de anonimización VPN) a las que están conectadas las redes de la organización a ciberatacar, así mismo bloquea cualquier tipo de análisis de tráfico de red, así mismo bloquea cualquier intento de recoger información utilizando descubrimiento de fuente abierta de información de la organización y reconocimientos internos dirigidos a malware dirigido. El DAIM está diseñado para neutralizar y bloquear todo tipo de intento de identificar y seleccionar objetivos/víctimas utilizando reconocimiento activo y pasivo. El DAIM está diseñado para neutralizar y bloquear todo tipo de intentos maliciosos de ‘drive-by-compromise’, ‘explotación de servicios remotos’, ‘cuentas válidas: cuentas locales’, ‘replicación a través de medios removibles’, ‘spear-phishing attachment-link’, ‘compromiso de la cadena de suministro’, ‘dispositivo accesible por Internet’, ‘compromiso del historial de datos’, etc. El DAIM está diseñado para neutralizar y bloquear todo tipo de intentos de explotar todo tipo de vulnerabilidades (en todo lugar, incluso en el ‘network-edge’), por ejemplo, la vulnerabilidad CVE-2017-8759. El DAIM bloqueará cualquier tipo de intentos maliciosos de actuación con RDP (Remote Desktop Protocol).

Imagen

(2) Ejecución. Permite al ciberatacante o malware ofensivo la ejecución de un código malicioso en el objetivo (sistema local o remoto, dispositivo, etc.); es decir, establece el modo en que el ciberatacante /malware se ejecuta en el objetivo-víctima. Esta táctica se suele utilizar en combinación con la de ‘acceso inicial’ como medio de ejecutar código una vez obtenido el acceso y el movimiento lateral permite expandir el acceso a sistemas remotos de la red. El DAIM bloqueará y neutralizará cualquier tipo de intentos maliciosos de uso de ‘WMI (Windows Management Instrumentation)’ (permite extraer información sobre el sistema operativo o software anti-virus instalado. Lo utilizan los malware fileless), ‘scripting’, ‘Command and Scripting Interpreter: PowerShell’ (lo utilizan los malware fileless la línea de comando PowerShell), ‘CLI-Command-Line-Interface’ (el DAIM bloqueará la ejecución maliciosa de módulos con el interfaz de línea de comandos ‘cmd.exe’, así mismo neutralizará la invocación de ‘cmd.exe’ para establecer un backdoor creando un TCP-reverse-shell), ‘scheduled task/job: scheduled task’, ‘ejecución a través de API (Application Programming Interface) nativa o no’ (por ejemplo, DAIM bloqueará todo tipo de intentos de lanzamiento y ejecución de procesos llamando a la función API-Windows ‘CreateProcessA’), ‘interfaz de usuario gráfico’, ‘interfaz de línea de comandos’, ‘cargas útiles maliciosas Shellcode como: ejecutar un Shell, añadir un usuario administrador, descargar e instalar un rootkit, conectarse con el servidor controlado por el ciberatacante y esperar comandos, etc.’. El DAIM bloqueará y neutralizará todo tipo de intento malicioso de ‘ejecución del usuario: link malicioso y fichero malicioso’, ‘cambio del modo de operación’, ‘Command and Scripting Interpreter: Visual Basic’, ‘Command and Scripting Interpreter: Windows Command Shell’, etc. El DAIM bloqueará y neutralizará todo tipo de intento malicioso de ejecutar una DLL (Dynamic-Link Library) vía ‘rundll32.exe’ y de utilización de argumentos de línea de comando ofuscados con ‘cmd.exe’. El DAIM bloqueará y neutralizará todo tipo de intentos maliciosos de ‘service execution’ (es decir, registrarse o ejecutarse como servicio; por ejemplo, ejecutar procesos remotos utilizando ‘PsExec.exe’; cuando ‘service execution’ ejecuta directamente el servicio es diferente de la técnica ‘new service’ que se utiliza como mecanismo de persistencia). El DAIM bloqueará y neutralizará todo tipo de intento malicioso de ejecutar PowerShell y llamadas ‘CreateObject’ para crear un objeto Shell para descargar y a continuación ejecutar un malware en segundo plano, así mismo bloqueará cualquier intento malicioso de crear un ‘reverse shell’ utilizando varios scripts Shell cifrados llamados a través de PowerShell. El DAIM bloqueará y neutralizará todo tipo de intento malicioso de crear procesos vía WMIC y de ejecutar malware ofensivo utilizando WMIC (Windows Management Instrumentation Command-line). El DAIM bloqueará y neutralizará todo tipo de intento malicioso de ejecutar a través de ‘API and Service Execution’, WMI y PowerShell para ejecución sin ficheros. El DAIM bloqueará y neutralizará todo tipo de intentos maliciosos de ‘process injection’ (para lanzar código malicioso. Así mismo bloqueará injectio DLL, ‘PE Pportable Executable) injection’, ‘thread execution hijacking’, ‘TLS (Thread Local Storage) callbak injection’, ‘APC (Asynchronous Procedure Call) injection’. El DAIM bloqueará y neutralizará todo tipo de intento malicioso de ‘access token manipulation’ (para manipular la propiedad de procesos Windows activos y seguidamente llamadas a las funciones ‘OpenProcessToken’, ‘LookupPrivilegeValueA’, ‘AdjustTokenPrivileges’, lo convierte también un mecanismo para ‘escalar privilegios’). El DAIM bloqueará y neutralizará todo tipo de intento malicioso de ‘explotation for privilege escalation’ (intentando acceder a la función ‘ShellExecute’. El DAIM bloqueará y neutralizará todo tipo de intento malicioso de ‘scheduled task’ (para ejecución que además puede elevar los privilegios a SYSTEM (crear un ‘new service’ dentro de un mecanismo de persistencia puede lanzar un servicio con privilegios de administrador para ejecutar bajo privilegios escalados de SYSTEM. El DAIM bloqueará todo tipo de intentos maliciosos de ejecución a través de API ‘Rundll32’.

(3) Persistencia. Es cualquier acceso, acción o cambio de configuración a un objetivo (dispositivo, sistema, red, etc.) que proporciona al ciberatacante o malware ofensivo una presencia persistente en el sistema; es decir, posibilita el modo de mantener acceso al objetivo-elemento comprometido. El DAIM neutralizará, bloqueará cualquier clase de intentos maliciosos de acceso, acción o cambio en el objetivo. El DAIM bloqueará y neutralizará todo tipo de intentos maliciosos de realizar interrupciones como re-arranques del sistema, pérdida de credenciales, otros fallos que necesitan una herramienta de acceso remoto para re-arrancar o backdoor para re-obtener el acceso, así mismo bloqueará cualquier clase de intento de ‘Logon Scripts’, ‘Scheduled Task’ (utilizando at.exe y schtasks.exe para disparar la ejecución en cada reboot o cada minuto), ‘Registry Run Keys’ / ‘Startup Folder’ (añadiendo una clave de autoarranque al registro Windows o a la carpeta Startup), ‘New Services’ (permite instalar programas maliciosos como un servicio del sistema. Se crea un nuevo servicio para ejecutarse en Windows Startup usando la función ‘CreateServiceA’ y añadiendo DLLs maliciosas), ‘Applnit DLLs’ (obtiene cada proceso que carga user32.dll para también cargar la DLL maliciosa), ‘crear o modificar procesos del sistema (Windows Service)’. El DAIM neutralizará, bloqueará cualquier clase de intentos maliciosos de ‘boot or logon autostart execution: registry run keys /startup folder’. El DAIM neutralizará, bloqueará cualquier clase de intentos maliciosos de dejar directamente en la carpeta Startup ficheros PE (Portable Executable). El DAIM neutralizará, bloqueará cualquier clase de intentos maliciosos de modificar servicios existentes (modificando las claves del registro utilizando reg.exe en HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services o utilizando sc.exe para modificar el estatus de los servicios Windows como Windows Update). El DAIM neutralizará, bloqueará todo tipo de intentos de ‘hooking’ por ejemplo, enganchar las funciones específicas del navegador Web. El DAIM neutralizará, bloqueará todo tipo de intentos de ‘image file execution options injection’ (permite lanzar un nuevo proceso adjuntando un debugger a un proceso corriente).

(4) Escalada de privilegios. Es el resultado de acciones perversas que permiten al ciber-atacante o malware ofensivo obtener un nivel mayor de permisos sobre un objetivo (sistema, dispositivo, red, servicio, etc.) para aumentar el control sobre dicho objetivo infectado; es decir posibilita elevar el acceso al sistema o recurso de red. Ciertas acciones o herramientas necesitan un nivel mayor de privilegios para poder operar y son necesarios en muchos puntos a través de una operación ofensiva. Los ciber-atacantes o malware ofensivo pueden entrar en un sistema acceso sin privilegios y debe aprovecharse de una vulnerabilidad del sistema para obtener privilegios de nivel de Root/System o administrador local. Una cuenta de usuario con acceso de administrador también puede utilizarse. También se considera una escalada de privilegios las ‘cuentas de usuario con permisos’ para acceder a sistemas específicos o para realizar funciones concretas que son necesarias para que los ciber-atacantes o malware ofensivo puedan realizar sus objetivos perversos. La escalada de privilegios proporciona al ciber-atacante o malware permisos más elevados en un sistema o red. El DAIM está diseñado para neutralizar y bloquear todo tipo de intentos de explotar todo tipo de vulnerabilidades, por ejemplo, la vulnerabilidad CVE-2017-8759. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de ‘inyección de procesos: Dynamic-link Library Injection’, ‘scheduled task’, ‘new service’, ‘access token manipulation’, ‘AppInit DLLs’, ‘AppCert DLLs’, etc.

(5) Evasión de defensas. Esta táctica permite al ciberatacante/malware evadir su detección y evitar otros tipos de defensas. El DAIM neutralizará y bloqueará todo tipo de intentos de evasión de detección y evitación de defensas en todas las fases de la operación del ciber-ataque. Así mismo bloqueará toda clase de intentos maliciosos de ‘modificar el registro’, ‘inyección de procesos’, ‘scripting’, ‘mascarada’ (se trata de manipular o abusar de nombres y localizaciones de ficheros legítimos para evadir defensas, por ejemplo, crear presencia en directorios de ficheros de programas, Windows y driver. El DAIM bloqueará todo tipo de intentos maliciosos de crear ficheros dentro del directorio system32, así como crear ficheros ejecutables con nombres similares a los ficheros Windows existentes, así como emplear nombres de aplicaciones comúnmente utilizadas en aplicaciones de terceras partes), ‘inhabilitación de herramientas de ciberseguridad’, ‘access token manipulation’, ‘bypass user account control’, ‘BITS Jobs’, ‘DLL Side-Loading’, ‘binary padding’, ‘software packing’ (el DAIM bloqueará todo tipo de intento malicioso de existencia de packing-compresión con packers como UPX, RAR, etc.), ‘ficheros o información ofuscada’ (se trata de ofuscar los contenidos-instrucciones de los ciber-ataques en tránsito y en almacenamiento. El DAIM bloqueará todo tipo de intentos maliciosos de existencia de código fuente.NET que contenga largas secciones de código codificado en Base64, así como código.NET que llame a funciones de descifrado ‘CreateDecryptor’, así mismo ‘inlined NOP slides’ que implica la presencia de código Shell ofuscado), ‘cambio de modo de operación’, ‘falsificación de mensaje de reporting’, ‘desofuscar/descodificar ficheros e información’ (el DAIM bloqueará todo tipo de uso malicioso de funciones de descifrar strings para recuperar las secciones de código malicioso ofuscado. La técnica es cifrar sólo las secciones maliciosas de un malware ofensivo y descodificarlas antes de ejecutarlas para evadir su detección), etc. El DAIM bloqueará y neutralizará todo tipo de intentos maliciosos de ejecutar una DLL (Dynamic-Link Library) vía ‘rundll32.exe’ y de ‘inyección de procesos’.

Imagen

(6) Acceso a credenciales. Posibilitan al ciberatacante o malware acceder o controlar sobre el dominio, sistema o servicio las credenciales utilizadas dentro de un entorno objetivo, es decir, obtener alguna forma de credenciales privilegiadas para utilizar en etapas posteriores del ciberataque ofensivo y expander el control de los recursos. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de obtener credenciales legítimas de cuentas de usuarios o administrador (administrador del sistema local o usuarios de dominio con acceso de administrador) para usarlas dentro de la red. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de que el ciberatacante/malware pueda asumir la identidad de la cuenta con todos los permisos de la cuenta en el sistema y red. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de crear cuentas para posteriormente utilizarlas dentro del entorno objetivo/víctima y de extraer credenciales de los navegadores Web. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de ‘fuerza bruta: averiguar contraseñas’, ‘credential dumping, por ejemplo, OS credential dumping: LSASS Memory’, ‘bash history’, ‘account manipulation’, ‘credenciales no seguras: credenciales en ficheros’, ‘sniffing de red’, ‘credenciales situadas en almacenamientos de contraseñas: credenciales ubicadas en navegadores Web’, etc. El DAIM bloqueará todo tipo de intento malicioso de ‘input capture’ (es decir, capturar las entradas del usuario, por ejemplo, la función ‘SetWindowsHookEx’ intercepta las teclas pulsadas en el teclado, así mismo, la funcionalidad de recuperar información de teclas presionadas utiliza funciones como ‘GetAsyncKeyState’, ‘GetKeyState’ y ‘MapVirtualKeyA’. Así mismo el DAIM bloqueará todo intento malicioso de crear un objeto ‘DirectInput’ utilizando las funciones ‘DirectDrawCreateEx’ para capturar las teclas pulsadas. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de ‘credential dumping’ (es decir, obtener la información de login y contraseña del sistema operativo y software que puede utilizarse para movimientos laterales en la red, por ejemplo, bloquea todo tipo de intento de recoger las contraseñas e historial del navegador Web, de interrogar en busca de localizaciones de ficheros y claves del registro de herramientas FTP de terceras partes. Así mismo bloqueará todo tipo de intentos maliciosos del acceso a la clave del registro ‘login data’ utilizada por el navegador Web Chrome para guardar las contraseñas e interrogar al sistema de ficheros). El DAIM bloqueará todo tipo de intento malicioso de ‘credential dumpling’ (por ejemplo, utilizando procedimientos como ‘gsecdump’, ‘pwdumpx.exe’, ‘mimikatz’, etc.

(7) Descubrimiento. Permite al ciber-atacante o malware obtener el conocimiento (y la conciencia contextual) del objetivo (sistema, dispositivo, red, etc.). Es como una segunda iteración del reconocimiento donde se despliegan funciones del sistema operativo nativo. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de descubrimiento de información del sistema y red y ‘network share discovery’. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de manipular maliciosamente el sistema operativo que puede proporcionar herramientas nativas que ayuden en la fase de recogida de información y post-compromiso. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de ‘descubrimiento de proceso’ (se trata de bloquear todo tipo de intento malicioso de realizar llamadas a las funciones Windows ‘CreateToolhelp32Snapshot’, ‘Process32First’, ‘Process32Next’, así como, de utilizar ‘tasklist.exe’ para descubrir los procesos que se ejecutan en los sistemas local y remoto), ‘descubrimiento de cuenta: cuenta de correo electrónico’. El DAIM bloqueará y neutralizará cualquier tipo de intento malicioso de ‘sniffing de todo tipo de redes alámbricas e inalámbricas’, de ‘descubrimiento de sistemas remotos y de información en sistemas remotos’, de ‘descubrimiento de software de seguridad’ (se trata de que el ciberatacante detecte la presencia de elementos de protección como software anti-malware, reglas de firewall local, software de virtualización, anti-debugging, etc. El DAIM bloqueará todo intento malicioso de interrogar a la función ‘SystemKernelDebuggerInformation’ para detectar un ‘ring 0 debugger’ conectado al proceso corriente, así mismo, de detectar un debugger comprobando la diferencia de tiempo entre dos llamadas API Windows, ‘GetProcessHeap’ y ‘CloseHandle’. El DAIM bloqueará todo tipo de intentos maliciosos de realizar una llamada API a la función ‘IsDebuggerPresent’, así mismo, bloqueará todo tipo de intentos maliciosos de comprobar la presencia de un debugger poniendo ‘GetLastError’ en el registro a un valor aleatorio y comprobar si ha cambiado después de llamar a ‘OutputDebugString’. El DAIM bloqueará todo tipo de intentos maliciosos de ejecutar la instrucción RDTSC (ReaD-Time-Stamp-Counter) para determinar la velocidad con la que las instrucciones se ejecutan en el procesador, de esto se puede inferir la presencia de un debugger. Detectar máquinas/entornos de virtualización o entornos sandbox es otra técnica para que el ciber-atacante pueda saber si se le está analizando. El DAIM bloqueará todo tipo de intentos maliciosos de detectar las claves del registro específicas para averiguar compartición de funcionalidad como HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\VMTools, así mismo, bloqueará todo tipo de intentos maliciosos de llamar a la función ‘PhysicalDrive0’ para comprobar los ‘strings’ que pueden indicar que el drive esta virtualizado. El DAIM bloqueará todo tipo de intentos maliciosos de ‘descubrimiento de información del sistema’ (se trata de ejecutar malware ofensivo interrogando al sistema operativo y hardware, por ejemplo, el MAID bloqueará todo tipo de intentos maliciosos de interrogar la versión del sistema operativo utilizando la función ‘GetVersion’, así mismo bloqueará todo tipo de intentos maliciosos de recuperar información local como lenguaje del interfaz de usuario interrogando a las funciones de la API Windows ‘GetLocaleInfoA’, ‘GetLocaleInfoEx’, así mismo, el MAID bloqueará todo tipo de intentos maliciosos de obtener información usando ‘VirtualQuery’ y ‘VirtualAlloc’ para recoger sobre los contenidos de memoria). El MAID bloqueará todo tipo de intentos maliciosos de comprobar las instrucciones de CPU que pueden tener propósitos anti-malware. Dependiendo de la llamada la instrucción puede devolver el identificador del fabricante de la CPU o la marca del hipervisor. Ciertos valores devueltos pueden indicar si el malware ofensivo está ejecutándose sobre una máquina física o virtual. El MAID bloqueará todo tipo de intentos maliciosos de recuperar información del procesador de la clave de registro Windows HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor. El MAID bloqueará todo tipo de intentos maliciosos de ‘descubrimiento de configuración de red del sistema’ (por ejemplo, bloqueará todo tipo de intentos de llamar a la función ‘GetAdaptersInfo’ para recuperar información sobre el adaptador de red, así mismo, bloqueará todo tipo de intentos de usar ipconfig, netsatat, netsh para encontrar la configuración de red de Windows, así mismo, bloqueará todo tipo de intentos maliciosos de interrogar los servicios de geolocalización e IP online para determinar la dirección IP online del sistema infectado. El DAIM bloqueará todo tipo de intentos maliciosos de ‘query registry’ (es decir interrogar al registro Windows para descubrir información sobre el sistema, así mismo de leer políticas de restricción software del registro Windows enumerando ‘HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers. El valor DWORD de ‘AuthenticodeEnabled’ indica si la ejecución de binarios está restringida por sistema operativo). El DAIM bloqueará todo tipo de intentos maliciosos de interrogar al registro sobre el GUID (Globally Unique IDentifier) del dispositivo como identificador único de sistema infectado.

Imagen

(8) Movimiento lateral-pivotar. Permiten al ciber-atacante o malware ofensivo acceder y controlar sistemas remotos de una red y nube, pero no necesariamente incluye la ejecución de herramientas en sistemas remotos. Posibilita pivotar sobre la red a otros sistemas de interés, así mismo, el ciber-atacante o malware puede tunelizar el tráfico a través de sistemas controlados hacia otros sistemas que no están directamente accesibles. El DAIM neutralizará y bloqueará todo tipo de intentos maliciosos de recoger información de un sistema sin necesitar de herramientas como las de acceso remoto y de conectarse utilizando un protocolo desktop remoto. El DAIM bloqueará todo tipo de intentos maliciosos de crear procesos de forma remota utilizando WMI (Windows Management Instrumentation) y ‘scripting’. El DAIM bloqueará toda clase de intentos maliciosos de realizar movimientos laterales utilizando ‘explotación de servicios remotos: remote desktop protocol’, ‘servicios remotos: SMB/Windows Admin Shares’. El DAIM bloqueará y neutralizará cualquier tipo de intentos maliciosos de actuar sobre ‘cuentas válidas’, ‘descargar programas’, ‘explotar servicios remotos’, ‘transferir herramientas lateralmente’. El DAIM neutralizará y bloqueará todo tipo de intentos maliciosos de realizar ‘copia remota de ficheros’ (es decir, la actividad de descarga (download-upload) maliciosa dentro de la red, por ejemplo, bloqueará todo tipos de intentos maliciosos de descargar ficheros adicionales a los detectados por el entorno de análisis. El DAIM neutralizará y bloqueará todo tipo de intentos maliciosos de utilizar peticiones ‘HTTP GET’ sin cifrar almacenando los resultados en el directorio ‘Temporary-Internet-Files’, también se bloqueará todo tipo de intentos maliciosos de establecer conexiones HTTPS). El DAIM neutralizará y bloqueará todo tipo de intentos maliciosos de realizar ‘replication through removable media’ (es decir, intentar infectar dispositivos de almacenamiento USB (como pendrives, discos, etc.) creando ficheros ‘autorun.inf’ con una entrada ‘Open o ShellExecute’). El DAIM bloqueará todo tipo de intento de ‘remote desktop protocol’ (se trata de arrancar el servicio ‘remote desktop’ técnica efectiva y sigilosa para movimiento lateral ya que se mezcla y armoniza con el flujo de protocolos de red normal. El DAIM neutralizará todo tipo de intentos maliciosos de descargar ficheros adicionales e impedirá procesos no usuales que establecen conexiones de red.

(9) Recogida. Posibilita al ciberatacante o malware ofensivo identificar y recoger (información y datos como ficheros sensibles) de una red objetivo antes de la exfiltración, es decir, establece el modo en que se recogerá la información que se enviará al ciber-atacante. Se basan, por ejemplo, en funciones nativas de Windows que les permite adquirir información sensible del usuario. El DAIM neutralizará y bloqueará todo tipo de intentos maliciosos de realizar la localización de un sistema o red y de buscar información para exfiltrarla y de recoger datos del sistema local. El DAIM bloqueará todo tipo de intentos maliciosos de ‘archivar datos recogidos’, ‘recogida de correo electrónico, por ejemplo, recogida de correo electrónico local’. El DAIM bloqueará todo tipo de intentos maliciosos de ‘clipboard data’ (es decir, de obtener datos del ‘clipboard de Windows’. Para ello bloqueará todo intento de realizar llamadas a ‘OpenClipboard’ y ‘GetClipboardData’. Así mismo, bloqueará todo tipo de intentos maliciosos de arranque de una ventana en la clase ‘Clipbrdwndclass’ para obtener operaciones ‘copy-paste’). El DAIM bloqueará todo tipo de intentos maliciosos de realizar ‘screen capture’ (que captura contenidos GUI principalmente con llamadas a funciones como ‘GetDesktopWindows’, ‘GetWindowsRect’ para recuperar dimensiones de ventana y ‘BitBlt’ y ‘GetDIBits’ para guardar la captura en un buffer). El DAIM bloqueará todo tipo de intentos maliciosos de ‘email collection’ (es decir, recoger mensajes de correo electrónico interrogando las localizaciones de ficheros y claves de registro asociadas con clientes de correo electrónico como clientes de correo Windows y Outlook). El DAIM bloqueará todo tipo de intentos maliciosos de utilizar ‘scripting’ para automáticamente buscar y copiar datos dependiendo de ciertos criterios y de ‘captura de entradas’.

(10) C&C/C2 (Command and Control). Permite a los ciber-atacantes/malware ofensivos acceder al objetivo (red, sistema, dispositivo, etc.) a ciber-atacar desde una localización remota (y comunicarse con sistemas bajo su control); es decir, posibilita al ciberatacante ejercer control sobre los sistemas/dispositivos infectados-comprometidos. Existen muchas formas de que puedan establecerse canales C&C con diversos niveles de encubrimiento, dependiendo de la configuración del sistema y topología de red. El C&C es el proceso de dirigir las actividades y acciones de un dispositivo, sistema, máquina, etc. infectada por parte de un botmaster. Utilizando la instalación del malware, este crea un canal C&C para acceder a los activos internos de la víctima/objetivo habiendo ganado con éxito el control del objeto de la víctima/objetivo (sistema, dispositivo, etc.). El DAIM bloqueará todo tipo de intentos de accesos maliciosos y neutralizará intentos de control. El DAIM bloqueará cualquier tipo de intentos maliciosos de definir nuevos protocolos o utilizar los ya existentes y los servicios de red para la comunicación maliciosa. El DAIM bloqueará todo tipo de intentos maliciosos de comunicarse utilizando puertos no estándar, utilizando HTTP a dominios registrados propiedad del ciber-atacante. El DAIM bloqueará todo tipo de intentos maliciosos de utilizar canales cifrados (con criptografía simétrica o asimétrica, con esteganografía, subliminares, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de establecer tráfico TCP o UDP sobre puertos no estándar (esta técnica se denomina ‘uncommonly used port’, de este modo el ciber-atacante trata de saltarse las configuraciones deficientes de firewall y proxy). El DAIM bloqueará todo tipo de intentos maliciosos de comunicarse con medios sociales como Facebook, Tumbler, etc. y sitios de masa como Pastebin (se utilizan frecuentemente para C&C, son técnicas basadas en ‘servicios Web’). El DAIM bloqueará todo tipo de intentos maliciosos de comunicarse utilizando ‘multi-hop proxy’ (por ejemplo, iniciando conexiones Tor), ‘despliegue de named-pipes para C&C’ (los ‘naned-pipes’ son un método para IPC (Inter-Process Communication) con procesos locales y remotos. Para crear un ‘named pipe’ un proceso llama a la función ‘CreateNamedPipe’ del módulo kernel ‘kernel32.dll’. El servidor ‘named pipe’ permite a los procesos local y remoto conectarse al ‘pipe’ e intercambiar información con el malware ofensivo), etc. El DAIM bloqueará todo tipo de intentos maliciosos de establecer comunicación vía SMB y RPC para tráfico C&C, de modo que ‘named pipes’ se conecten a procesos remotos sobre SMB/RPC. Los ciberatacantes suelen establecer un dispositivo comprometido como servidor interno C&C para manejar el tráfico saliente y se tiene otros dispositivos comprometidos conectados tipo P2P (Peer-To-Peer) vía ‘named pipes’.

Imagen

(11) Exfiltración. Permite al ciberatacante o malware ofensivo sustraer ficheros e información de un objetivo (dispositivo, sistema, red, etc.), es decir, posibilita transferir información adquirida en el proceso al ciberatacante. El DAIM neutralizará y bloqueará todo tipo de intentos maliciosos de realizar la localización de sistemas o redes donde buscar información para exfiltrarla. El DAIM bloqueará todo tipo de intentos maliciosos de exfiltrar información/datos utilizando canales C&C/C2, subliminares, con esteganografía, etc. El DAIM bloqueará todo tipo de intentos maliciosos de descargar ficheros vía FTP llamando a la función ‘FtpPutFile’ (tipificada como exfiltración sobre protocolos alternativos (además se pueden emplear FTP, SMTP, HTTP/S, DNS, SSH, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de exfiltrar datos locales cifrados utilizando la técnica ‘data encryption’ (similar al hackeo-ofensivo de uno de los servidores de la red de comunicaciones diplomáticas de la Unión Europea ‘Coreu’).

(12) Weaponization (operaciones con herramientas weaponizer). Los agentes de ciberataques ofensivos tratan de crear malware con una carga útil maliciosa para enviar al objetivo/víctima. Dicha carga útil puede ser una funcionalidad malware simple (como backdoor, worm, virus, keylogger, troyano, VBS-autorun, etc.) o combinada (como ransomware, etc.) o un fichero ejecutable que puede realizar alguna acción insidiosa sobre el objetivo/víctima (dispositivo. sistema, red, aplicación, etc.). Se acopla un software malicioso como un RAT con un exploit en una carga útil entregable típicamente por medio de una herramienta automatizada (denominada weaponizer). El DAIM bloqueará todo tipo de intentos maliciosos de instalar/inyectar cargas útiles maliciosas. Así mismo bloqueará cualquier tipo de intento malicioso de lanzar ciberataques phishing/spearphising/smishing/whaling/vishing y de comprometer sistemas en otras organizaciones para establecer una presencia perversa en la cadena de suministro. El DAIM bloqueará cualquier tipo de intento malicioso de ejecutar actividades de preparación para establecer la infraestructura necesaria para el ciber-ataque (por ejemplo, crear un fichero). El DAIM bloqueará todo tipo de intentos maliciosos de realizar test de detección de firma.

(13) Entrega. Los ciberataques ofensivos en general (que suelen integrar malware ofensivo) tratan de transmitir y enviar la carga maliciosa (denominada weapon) al entorno objetivo/víctima utilizando algún medio de comunicación (cableado cobre/fibra óptica, OTA, satelital, por conexión física con pendrive-USB, etc.). Pueden enviar la carga útil utilizando mensajería instantánea, redes sociales, código QR, APPs, correo electrónico en forma de un fichero adjunto o un link/botón/icono que descargará dicha carga útil perversa. El DAIM bloqueará todo tipo de intentos maliciosos de entregar la carga útil. El DAIM bloqueará todo tipo de intentos maliciosos de transmitir objetos armados ‘weapon’ al entorno objetivo/víctima a ciber-atacar (dispositivo, sistema, red, aplicación/servicio, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de entregar documentos Word, PDF, Excel, etc. contaminados o ejecutables/comprimidos infectados en correos electrónico spear-phishing, etc.

(14) Ingeniería social. Esta táctica (basada en psicología, existen motores de IA de ayuda) engloba todas las técnicas que posibilitan engañar/manipular a las personas para que realicen acciones peligrosas-dañinas y facilitadoras de los ciber-ataques ofensivos. Esta táctica facilita la instalación de los elementos utilizados en el ciber-ataque, como, por ejemplo, malware ofensivo en el objetivo/víctima (dispositivo, sistema, red, etc.). Para que la carga útil se active o infecte puede o no necesitar ser ejecutada por la víctima. El DAIM neutralizará/bloqueará todo tipo de intentos maliciosos de ejecución de la carga útil maliciosas y bloqueará todo tipo de acciones peligrosas que pueda realizar el usuario.

(15) Ingeniería inversa/resersing. Esta táctica permite al ciber-atacante o malware ofensivo buscar dentro de ficheros para encontrar datos confidenciales como contraseñas, claves, ‘passwords-hardcoded’, secretos, debilidades, etc. Esta táctica desensambla, descompila, descodifica, etc. programas para encontrar la versión fuente original. Posibilita obtener programas fuente a partir de ejecutables, procesados, ensamblados, etc. Se trata de obtener información vital secreta a partir de programas software, APPs, etc. donde se encuentran claves y poder conocer las vulnerabilidades, fallos, etc. encerrados para generar exploits contra herramientas software y hacer que el ciberataque/malware progrese. La ingeniería inversa realiza el proceso del ‘reversing’ de ejecutables, es decir, descompilación de programas en diferentes lenguajes de programación o de un desensamblado o una descodificación obteniendo los programas originales, fuentes y descodificados para encontrar secretos útiles, vulnerabilidades, etc. El DAIM neutralizará/bloqueará todo tipo de intentos maliciosos de operar con ingeniería inversa.

(16) Explotación. Acceso root al dispositivo/sistema aprovechándose de vulnerabilidades que permiten la ejecución del código malicioso. Si el objetivo/víctima ha descargado la carga útil maliciosa arranca la explotación. En esta táctica el ciberatacante o malware puede necesitar la ayuda de la víctima/objetivo. El DAIM bloqueará todo tipo de intentos maliciosos de descargas maliciosas, rompiendo la cadena sin retorno. El DAIM bloqueará todo tipo de intentos maliciosos de utilizar ingeniería social, de emplear exploits de vulnerabilidades (como CVE-2015-1641), etc.

(17) Instalación. Adición de ficheros y código ejecutable como RAT (Remote Access Trojan) necesario para que el ciber-atacante o malware ofensivo mantenga el control sobre el dispositivo, máquina, sistema, etc. víctima. Se instala el malware en el objetivo (dispositivo, sistema, etc.) víctima. Para que la carga útil infecte puede necesitar ser ejecutada por la víctima. El DAIM neutralizará/bloqueará todo tipo de intento malicioso de ejecución de la carga útil maliciosa. El DAIM bloqueará todo tipo de intentos maliciosos de instalar utilizando herramientas de administración remota como Nflog RAT, SysGet RAT, etc.

Imagen

(18) Ciberacciones genéricas. El DAIM bloqueará todo tipo de intentos maliciosos de Winlogon Helper DLL (basado en crear una dll maliciosa, dll maliciosa, ejecución no autorizada de dll, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de inyección (utilizando, por ejemplo: comandos y código local/remoto, HTML, comandos del sistema operativo, código PHP, objetos PHP, comandos Shell locales/remotos, SQL, entidad externa XML, Script, etc.). El DAIM bloqueará todo tipo de intentos maliciosos basados en ficheros (como acceso, leer, escribir, borrar, actualizar, descargar, permisos de fichero no seguros, creación arbitraria/temporal, inculde local/remoto, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de saltarse-violar (acceso, identificación, autenticación (por ejemplo: por fuerza bruta), autorización, MITM (Man-In-The-Midlle), URI processing, credenciales/contraseñas/claves hard-coded, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de violar sesiones (por manipulación, gestión deficiente/débil, por secuestro, por fijación, mantener abierta por defecto, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de violar credenciales (por estar por defecto o hard-coded, por mala configuración, por utilizar números aleatorios predecibles o inseguros, por cifrado débil de contraseñas, por falsificación de certificados/SSH, por MITM, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de entrada ilegal (basada en documentos, basada en correo electrónico/IM/RRSS, basada en aplicaciones/APP-API, basada en petición, basada en MITM, basada en ‘click jacking’, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de escalada de privilegios basada en (overflow, en corrupción de memoria, en ejecución de código/comando local o remoto, en buffer overflow basado en ‘heap’, en ‘null pointer dereference’, en ‘integer overflow’, en buffer overflow basado en stack, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de robo de cookies de sesión Web (basada en robo de cookies, sesión aleatoria débil, cookie maliciosa, suplantación de sesión, secuestro de sesión, averiguar cookie, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de evasión de virtualización/sandbox (basada en restricciones del sandbox, proceso metido en sandbox, saltarse-violar la protección del sandbox, protecciones del sandbox, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de Web Shell (basado en descargar y ejecutar script arbitrario, descargar Shell, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de descubrimiento de conexiones de la red del sistema (basado en scanning manual, scanning de puertos, fugas de la red protegida, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de ficheros adjuntos de spear-phishing (basado en phishing, en distribuir la página y tentar a usuarios que no sospechen, etc.). El DAIM bloqueará todo tipo de intentos maliciosos relacionadas con cuentas válidas (basado en cuentas por defecto, cuentas administrativas, creación no autorizada de cuentas de usuario, credenciales predecibles de cuentas, realizar intentos sucesivos de login incorrectos, protección de multiple-login, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de actuar con servicios Web (basado en servicios Web maliciosos, etc.).

(19) Inhibir función de respuesta en OT. El DAIM bloqueará todo tipo de intentos maliciosos de activar el modo de actualización de firmware, de detener servicios, de inyectar rootkit, de modificar la configuración de alarmas, de rearranque/shutdown de dispositivos/PLCs, de denegación de servicios, de bloquear mensajes de reporting, de suprimir alarmas, de bloquear mensajes de control, de bloquear COM serie, de destruir datos.

(20) Deteriorar el control de procesos en OT. El DAIM bloqueará todo tipo de intentos maliciosos de permitir tráfico de red anómalo que incluye actividad de E/S indicando un ataque de E/S por fuerza bruta. El DAIM bloqueará todo tipo de intentos maliciosos de cambio de estado de un programa ubicado un dispositivo de control (por ejemplo, envío de comandos a un PLC). El DAIM bloqueará todo tipo de intentos maliciosos de comportamientos anómalos (esto pone de manifiesto técnicas de mascarada de dispositivos). El DAIM bloqueará todo tipo de intentos maliciosos de modificar la lógica de control de PLCs. El DAIM bloqueará todo tipo de intentos maliciosos de modificar parámetros con comandos de configuración sobre PLCs. El DAIM bloqueará todo tipo de intentos maliciosos de modificar-descargar firmware nuevo malicioso a PLCs que causa comportamiento inadecuado, para ello utiliza un índice de todas las versiones de firmware en cada dispositivo PLC. El DAIM bloqueará todo tipo de intentos maliciosos de modificación de un PLC concreto desde dispositivos no autorizados incluyendo descargas de programas en un PLC concreto. El DAIM bloqueará todo tipo de intentos maliciosos de comunicarse con un dispositivo master anómalo, así mismo bloqueará todos los dispositivos (como PLCs) que no fueron autorizados para estar activos en la red. El DAIM bloqueará todo tipo de intentos maliciosos de enviar mensajes de control no autorizados.

(21) Impacto (objetivo final o cobertura para seguir ciberatacando). Esta táctica engloba todas las técnicas que posibilitan al ciberatacante o malware ofensivo manipular (datos para impactar en los negocios (entorno IT) o procesos operacionales (entorno OT)), espiar (brechas a la confidencialidad, propiedad intelectual, etc.), interrumpir, destruir, degradar, etc. la información/datos o el sistema objetivo/víctima, reducir la disponibilidad o integridad de un servicio, sistema, red, etc. El DAIM bloqueará todo tipo de intentos maliciosos de cifrar datos para ransomware o robar datos para doxware. El DAIM bloqueará todo tipo de intentos maliciosos de robar información operacional y de dañar la propiedad-bienes. El DAIM bloqueará todo tipo de intentos maliciosos de denegar el control, de denegar la visión, de pérdida de disponibilidad, de pérdida de la protección, de manipular el control, de degradar el proceso global/parcial, etc.

(22) Acciones sobre los objetivos (los objetivos pueden ser comerciales, socio-económicos, geopolíticos, técnicos, humanos, a infraestructuras, militares, dirigidos a entidades específicas, globales, etc., pueden ser simples o englobar objetivos estratégicos de mayor calado-nivel.). Son actividades originadas por el ciber-atacante botmaster en la etapa C&C que son dirigidas contra un objetivo u otros sistemas, dispositivos, redes, etc. El ciber-atacante o malware malicioso realiza sus acciones sobre los objetos (sistema, dispositivo, red, pasarela, router, impresora, etc.) de la víctima/objetivo infectado como manipular, interceptar, fabricar, interrumpir, destruir, etc. Esto puede ser el punto de partida de un ciberataque malware más complejo el malware puede progresar hacia datos más valiosos de la BD a través del servidor Web. El DAIM bloqueará todo tipo de intentos maliciosos de realizar acciones sobre la víctima/objetivo e impedirá posibles intentos de progreso hacia otros objetivos. Haciendo ingeniería inversa de una CKC podemos identificar el comportamiento y motivaciones del malware. Estas indicaciones permiten al DAIM bloquear todo tipo de puntos débiles, vulnerabilidades, exploits, etc. El DAIM bloqueará todo tipo de intentos maliciosos de exfiltrar datos utilizando canales C&C/C2 (Command and Control).

(23) Escaneo. El ciberatacante en general debería obtener información sobre el objetivo (usuario, dispositivo, sistema, nodo, aplicación, servicio, etc.) a explotar con éxito. En algunos casos el ciberatacante (cracker, ciber-arma/malware ofensivo, cibercriminal, hacker ofensivo, ciberdelincuente, etc.) gasta mucho esfuerzo para encontrar los datos relacionados con las víctimas. El DAIM bloqueará todo tipo de intentos maliciosos de escaneo.

Imagen

(24) Ganar acceso. El ciberatacante debería obtener acceso al objetivo (dispositivo, aplicación, red, etc.) y realizar las actividades maliciosas (modificar, robar, cifrar datos, espiar, generar daños humanos/medio ambientales, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de ganar-obtener cualquier tipo de acceso.

(25) Mantener el acceso. Durante el tiempo del ciber-ataque para una explotación con éxito el ciberatacante trata de encontrar formas de mantener el acceso al objetivo (dispositivo, sistema, etc.) utilizando mecanismos (que el DAIM neutralizará) como backdoors (por ejemplo, rustock.b, tivserv, etc.), ejecución de servicios ocultos, etc. El DAIM bloqueará todo tipo de intentos maliciosos de permitir cualquier forma de mantener el acceso.

(26) Cubrir trazas-pistas. El ciberatacante debería cubrir todo tipo de trazas-evidencias sobre la existencia del ciber-ataque para evitar su detección, dejar pistas falsas (inculpando a otros, falsa bandera) o incluso para ser anónimo (nunca existió). El DAIM bloqueará todo tipo de intentos maliciosos de que el ciberatacante pueda cubrir sus trazas, pistas, ciberevidencias.

Muchos ciberataques sólo utilizan unas pocas de las fases anteriormente especificadas, por ejemplo:

(I) Un ciberataque tipo XZ5 utiliza como patrón: [‘reconocimiento – weaponization - entrega – explotación – instalación - C&C - acciones sobre el objetivo’].

(II) Un ciberataque tipo SW9 utiliza como patrón: [‘reconocimiento/acceso inicial – entrega – exploración – instalación – ejecución’].

(III) Un ciberataque ‘ransomware avanzado’ utiliza como patrón: [‘acceso/compromiso inicial (phishing, vulnerabilidad de borde de red, RDP/Remote Desktop Protocol, etc.) - escalada de privilegios a dominio Admin (para acceso al AD (Active Directory)/LDAP) – (exfiltrar datos, destruir backups, desplegar la carga útil ransomware) – Demanda de pago por el rescate (en criptomonedas)’].

Consideraciones finales

Nuestro mundo va siendo cada vez más automatizado, cibernético (con todo tipo de realidad virtual, aumentada, disminuida, etc.), digital (sin olvidar la parte analógica y los conversores A/D y D/A), tecnológico, conectado, basado en servicios, definido por software y datos (SDN-SoftwareDefined-Network, SDR-Software-Defined-Radio...), etc., y cuando estos elementos (servicios, APPs/APIs, datos, firmware, software, hardware, personas, sostenibilidad, medio ambiente, etc.) se infectan o se ven comprometidos, es decir se ven ciberatacados por ciberatacantes/crackers/robots/malware ofensivo de todo tipo surgen las ciberpandemias, las campañas masivas de ciberataques/infección, las ciberendemias y puede llegar al caos. Según Netskope el 44% de las ciberamenazas hacen uso de la nube, en este entorno el malware ofensivo se lanza a través de servicios y aplicaciones ‘cloud’. El Adobe Flash tiene un elevado número de vulnerabilidades que utiliza el malware ofensivo para ciberatacar.

Según la sexta edición del estudio de IBM sobre ciberresiliencia ‘Cyber Resilient Organization Study 2021’ basado en la encuesta de Ponemon Institute a nivel mundial, reconoce que más de la mitad de las empresas (51%) admitió haber sufrido un ciberataque contra sus datos (fuga de ficheros de información de alto valor, disminución de la productividad de los empleados, daños en infraestructuras de IT, inactividad del centro de datos, etc.). En un informe presentado de forma conjunta entre Harvard Business Review Analytic Services titulado ‘En la era de la Inteligencia se observa una superficie de ataque en expansión’y DXC Technology se destaca que el 52% de los directivos reconocen la incapacidad de sus organizaciones para detectar y prevenir robos de datos (lo cual es un problema de seguridad organizacional alto o muy alto); así mismo, los encuestados mostraron una gran preocupación por las redes y el software no seguro (un 49%) que puede conducir al robo de datos. Si RDP (Remote Desktop Protocol) que es una herramienta software desktop remota ya ha accedido a un sistema/máquina/dispositivo es explotado y luego se usa ese acceso al sistema, por ejemplo, para robar, secuestrar, cambiar, etc. información.

Para reducir las vulnerabilidades en la cadena de suministro se necesita un enfoque integral basado en ciberseguridad por diseño que tenga en cuenta los posibles riesgos en la arquitectura, el diseño, la fabricación y el mantenimiento del sistema. Cuanto mayor sea el número de puntos de interacción (control, manipulación, tests-observación-intervención, mantenimiento, control de calidad, etc.) en una cadena de suministro mayor será el número de oportunidades para poder ciber-atacar, infectar, inyectar, introducir en el activo todo tipo de software, firmware, hardware malicioso como troyanos, backdoor, etc.

Referencias

  • Areitio, J. ‘Seguridad de la Información: Redes, Informática y Sistemas de Información’. Cengage Learning-Paraninfo. 2020.
  • Areitio, J. ‘Exploración longitudinal y transversal de las infecciones de malware’. Revista Seguridad. SG-31. Febrero, 2021.
  • Areitio, J. ‘Matizaciones sobre los efectos de la no anticipación contra el incremento creciente del malware oculto no detectable’. Revista Eurofach Electrónica. EF-481, Interempresas. Abril 2021.
  • Areitio, J. ‘Exploración, identificación y detección de malware inteligente para evitar caos ciberepidemiológicos y ciber-pandemias’. Revista Seguridad. SG-34, Interempresas. Julio 2021.
  • Areitio, J. ‘Identificación y exploración del horizonte de sucesos y espacio de observación vinculado al moderno malware’. Revista Seguridad, SG-35. Septiembre, 2021.
  • Areitio, J. ‘Campos de acción, confluencias e impactos de las vulnerabilidades en la evolución y ciclo de vida del malware inteligente avanzado (ofensivo y defensivo)’. Revista Seguridad, SG-36. Noviembre, 2021.
  • Areitio, J. ‘Análisis y predicción de estrategias y tácticas para la creación de malware inteligente avanzado defensivo’. Revista Eurofach Electrónica, EF-485 Interempresas. Diciembre 2022.
  • Areitio, J. ‘Empoderamiento de las capacidades del malware inteligente avanzado defensivo’. Revista Eurofach Electrónica, EF-486 y Revista Seguridad, SG-37 Interempresas. Febrero 2022.
  • Areitio, J. ‘Ampliación de funciones del DAIM/MIAD para la defensa y protección contra todo tipo de ciberataques ofensivos’. Revista Seguridad, SG-38 y Revista Eurofach Electrónica, EF-487 Interempresas. Abril 2022.
  • Matrosov, A., Rodionov, E. and Bratus, S. ‘Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats’. No Starch Press. 2019.
  • Velu, V.K. ‘Mastering Kali Linux for Advanced Penetration Testing: Become a Cybersecurity Ethical Hacking Expert Using Metasploit, Nmap, Wireshark, and Burp Suite’. Packt Publishing. 2022.
  • Okeyode, D., Fosaaen, K. and Horton, C. ‘Penetration Testing Azure for Ethical Hackers: Develop Practical Skills to Perform Pentesting and Risk Assessment of Microsoft Azure Environments’. Packt Publishing. 2021.
  • Wittkop, J. ‘The Cybersecurity Playbook for Modern Enterprises: An End-to-End Guide to Preventing Data Breaches and Cyber Attacks’. Packt Publishing. 2022.
  • Bravo, C. and Kitchen, D. ‘Mastering Defensive Security: Effective Techniques to Secure Your Windows, Linux, IoT, and Cloud Infrastructure’. Packt Publishing. 2022.
  • Monnappa, K. A. ‘Learning Malware Analysis: Explore the Concepts, Tools, and Techniques to Analyze and Investigate Windows Malware’. Packt Publishing. 2018.
  • DiMaggio, J. ‘The Art of Cyberwarfare: An Investigator's Guide to Espionage, Ransomware, and Organized Cybercrime’. No Starch Press. 2022.
  • Mansour, G. ‘UNHACKABLE: Your Online Security Playbook: Recreating Cyber Security in an Unsecure World’. Writes Publishing House. 2020.
  • Harper, A., Linn, R., Sims, S., Baucom, M., Tejeda, H., Fernandez, D. and Frost, M. ‘Gray Hat Hacking: The Ethical Hacker's’. McGraw Hill. 2022.
  • Grimes, R.A. ‘Ransomware Protection Playbook’. Wiley. 2021.
  • Hettema, H. ‘Agile Security Operations: Engineering for Agility in Cyber Defense, Detection, and Response’. Packt Publishing. 2022.
  • Payne, B. ‘Go H*ck Yourself: A Simple Introduction to Cyber Attacks and Defense’. No Starch Press. 2022.
  • Batina, L., Bäck, T., Buhan, I. and Picek, S. ‘Security and Artificial Intelligence: A Crossdisciplinary Approach’. Springer. 2022.
  • Petrenko, S. ‘Developing a Cybersecurity Immune System for Industry 4.0’. River Publishers Series in Security and Digital Forensics. 2020.
  • Rains, T. ‘Cybersecurity Threats, Malware Trends, and Strategies: Learn to Mitigate Exploits, Malware, Phishing, and Other Social Engineering Attacks’. Packt Publishing. 2020.
  • Skulkin, O. ‘Incident Response Techniques for Ransomware Attacks: Understand Modern Ransomware Attacks and Build an Incident Response Strategy to Work Through Them’. Packt Publishing. 2022.
  • Tagarev. T., Atanassov, K.T., Kharchenko, V. and Kacprzyk, J. ‘Digital Transformation, Cyber Security and Resilience of Modern Societies’. Springer. 2022.
  • Borges, D. ‘Adversarial Tradecraft in Cybersecurity: Offense versus Defense in Real-Time Computer Conflicto’. Packt Publishing. 2021.
  • Yehoshua, N. and Kosayev, U. ‘Antivirus Bypass Techniques: Learn practical techniques and tactics to combat, bypass, and evade antivirus software’. Packt Publishing. 2021.
  • Flow, S. ‘How to Hack Like a Ghost: Breaching the Cloud’. No Starch Press. 2021.
  • Santos, H.M.D. ‘Cybersecurity: A Practical Engineering Approach’. Chapman & Hall/CRC. 2022.
  • Ryan, M. ‘Ransomware Revolution: The Rise of a Prodigious Cyber Threat’. Springer. Advances in Information Security. 2022.
  • Jhanjhi, N.Z., Hussain, K., Humayun, M. and Abdullah, A.B. ‘Information Security Handbook (Internet of Everything (IoE)’. CRC Press. 2022.
  • Savas, O. and Deng, J. ‘Big Data Analytics in Cybersecurity (Data Analytics Applications)’. Routledge. 2021.

Comentarios al artículo/noticia

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos