EuroFach Electrónica - EF484

39 INVESTIGACIÓN virtualiza, se hace transparente, se sitúa en hardware y lugares inimaginables, etc., puede ser bien autónomo/auto- control o bien guiado por IA y una red distribuida oculta de servidores C&C con o sin bot-masters, etc. El malware inteligente en su evolución, progresión y ciclo de vida pasa por muchas etapas/hitos, por ejemplo: reconocimiento-contacto-posiciona- miento (investigar, explorar, identificar y seleccionar objetivos de actuación/ ocultación así como de elementos de protección en ciberseguridad que pue- dan localizar-dañar al malware ofensivo o bien de elementos ofensivos que el malware defensivo deba inactivar, eli- minar, etc.), armarse (integrar malware de acceso remoto con exploits en una carga útil reubicable y reentregable, por ejemplo, ficheros Office Microsoft, pdf Adobe, etc. contaminados), entrega (transmisión del malware a los objetivos, por ejemplo, utilizando ficheros adjuntos en correos electró- nicos, visitando sitios Web infectados a través de links-botones o códigos QR, dispositivos USB, CDROMs, DVDs, etc. infectados), explotación (una vez entregado el código del malware se dispara explotando sistemas, apli- caciones, objetos IoT/IIoT/IoMT/IAoT, dispositivos vulnerables, etc.), instalación (el malware instala diversos módulos como keyloggers, spyware, etc., en los dispositivos-sistemas objetivos e incluso backdoor para permitir acceso persis- tente), interactúa con servidores C&C (Command&Control) (servidores exter- nos/internos se comunican de forma subliminar y esteganográfica con el malware para proporcionar acceso dentro de la red objetivo, para transferir actualizaciones, para transferir datos robados, para ganancia de funciones, etc.), acciones sobre los objetivos (en el malware ofensivo se realizan ope- raciones como exfiltración de datos, destrucción, bloqueo y modificación de datos, intrusiones en otros objetivos, sabotajes, etc., en el malware defen- sivo se neutralizan-inactivan acciones maliciosas del malware ofensivo). El uso de las TTPs (Tácticas, Técnicas y Procedimientos) facilitan la ocultación, el despiste y la ciberresiliencia (permiten al malware su supervivencia, persistencia, tolerancia a fallos a ciberataques, evitan intentos de observación, destrucción, etc., para ello borra rastros, logs de SIEM, datos de ciberforensia, información de trazabilidad y usa ficheros-módulos de sacrificio y desinformación, realiza estrategias de equivocación como desplazamientos multidireccionales y multidominio, pivotaciones,movimientos multilaterales para evitar observación, borra-modifica logs, recursos SIEM, perturba relojes,mecanismosde sincroni- zación, registros temporales ocultos, etc.). El malware inteligente utiliza técnicas de ‘modificar lo observado’ para que no tenga éxito lamonitorización, vigilancia, visualización, seguimiento, trazabilidad, registro, etc., del malware. Según la compañía Riskrecon como media el 33% de las empresas tienen servicios de red inseguros accesibles desde Internet, pero por ejemplo en agricultura es el 45,8% y en fabricación es el 43,4%. Cuanto más avanzado es unmalware inteligente menos señales de existencia genera para su posible descubrimiento. El malware inteligente integra diferentes elementos para su subsistencia: (predice, infiere y prevé) todo lo que puede detectar con anti- cipación (alertas tempranas); lo que no puede (inferir-prevenir-predecir), anula, inactiva, bloquea, inhabilita, eli- mina, caza lo que no puede detectar en su contra. Los malware inteligentes capturan credenciales que cruzan la red, las craquean, las utilizan en otros dispo- sitivos, crean archivos no autorizados, se mueven lateralmente, escalanprivilegios, infiltran nuevas cargas maliciosas que permiten nuevas acciones, permanecen en silencio (con un nivel de ruido en el ciberataque y en su presencia práctica- mente despreciable) en la redmientras reconocen los activos, buscan lugares para esconderse y vulnerabilidades que sean explotables (0-day y N-day) en ese entorno en concreto o en otros, etc. PROGRESIÓN DEL MALWARE INTELIGENTE AVANZADO En la compleja progresión del malware inteligente se pueden identificar: (a) Vectores de entrada. Son situaciones o puntos de vulnerabilidad como visitar, incluso de forma breve, un sitio Web infectado (se denomina técnicamente drive-by download/ drive-by compromise o simple- mente drive-by, esto se puede producir al prestar brevemente nuestro móvil a un desconocido (y este accede a un sitio infectado) o escanear un código QR que nos lleve a un sitio infectado), ejecutar un fichero adjunto infectado, por ejemplo, existente dentro de en un correo electrónico o servicios de mensajería instantánea, hacer clic en links maliciosos insertados en un (correo electrónico, IM, Red Social, SMS, MMS, pop-up, etc.), hacer clic en botones maliciosos (bajo el engaño de “me-gusta”), etc. Secuestro o infección del navegador Web del usuario. Enchufar un pen- drive USB infectado a dispositivos como móviles, PCs, PLCs, smart- TV, vehículo conectado, etc. puede infectar al dispositivo huésped al que se le conecta y robar, cambiar datos, hacer que realice operaciones maliciosas (o defensivas) e incluso secuestrar información y bloquear al dispositivo. El cargar eléctricamente un dispositivo (móvil, PC, etc.) desde una conexión pública USB o una base de recarga inalámbrica NFC puede ser peligroso pues además de enviar alimentación eléctrica puede conectarse con el canal