EF485 - EuroFach Electrónica

INVESTIGACIÓN 44 (10) Criptografía débil, deficiente, insuficiente. Permite al malware obtener información descifrada de un dispositivo móvil (smartphone, tablet, objeto IoT, etc.). Dependiendo de la APP puede verse comprometida informaciónmuy sensible, crítica y per- sonal. El uso incorrecto del cifrado es muy común en APPs demóvil. Pueden explotarse las vulnerabilidades de algoritmos de cifrado débiles (y de procedimientos deficientes de gestión de claves), así como de procedimientos de cifrado/descifrado con errores, mala implementación, etc. Como prevención cifrar de forma múltiple con diversos algoritmos de cifrado robustos o mejor usar algoritmos postcuánticos. CORRELACIÓN ENTRE CKC, CICLO DE VIDA DE LOS CIBERATAQUES MALWARE, UKC, 3TU Y TTPS ATT&CK Una CKC (Cyber Kill Chain) está com- puesta por las siguientes tácticas: 1. Reconocimiento del objetivo. Se exploran, los objetivos, analizando sus huellas digitales. 2. Armado. Se trasladan fuentes de compromiso. 3. Entrega. Se trata de inyectar ele- mentos infecciosos. 4. Explotación. Se disparan mecanis- mos infecciosos. 5. Instalación. Se localizan componen- tes de ciberintrusión. 6. Command&Control. Se posibilita una comunicación bidireccional del malwareconotrosmódulos yentornos. 7. Acciones sobre los objetivos. Son los resultados parciales a totales de la misión sobre los activos como: perturbar, destruir, desinformar, modificar, bloquear acceso, contami- nar, matar, degradar reputación, etc. El ciclo de vida de los ciber-ataques malware consta de las siguientes tácticas: (1) Reconocimiento. Inicialmente el malware realiza algún tipo de sondeo o reconocimiento para ver lo que puede intentar hacer. Monitoriza foros de la DeepWeb y de la Dark-Web e Internet. Los indicadores de que unmalware está sondeando un objetivo son registrarse en los mismos dominios o escanear activamente la infraestructura víctima o terceras partes con las que trabaja el objetivo a ciber-atacar. Las evidencias de estas actividades permiten identificar que se debería preparar para un ciber- ataque malware y se debería disparar las alarmas internas o neutralización de las actividades maliciosas. (2) Explotación inicial. Una vez que el malware ha identificado el obje- tivo a ciberatacar y entendido como puede manipularlo o explotarlo, pasa a esta segunda etapa. Frecuentemente empieza utilizando vectores como phishing a través de correos elec- trónicos, redes sociales, mensajería instantánea, etc. donde se engaña a las víctimas/usuarios a descargar-ejecutar malware, hacer clic en links, botones, iconos o visitar sitios infectados incluso se implica a terceras partes con los que se hace negocios. Así mismo, se usan exploits a vulnerabilidades (como Eternal-Blue) o técnicas como LotL (Living off the Land)). En este punto el usuario no será consciente de que ya está en estado ‘comprometido’. (3) Establecimiento de posiciones. Una vez que el malware tiene posi- ciones en el objetivo a ciber-atacar utiliza una interfaz del sistema vul- nerable, un desktop remoto, etc. Su siguiente etapa es establecer medios para C&C utilizando canales sublimi- nares, esteganografía, RDP expuesta, acceso VPN, etc. El malware puede entrar al sistema como un usuario sin privilegios o asume la identidad de un usuario víctima no sospechosa. (4) Escalado de privilegios. El entrar el malware al sistema como un usuario sin privilegios o con privilegios muy reducidos impide al malware acceso a lo que necesita para realizar sumisión o permitirle identificar donde reside la información buscada. Para ganar el acceso necesario el malware puede arrancar en el sistema herramientas ‘dropping’ como ‘credential dumpers’ o ‘keyloggers’. Dichas herramientas modulares pueden manipular datos y recoger otras credenciales para ganar los privilegios necesitados paramoverse lateralmente o realizar reconocimientos internos. A veces, el malware las dis- fraza como propietario del dominio o propietario del sistema de interés, por ejemplo, un servidor de base de datos (BD) para ganar confianza y obtener un paso para realizar su misión. (5) Reconocimiento interno. Elmalware necesita obtener su comportamiento después de comprometer un sistema dentro de una organización objetivo incluso después de realizar un recono- cimiento extensivo de la organización desde fuera. Normalmente el ‘infec- tado cero’ en una red comprometida tiene aún oportunidad de ciberatacar. El malware puede enviar spearphishing pero no puede anticiparse quién abrirá el correo y a que sistema tendrá acceso. Siguiendo un compromiso con éxito el malware necesita enumerar cuen- tas, sistemas y procesos de negocio/ industriales para encontrar el mejor camino para el éxito de la misión. (6) Movimientos laterales y pivotado. Una vez que el malware ha estable- cido que sistemas contienen los datos necesarios para llevar a cabo sumisión,