EF485 - EuroFach Electrónica

INVESTIGACIÓN 45 necesitarámoverse lateralmente desde el sistema comprometido a otros de la red. El malware utilizará capacida- des del sistema operativo para realizar movimientos laterales: RDP, SSH, SMB, phishing interno, etc. La identificación del movimiento lateral es un desafío debido a quemuchos malware utilizan cuentas válidas y caminos que están abiertos para posibilitar las operaciones industriales o de negocio del día a día. (7) Persistencia. El malware reconoce que necesita realizar una dinámica que puede accionar alarmas durante sus operaciones. Para disminuir la probabilidad de pérdida de acceso el malware desplegará medios adi- cionales de acceso como crear nuevas cuentas, desplegar backdoors, crear nuevas infraestructuras C&C, etc. El malware desea que todos sus medios de acceso sean ciber-resilentes (sobre- vivan a re-arranques, cambios de red, modificaciones de configuración, medidas de defensa, etc.). La persis- tencia toma muchas formas como ASEPs (Auto-Sart-Execution Points) nativos a los sistemas operativos comunes para mantener el acceso a los sistemas comprometidos. (8) Actuaciones maliciosas: destruc- ción, degradación, manipulación, trastornos, sabotajes, robos de datos, secuestros de información, dañar el medio ambiente y los seres vivos, etc. Esta etapa en principio final del ciclo de vida puede ser muy variada: robar datos, exfiltración de informa- ción (datos sensibles, contraseñas, tokens, claves privadas, de propie- dad intelectual, inteligencia militar, registros financieros, PII, etc.), destruir o secuestrar datos (DoS, ransomware, etc.), extraer sigilosamente datos pri- vados y pedir rescate, en caso negativo se publican dichos datos (doxware), sabotajes (accidentar vehículos, pro- cesos de fabricación, operaciones financieras, etc.). El objetivo final del malware no siempre es claro, una vez robados los datos es difícil entender cómo puede hacer uso de ellos. En esta etapa el malware ha identifi- cado el objetivo y puede establecer una posición firme para futuras misio- nes. Una UKC (Unified Kill Chain) está compuesta por las siguientes tácticas: • Reconocimiento. Se identifican, investigan y seleccionan los obje- tivos utilizando el reconocimiento activo y pasivo. • Armado. Engloban las actividades preparatorias para establecer la infraestructura necesaria para el ciberataque. • Entrega. Integra las técnicas que permiten la transmisión de los objetos de armamento al entorno del objetivo. • Ingeniería social. Engloba las técnicas que permiten la manipulación de personas para que realicen acciones peligrosas, inseguras, etc. • Explotación. Engloba las técnicas que permiten explotar las vulnerabi- lidades en los sistemas que pueden, entre otros, dar lugar a la ejecución del código. • Persistencia. Engloba cualquier acceso, acción o cambio a un sis- tema que proporciona presencia persistente al malware en el sistema. • Evasión de defensas. Integra las téc- nicas para que el malware pueda específicamente evadirse de la detección y/o evitar otras defensas de ciberseguridad. • C&C (Command & Control). Engloba las técnicas que permiten al malware comunicarse con sistemas por él controlados dentro de una red objetivo. También permite recibir mejoras, ganancia de funciones y exfiltrar datos sensibles a sitios propiedad del malware. • Pivotado. Engloba las técnicas que posibilitan el tunelizado de tráfico a través de un sistema controlado o a otros sistemas que no son direc- tamente accesibles. • Descubrimiento. Engloba las técnicas que permiten a unmalware obtener conocimiento sobre un dispositivo, sistema y su entorno de red. • Escalado de privilegios. Integra las técnicas que proporcionan a un malware permisos más elevados sobre un dispositivo, sistema o red. • Ejecución. Engloba las técnicas que dan lugar a la ejecución de un código controlado por el malware sobre un dispositivo o sistema local o remoto. • Acceso a credenciales. Integra las técnicas que posibilitan el acceso o control sobre las credenciales de un dispositivo, sistema, servicio o dominio. • Movimiento lateral. Engloba las téc- nicas que permiten a un malware acceder y controlar horizontal- mente otros dispositivos o sistemas remotos. • Recogida. Integra las técnicas uti- lizadas para identificar y recoger datos de una red/dispositivo/sistema objetivo antes de la exfiltración. • Exfiltración. Engloba las técnicas que permiten y/o ayudan a unmalware a extraer datos de una red/dispositivo/ sistema objetivo. • Impacto. Integra las técnicas que permiten a un malware manipular, interrumpir o destruir la red, sistema, dispositivo o datos del objetivo. • Objetivos. Los objetivos socio-técnicos de un ciberataque son planeados para llevar a cabo un objetivo estra- tégico. Así mismo pueden existir objetivos geopolíticos (de falsa bandera para guerras y cibergue- rras, etc.), objetivos económicos (creando ciberpandemias, blackout/ apagones de servicios como la luz, RRSS, etc.), objetivos de sumisión, intimidación, daño de reputación, contra la vida, medio ambiente, etc., de los objetivos. La estrategia 3TU utilizada por el malware, está compuesta por las siguientes tácticas: • Penetrar. Integra el conjunto de técnicas que permiten al malware infectar un dispositivo. sistema, red (utilizando mecanismos de sprea- dind o propagación y de dropper o lanzamiento). Para ello utiliza un ciber- ataque dirigido como un pendrive