EF485 - EuroFach Electrónica

INVESTIGACIÓN 46 USB infectado (caso de la ciber-arma Stuxnet), actualizar de forma mali- ciosa o mal gestionada una reunión en una agenda, actualizar con una ‘update infectada’ el software de un vehículo conectado, enviar un correo electrónico (spearphishing) con un adjunto infectado, convencer a utilizar códigos QR, sin saberlo le dirigen a un sitio infectado, etc. • Instalarse. Engloba las técnicas que permiten al malware encontrar silen- ciosamente el objetivo correcto, así mismo posibilita comunicarse (de forma subliminar) con un sistema C&C externo para recibir las ins- trucciones y actualizar su código (ganancia de funciones). • Actuar. Integra el conjunto de téc- nicas que permiten al malware transferir información confidencial al sistema C&C o cambiar datos, etc. • En caso de que se detecte el malware. Integra el conjunto de técnicas que permiten al malware poner semillas y desaparecer. Estas semillas, bien ocultas (en vida latente) harán reaparecer al malware (normalmente con ganancia de fun- ciones) cierto tiempo después. Por tanto, nunca se fíe de poder utilizar con ciberseguridad dispositivos, sistemas, redes, objetos, etc. que hayan sido comprometidos en el pasado. Las TTPs ATT&CK (Adversary Tactics and Techniques & Common Knowledge) utilizadas por el malware para sus ciber- ataques integran las siguientes tácticas: (1) Reconocimiento . Integra las técni- cas que permiten al malware recoger información que puede utilizar para las operaciones futuras. (2) Desarrollo de recursos. Engloba las técnicas que posibilitan al malware establecer recursos que se pueden utilizar para soportar las operaciones. (3) Acceso inicial. Engloba el conjunto de técnicas y vectores de infección utilizados por el malware para entrar y obtener una posición inicial dentro de la red, sistema, dispositivo, etc. El malware puede enviar spear-phishing a la víctima y obtener credenciales para AWS (Amazon Web Services). Otras técnicas utilizadas pueden ser drive- by-compromise, cuentas válidas, etc. (4) Ejecución. Integra las técnicas que dan lugar a la ejecución del código malicioso en un sistema, dispositivo, red local o remoto. (5) Persistencia. Engloba las técnicas que el malware utiliza para mantener sus posiciones. Es decir, para posibilitar cualquier acceso, acción o cambio de configuración a un sistema, dispositivo, red que proporciona al malware pre- sencia persistente en dicho sistema, dispositivo, red. Se suelen utilizar credenciales robadas para crear una cuenta nueva. (6) Escalado de privilegios. Integra las técnicas que generan las acciones que permiten a un malware obtener niveles más altos de permisos y auto- rizaciones en un sistema, dispositivo, red. Puede emplear una cuenta válida para cambiar permisos de acceso. (7) Evasión de defensas. Integra las técnicas que el malware usa para evadir la detección o evitar otras defensas. Puede crear una nueva instancia de máquina virtual para saltarse las reglas del firewall. (8) Acceso a las credenciales. Engloba las técnicas que permiten al malware robar nombres de cuentas, contrase- ñas, tokens, claves privadas u otros secretos que le permiten el acceso a los recursos. Es decir, integra las técni- cas que permiten el acceso o control del sistema, dominio o servicio que se utiliza dentro del entorno donde se intenta ciber-atacar (por ejemplo, acceso por fuerza bruta, robo de coo- kies de sesión Web, robo de token de acceso a aplicación, credenciales no seguras, etc.). Puede robar token de acceso a una base de datos. (9) Descubrimiento. Integra las técnicas que permiten al malware entender su entorno y obtener conocimiento del sistema, dispositivo y red interna. Por ejemplo, se puede localizar la base de datos objetivo. (10) Movimiento lateral. Consta de las técnicas que permiten al malware moverse a través de su entorno, acceder y controlar sistemas remotos en la red y las nubes (edge, fog, cloudconcontainers o hipervisores). Por ejemplo, se puede utilizar un tokende acceso a la aplicación para acceder a una base de datos. (11) Recogida. Engloba las técnicas uti- lizadas para recoger e identificar datos de interés e información (como ficheros sensibles de un sistema, dispositivo, red objetivo antes de la exfiltración) para sus objetivos. Por ejemplo, se puede minar informaciónde unabasededatos. (12) Exfiltración. Integra las técnicas y atributos que permiten o ayudan al malware a robar/extraer ficheros, datos/ metadatos e información de un sistema, dispositivo, red objetivo. Puede exfiltrar a la cuenta del malware en AWS. (13) C&C (Command&Control). Integra las técnicas utilizadas por el malware para comunicarse con dispositivo y sis- temas comprometidos para controlarlos dentro de una red, dispositivo o sistema objetivo. También le permite ganancia de funciones y entregar datos robados. (14) Impacto . Integra las técnicas cuya finalidad primaria es ciber-atacar la dis- ponibilidad, integridad, autenticación, confidencialidad, no repudio, etc. En esta táctica el malware trata de manipular, interrumpir o destruir los dispositivos, sis- temas y datos. Pueden representar uno de los objetivos últimos del malware. Algunas tácticas incluidas en esta táctica global son: • Degradación (objetivo reducir la efectividad y eficiencia de sistemas OT y IT). Se implementa utilizando