1 49 Table of Contents 51 54

EF485 - EuroFach Electrónica

INVESTIGACIÓN 50 Las técnicas sigilosas utilizadas por los malware denominadas LotL (Living off the Land) hacen uso de todo lo que ya reside en los dispositivos, sistemas y servidores de la organización u objetivo a ciberatacar, sin necesitar de tener que descargar, ni instalar otras apli- caciones de fuera, son básicamente: ciber-ataques a ficheros no ejecuta- bles como documentos Office con macros, scripts y comandos malicio- sos; ciberataques que se ejecutan en memoria; el malware usa herramien- tas de doble uso como PowerShell o PsExec; ciberataques que utilizan binarios Windows como WMI para ejecutar código malicioso (LOLBins); ciberataques sin ficheros como código VBS en el registro; uso de lenguajes de scripting, etc. REFERENCIAS • Areitio, J. ‘Seguridad de la Información: Redes, Informática y Sistemas de Información’. Cengage Learning- Paraninfo. 2020. • Areitio, J. ‘Identificación y exploración de tendencias en el incremento, tipos de impactos y efectos del ma- lware’. Revista Eurofach Electrónica. EF-478. Noviembre 2020. • Areitio, J. ‘Exploración longitudinal y transversal de las infecciones de malware’. Revista Seguridad. SG-31. Fe- brero 2021. • Areitio, J. ‘Matizaciones sobre los efectos de la no anticipación contra el incremento creciente del malware oculto no detectable’. Revista Eurofach Electrónica. EF-481. Interempresas. Abril 2021. • Areitio, J. ‘Exploración, identificación y detección de malware inteligente para evitar caos ciber-epidemiológi- cos y ciber-pandemias’. Revista Seguridad. SG-34. Interempresas. Julio 2021. • Areitio, J. ‘Identificación y exploración del horizonte de sucesos y espacio de observación vinculado al moderno malware’. Revista Seguridad. SG-35. Septiembre 2021. • Areitio, J. ‘Campos de acción, confluencias e impactos de las vulnerabilidades en la evolución y ciclo de vida del malware inteligente avanzado (ofensivo y defensivo)’. Revista Seguridad. SG-36. Noviembre 2021. • DiMaggio, J. ‘The Art of Cyberwarfare: An Investigator's Guide to Espionage, Ransomware, and Organized Cy- bercrime’. No Starch Press. 2021. • Ryan. M. ‘Ransomware Revolution: The Rise of a Prodigious Cyber Threat’. Springer. 2021. • Wardle, P. ‘The Art of Mac Malware: The Guide to Analyzing Malicious Software’. No Starch Press. 2021. • Gupta, B.B. and Dahiya, A. ‘Distributed Denial of Service (DDoS) Attacks: Classification, Attacks, Challenges and Countermeasures’. CRC Press. 2021. • Yehoshua, N. and Kosayev, U. ‘Antivirus Bypass Techniques: Learn Practical Techniques and Tactics to Combat, Bypass, and Evade Antivirus Software’. Packt Publishing. 2021. • Chiroma, H., Abdulhamid, S.M., Fournier-Viger, P. and García, N.M. ‘Machine Learning and Data Mining for Emer- ging Trend in Cyber Dynamics: Theories and Applications’. Springer. 2021. • Calder, A. ‘The Ransomware Threat Landscape: Prepare for, recognise and survive ransomware attacks’. IT Go- vernance Publishing. 2021. • Barker, D. ‘Malware Analysis Techniques: Tricks for the Triage of Adversarial Software’. Packt Publishing. 2021. • Ahmed, A. 'Privilege Escalation Techniques: Learn the Art of Exploiting Windows and Linux Systems'. Packt Publishing. 2021. • Karbab, E.B., Debbabi, M., Derhab, A. and Mouheb, D. 'Android Malware Detection using Machine Learning: Data-Driven Fingerprinting and Threat Intelligence'. Springer. 2021. • Sarwar, F.A. 'Python Ethical Hacking from Scratch: Think like an Ethical Hacker, Avoid Detection, and Successfu- lly Develop, Deploy, Detect, and Avoid Malware'. Packt Publishing. 2021. • Liska, A. 'Ransomware: Understand. Prevent. Recover'. ActualTech Media. 2021. La secuencia de sucesos para infectar utilizando técnicas LotL es: • Un usuario hace clic en un link o pulsa un botón infectado en una Red Social o visita directamente o vía un código QR un sitio Web infectado. • Este sitio posee una versión vulnerable de un fichero, por ejemplo, Flash. • El Flash invoca a PowerShell e intro- duce líneas de comando operando desde memoria (fileless). • PowerShell conecta sigilosamente con un servidor C&C secreto donde se descarga un script PowerShell que busca información confidencial que se envía al servidor posesión del malware. • En ningún punto de este ciber-ata- que se ha descargado propiamente malware, pero compromete a la organización. Las etapas que conducen a una infec- ción de malware Emotet son: • Llega un correo electrónico. • Contiene un documento Word. • Que lleva macros maliciosas (VBS Macros). • Se provecha de PowerShell. • Sistema infectado con Emotet. El PowerShell es un Shell de línea de comandos de Windows que se ubica sobre.NET Framework y que acepta y devuelve objetos.NET . Estas macros ejecutan código PowerShell en el sistema a infectar y este código PowerShell descarga infección malware. 

RkJQdWJsaXNoZXIy Njg1MjYx