La inyección de proceso supera las técnicas de ataque para 2019



Los atacantes suelen utilizar la administración remota y las herramientas de administración de crimson para el movimiento lateral, según muestra un nuevo grupo de datos de amenazas.

El panorama de amenazas de 2019 estuvo dominado por una actividad comparable a un gusano, informan los investigadores en un nuevo análisis de amenazas confirmadas del año pasado. Los atacantes están cada vez más centrados en el movimiento lateral, con énfasis en el uso de herramientas de purple de administración remota para ejecutarlo.

El «Informe de detección de amenazas 2020» de Purple Canary contiene un análisis de 15,000 amenazas confirmadas que aparecerán en los entornos de los clientes a lo largo de 2019. Los investigadores utilizaron los datos MITER ATT y CK equivalentes para determinar qué técnicas de ataque prevalecieron durante el año pasado. Sus hallazgos ilustran qué métodos son más comunes y cómo los atacantes los están usando.

La popularidad del movimiento lateral automatizado es impulsada en gran medida por TrickBot, el troyano que roba datos y que contribuyó a miles de detecciones. TrickBot, combinado con el uso de herramientas de administración remota y administración de pink, no es completamente responsable de la frecuencia de las técnicas de ataque comunes, pero los tres juegan un papel importante en por qué los cibercriminales eligen tácticas específicas.

TrickBot generalmente se ve como parte de una serie de infecciones que comienza con el troyano Emotet y termina en una infección de ransomware Ryuk. Emotet aterriza en un dispositivo y carga TrickBot, que roba credenciales de dispositivos infectados a medida que se mueve lateralmente a través de una purple. Cuando TrickBot termina, lanza Ryuk, que cifra las máquinas infectadas en una red y exige un rescate.

«De manera abrumadora, el ransomware fue la tendencia en 2019 en términos de cargas útiles y lo que los adversarios se propusieron hacer», dice Keith McCammon, cofundador y director de seguridad de Red Canary, sobre un patrón basic que el equipo de investigación notó al analizar los datos. Otra tendencia destacada son las amenazas a la confidencialidad: los atacantes bloquearán los sistemas objetivo y exigirán dinero para devolver el acceso al sistema, o amenazan con publicar los datos de la compañía en línea.

«Si alguien quita el acceso al sistema, es posible que no tenga excelentes opciones para recuperar ese acceso, pero tiene algunas opciones», dice McCammon. Este cambio es «un cálculo diferente» porque las organizaciones pueden no saber lo que tiene el adversario. Sin esa notion, «tienes que asumir lo peor». Para muchas organizaciones, este volcado de datos podría representar una amenaza existencial.

La técnica de ataque más común que los investigadores enumeran es la inyección de proceso, que TrickBot united states of america para ejecutar código malicioso a través de Windows Server Host. ¿Por qué una técnica Emotet, utilizada para aterrizar en una máquina, no es más well known? Como explican los investigadores en una publicación de blog, una parte creciente de su visibilidad proviene de la respuesta a incidentes, gran parte de los cuales los llevaron a entornos donde Emotet había completado sus acciones y TrickBot había llegado a varios dispositivos. Como resultado, no pudieron detectar el acceso inicial o las cargas útiles en la etapa inicial, solo las amenazas dejadas atrás.

Muchas de las compañías con las que trabajó Red Canary en respuesta a incidentes eran «organizaciones realmente grandes y bien establecidas con un alto porcentaje de sistemas afectados», dice McCammon, y señala que esto puede atribuirse a tácticas, automatización y refinamiento que permiten a los atacantes entrar una empresa compleja e infecta varios sistemas al mismo tiempo. «Vimos a más grandes compañías golpeadas con ataques muy, muy impactantes de lo que hemos visto antes».

La inyección de procesos, que representa el 17% de todas las amenazas analizadas, afecta al 35% de las organizaciones y apareció en 2,734 amenazas confirmadas en 2019, informan los investigadores. Fue la técnica de ataque principal de 2018 a 2019 debido a los brotes generalizados de TrickBot y Emotet que ocurrieron durante el mismo período de tiempo. Con este método, los atacantes pueden realizar actividades maliciosas en el contexto de un proceso legítimo, por lo que se mezclan.

La segunda técnica de ataque más preferred es la tarea programada, que, como la inyección de proceso, se ve en la actividad de gusano y TrickBot. Esta táctica, que programa tareas para lanzar binarios maliciosos y persistir en los dispositivos de destino, afecta al 33% de las empresas y representa el 13% de las amenazas en normal. Es útil para los atacantes porque les permite programar tareas de forma remota También es útil para la ejecución y la persistencia junto con lenguajes de secuencias de comandos comunes como PowerShell.

La tarea programada está vinculada a Home windows Admin Shares, una técnica que también representó el 13% de las amenazas totales y afectó al 28% de las organizaciones en 2019. Esto permite una actividad similar a un gusano y cae en la categoría de herramientas de administración remota / de red. Las amenazas de autopropagación, en individual las que usaron EternalBlue, llevaron las acciones de administración de Home windows de la décima amenaza más well-known en 2018 al tercer lugar en 2019. Los administradores a menudo las usan para la administración remota de host, dando a los atacantes un medio sutil para moverse lateralmente a lo largo de un entorno.

Ocho de los Las 10 mejores técnicas de ataque McCammon dice que las características de una plataforma están siendo mal utilizadas. No son estrategias destacadas que normalmente pondrían a los equipos en alerta.

«Las (técnicas) creo que definitivamente estamos comenzando a ver más, y seguiremos viendo cómo se intensifican y refinan, van a ser muchas de las técnicas de movimiento lateral … casi por completo las que dependen de vivir de la tierra». dice McCammon, enumerando PowerShell y WMI como ejemplos. Los atacantes están «usando las características de estas plataformas en las que las empresas confían para operar su purple y no pueden simplemente apagarse». Como cada vez es más difícil colocar malware en un sistema, los adversarios están mejorando en el uso de herramientas que ya están allí, explica.

Contenido relacionado:

Kelly Sheridan es la Editora de private de Dim Examining, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance coverage & Technology, donde cubrió asuntos financieros … Ver biografía completa

Más concepts





Enlace a la noticia primary