La evasión de la defensa dominó las tácticas de ataque de 2019



Los investigadores mapearon tácticas y técnicas al marco MITER ATT & CK para determinar cuáles fueron las más populares el año pasado.

El descubrimiento y la evasión de la defensa fueron las tácticas de ataque predominantes observadas en 2019, según informa un equipo de investigadores en un nuevo rating de tácticas MITER ATT & CK comunes utilizadas en el último año.

En 2019, el Grupo Insikt de Recorded Foreseeable future comenzó a integrar datos en tácticas de ataque, técnicas y procedimientos (TTP) basados ​​en el marco MITER ATT & CK en su recopilación y análisis de datos. Los investigadores revisaron los identificadores en las presentaciones de sandbox durante todo el año y compilaron una lista de las tácticas y técnicas a las que se hace referencia con mayor frecuencia. La evasión de la defensa dominó las tácticas, y el descubrimiento de computer software de seguridad es la técnica más well known para hacerlo.

«Realmente hubo tres conclusiones principales que vimos en foundation a estos datos», dice David Carver, gerente y analista de servicios a pedido en Recorded Upcoming. «O estamos viendo delincuentes cada vez más interesados ​​en la perspectiva de la defensa, o las herramientas de seguridad están mejorando, o ambas. No tenemos evidencia para liderar de una manera u otra, pero sospecho que son ambas».

A través de la evasión de la defensa, los atacantes evitan la detección al ofuscar scripts maliciosos, esconderse en procesos confiables y desactivar el application de seguridad, entre otros trucos. El descubrimiento, la siguiente táctica más común, implica aprender y comprender una pink u host objetivo. Las técnicas relacionadas con el descubrimiento y la evasión de defensa constituyeron siete de los 10 más comunes Según los investigadores, su prominencia fue constante en todos los meses del año.

El descubrimiento «es una de esas líneas de base que se requieren para cualquier tipo de operación exitosa de malware», ya que permite que un atacante entienda si el sistema tiene todo lo necesario para tener éxito. «Es conocer no solo tu objetivo, sino lo que puedo hacer una vez que estoy en un objetivo», agrega Carver. Esto es esencial para los atacantes porque les dice si es posible realizar más actividades en un host.

La evasión de defensa se beneficia del descubrimiento, pero está más relacionada con la comprensión de cómo un atacante puede evitar a los defensores de la red, ya sea a través de ciertos procesos o sabiendo qué herramientas de seguridad hay en un sistema. Le preocupa más detectar las defensas que recopilar datos de destino. La evasión puede ser tan básica como ofuscar un binario de una manera uncomplicated que una detección basada en firmas no detectará, continúa Carver.

«Los dos juegan entre sí de muchas maneras diferentes», dice. «No puedo saber lo que estoy evadiendo a menos que entienda el sistema en el que estoy». Las dos tácticas permiten a los ciberdelincuentes operar como una «mosca en la pared» en las redes objetivo, explican los investigadores en un entrada en el website en sus hallazgos.

Hay otras técnicas comunes que funcionan de la mano, explica. Después del descubrimiento del computer software de seguridad, los frecuentes TTP MITER ATT y CK incluían archivos o información ofuscados, inyección de procesos, descubrimiento de información del sistema, descubrimiento de procesos, empaque de software program, carga lateral de DLL, cifrado de datos, ejecución a través de API y protocolo criptográfico estándar.

Como ejemplo, Carver señala el descubrimiento de software program de seguridad y el descubrimiento de procesos, que son clave para procesar la inyección. Un atacante no puede saber qué proceso es mejor inyectar sin el proceso de descubrimiento. Del mismo modo, el descubrimiento de información del sistema es clave para comprender si hay algo que aprovechar desde un punto de vista criptográfico u ofuscación.

«Estoy seguro de que continuaremos viendo estas tácticas no solo representadas sino cerca de la parte remarkable de la lista durante el próximo año o dos», dice Carver sobre el position de este año.

Casi todas las 10 técnicas principales combinadas se encontraron vinculadas a variantes de malware conocidas que también se ven en los resultados de sandbox. Estos incluyen troyanos como Emotet, TrickBot y njRAT botnets incluyendo Gafgyt y Mirai y mineros de criptomonedas como Coinminer. De aproximadamente 1,180 variantes de malware en los resultados, las más comunes fueron TrickBot, Coinminer y njRAT.

«Con base en este informe, es possible que sigamos viendo más adelante y atrás entre el desarrollo de herramientas integrales de seguridad y el interés felony en cómo evitarlas», dice Carver. «Mientras mejores defensores de la purple puedan hacer su trabajo, más delincuentes deben prestar atención a lo que hay en el sistema al que apuntan».

En muchos casos, estas técnicas implican el uso de capacidades de software legítimas, que pueden dificultar la detección basada en firmas. Los investigadores recomiendan una alta familiaridad con las configuraciones y actividades normales de la crimson. Aconsejan a las empresas que supervisen nuevas instancias o cambios inusuales en procesos comunes, archivos de configuración, llamadas de API y sistemas de archivos. Los equipos de seguridad también deben mantener sus programas antivirus actualizados y monitorear los argumentos de comando inusuales o frecuentes, que a menudo se usan en técnicas de descubrimiento.

Contenido relacionado:

Kelly Sheridan es la Editora de personalized de Dim Examining, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Coverage & Technological know-how, donde cubrió asuntos financieros … Ver biografía completa

Más tips





Enlace a la noticia first