Las 5 técnicas de ataque principales pueden ser más fáciles de detectar …



Un nuevo análisis muestra que los atacantes en su mayor parte continúan confiando en las mismas técnicas y tácticas que han estado usando durante años.

A pesar de la naturaleza intimidante del panorama de amenazas, las organizaciones pueden lograr una defensa sizeable en profundidad al monitorear una cantidad relativamente pequeña de fuentes de datos y estar atentos a un puñado de patrones maliciosos en los datos.

De hecho, gran parte de la información necesaria para detectar las amenazas y las técnicas maliciosas más comunes se puede extraer directamente de los registros de eventos de Windows y la supervisión de sistemas, según un nuevo informe del proveedor de seguridad Crimson Canary.

Los investigadores de la compañía analizaron datos relacionados con 20.000 amenazas confirmadas detectadas en las redes de clientes de Red Canary el año pasado y mapearon los datos con las diferentes técnicas de ataque y sub-técnicas descritas en el marco ATT & CK ampliamente utilizado de MITRE. El informe ofrece una descripción basic completa de cada una de las técnicas y amenazas más utilizadas, con orientación sobre cómo las utilizan los atacantes y cómo detectar la actividad.

El análisis muestra que los atacantes en su mayor parte continúan confiando en las mismas técnicas y tácticas que han estado usando durante años. Y, a pesar de toda la preocupación por los actores sofisticados de amenazas persistentes avanzadas (APT) y las amenazas relacionadas, las amenazas más comunes que encontraron las organizaciones el año pasado son lo que algunos clasificarían como malware básico.

«Aunque el panorama de amenazas puede ser abrumador, hay muchas oportunidades que tenemos como defensores para detectar amenazas en (nuestras) redes», dice Katie Nickels, directora de inteligencia de Red Canary. «El desafío para los defensores es equilibrar las oportunidades de detección &#39probadas y verdaderas&#39 que los adversarios reutilizan con estar atentos a las nuevas técnicas y amenazas».

Canario rojo análisis muestra a los atacantes que más comúnmente abusan de los intérpretes de comandos y scripts como PowerShell y Windows Command Shell para ejecutar comandos, scripts y binarios. Casi la mitad (48,7%) de las organizaciones en el conjunto de datos encontraron amenazas relacionadas con el uso de PowerShell, y el 38,4% tuvo que lidiar con amenazas relacionadas con el abuso de Windows Command Shell. Los atacantes generalmente aprovecharon la interfaz de línea de comandos interactiva de PowerShell y las funciones de scripting para ejecutar comandos maliciosos, ocultar malware y actividades maliciosas para descargar cargas útiles adicionales y generar procesos adicionales. Los registros como Anti-Malware Scan Interface (AMSI), scriptblock o Sysmon pueden ser especialmente útiles para detectar el abuso de PowerShell, dice Purple Canary en su informe.

La segunda técnica de ataque más comúnmente detectada fue la ejecución de procesos binarios firmados, un método de ataque en el que se utilizan binarios confiables firmados digitalmente como Rundll32 y Mshta para eludir las herramientas de detección basadas en firmas y comportamiento. Rundll32, un proceso nativo esencial de Windows instalado de forma predeterminada en los sistemas Windows desde Windows 95, se abusaba más comúnmente para ejecutar código malicioso como una biblioteca de vínculos dinámicos. Los ciberdelincuentes también lo usaron para realizar otras actividades, como volcar la memoria de ciertos procesos y recuperar credenciales almacenadas en caché, dice Red Canary.

Mientras tanto, los atacantes utilizaron principalmente el binario Mshta para ejecutar archivos VBScript y JScript arbitrarios. El monitoreo de los parámetros de la línea de comandos del proceso y el monitoreo del proceso son útiles para detectar la ejecución maliciosa de Rundll32, dijo Pink Canary.

Completando la lista de las cinco técnicas principales que Pink Canary detectó el año pasado fueron la creación y modificación de procesos del sistema, la programación de tareas / trabajos y el volcado de credenciales.

Los investigadores de Pink Canary observaron a los atacantes que normalmente creaban y modificaban procesos del sistema, como los servicios de Home windows, para lograr la persistencia en un sistema comprometido y aprovechar los privilegios elevados. También utilizaban con frecuencia la función de programación de tareas «Tarea programada» en Windows para mantener el acceso y ejecutar procesos, normalmente en el contexto de un usuario privilegiado. El dumping de credenciales fue una táctica preferida para la escalada de privilegios, el robo de datos y el movimiento lateral.

Técnicas consistentes
«Las mejores técnicas han prevalecido de manera bastante consistente a lo largo de los años», dice Nickels. «Si bien no siempre se encuentran entre las cinco técnicas principales, cosas como PowerShell, tareas programadas y el volcado de credenciales han sido y siguen siendo muy comunes».

Para las organizaciones, uno de los mayores desafíos a la hora de detectar el uso de estas técnicas es el hecho de que la mayoría se pueden utilizar de forma legítima y maliciosa.

«Las técnicas que tienden a ser de naturaleza &#39de doble propósito&#39 pueden ser inicialmente difíciles de detectar porque cada organización tiene que determinar qué es regular para ellas», dice.

Ella aconseja a las organizaciones que trabajen para comprender sus fuentes de datos disponibles para que puedan establecer una línea de base de lo que es normal en su entorno y configurar el activador de detección de actividad maliciosa en consecuencia.

Pero no son solo las técnicas y tácticas las que son relativamente fáciles de detectar en muchos casos, descubrió Pink Canary. Muchas de las herramientas de doble propósito y malware detectadas con más frecuencia que la compañía observó el año pasado eran herramientas que las organizaciones probablemente subestiman porque se consideran malware básico. Entre ellos se encontraban Cobalt Strike, Qbot, IcedID, Mimikatz y Emotet.

Una entrada sorpresa en el último top rated 10 de Red Canary fue el gusano USB Gamarue. Aunque la infraestructura de comando y regulate de la herramienta de malware se interrumpió en 2017, todavía aparece regularmente en entornos comprometidos, dice Nickels.

«Esto resalta la importancia de que los defensores no descarten ninguna amenaza como &#39demasiado antigua&#39 o &#39basic&#39», señala. «Hemos visto que muchas amenazas &#39antiguas&#39 tienen un impacto significativo en muchas organizaciones».

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia unique