5 formas en que los ciberdelincuentes ocultan sus huellas

Los encargados de la ciberseguridad tienen una variedad de herramientas en constante mejora para ayudar a detectar y detener la actividad maliciosa. Estas comprenden herramientas de monitoreo de red, escáneres de virus, herramientas de análisis forense digital, soluciones de respuesta a incidentes, y más.

Pero, por supuesto, la ciberseguridad es una batalla constante entre el ataque y la defensa, y los atacantes continúan planteando desafíos novedosos.

Las técnicas más antiguas, como la esteganografía, el arte de ocultar información que incluye payloads maliciosos en archivos que de otro modo serían benignos, como imágenes, están evolucionando, dando lugar a nuevas posibilidades. Por ejemplo, recientemente un investigador demostró que incluso Twitter no era inmune a la esteganografía. Las imágenes de la plataforma podrían ser abusadas para empaquetar archivos ZIP de hasta 3 MB dentro de ellas.

Sin embargo, además de utilizar técnicas de ofuscación, esteganografía y empaque de malware, los actores de amenazas usan otras técnicas. Hoy en día utilizan con frecuencia los servicios, plataformas, protocolos y herramientas legítimas para llevar a cabo sus actividades. Esto les permite mezclarse con el tráfico o la actividad que puede parecer “limpia” tanto para los analistas humanos como para las máquinas.

Aquí te muestro cinco tácticas que los ciberdelincuentes están utilizando actualmente para cubrir sus huellas.

1. Abusar de plataformas confiables que no generarán alarmas

Este fue un tema común visto por los profesionales de la seguridad en 2020 que se ha infiltrado este año.

Lo ciberdelincuentes utilizan servicios y herramientas de pruebas de penetración como Cobalt Strike y Ngrok. También están utilizando ecosistemas de código abierto establecidos como GitHub, hasta sitios de imágenes y texto como Imgur y Pastebin. Los atacantes se han dirigido a una amplia gama de plataformas confiables en los últimos años.

Por lo general, Ngrok es utilizado por hackers éticos interesados ​​en recopilar datos o configurar túneles simulados para conexiones entrantes. Lo utilizan como parte de ejercicios de recompensa de errores o compromisos de pruebas de penetración. Pero los actores maliciosos han abusado de Ngrok para instalar directamente malware de botnet o conectar un servicio de comunicaciones legítimo a un servidor malicioso. 

En un ejemplo más reciente, Xavier Mertens del SANS Institute detectó una muestra de malware escrita en Python que contenía código codificado en base64. El malware era utilizado para instalar una puerta trasera en un sistema infectado que usaba Ngrok.

Debido a que Ngrok es ampliamente confiable, el atacante remoto podría conectarse al sistema infectado a través de un túnel Ngrok. Este túnel probablemente evadiría los firewalls corporativos o las protecciones NAT.

Los atacantes han abusado de GitHub para alojar malware. Por ejemplo, han utilizado Octopus Scanner y Gitpaste-12. Recientemente, atacantes astutos abusaron de GitHub e Imgur combinados utilizando un script de PowerShell de código abierto. Este script les permitió alojar un script simple en GitHub que calculaba el payload de Cobalt Strike a partir de una foto benigna de Imgur. 

Cobalt Strike

Cobalt Strike es un popular framewrok de pruebas de penetración para simular ciberataques avanzados del mundo real. Sin embargo, como cualquier producto de software de seguridad, los adversarios pueden utilizarlo de forma incorrecta.

Del mismo modo, las herramientas de automatización en las que confían los desarrolladores no son inmunes a la explotación.

En abril, los atacantes abusaron de las GitHub Actions para apuntar a cientos de repositorios. Este fue un ataque automatizado que utilizó el servidor y los recursos de GitHub para la minería de criptomonedas. 

Estos ejemplos muestran por qué los atacantes encuentran valor en apuntar a plataformas legítimas que muchos firewalls y herramientas de monitoreo de seguridad pueden no bloquear.

2. Ataques ascendentes que aprovechan el valor, la reputación o la popularidad de una marca

Las preocupaciones sobre la seguridad de la cadena de suministro de software han ganado la atención del público después de la reciente infracción de SolarWinds. Empero, estos ataques han ido en aumento durante algún tiempo.

Ya sea en forma de typosquatting, brandjacking o confusión de dependencia los ataques “upstream” explotan la confianza dentro de ecosistemas de socios conocidos. Además, capitalizan la popularidad o reputación de una marca o componente de software. Hay que mencionar la confusión de demencia inicialmente salió a la luz como una investigación de prueba de concepto, pero luego fue abusada con propósitos maliciosos.

En estos ataques los ciberdelincuentes tienen como objetivo impulsar el código malicioso hacia arriba a una base de código confiable asociada con una marca. Posteriormente, distribuyen ese malware hacia el objetivo final: los socios, clientes o usuarios de esa marca.

Cualquier sistema que esté abierto a todos también lo está a los adversarios. Por lo tanto, muchos ataques a la cadena de suministro se dirigen a ecosistemas de código abierto. Algunos de estos sistemas tienen una validación laxa para defender el principio de “abierto a todos”. Sin embargo, las organizaciones comerciales también están sujetas a estos ataques.

Ataques recientes

En un caso reciente que algunos han comparado con el incidente de SolarWinds, la empresa de pruebas de software Codecov reveló un ataque contra su script Bash Uploader. Este ataque no fue detectado durante más de dos meses.

Los más de 29,000 clientes de Codecov incluyen algunas marcas importantes a nivel mundial. En este ataque, el Uploader utilizado por los clientes de la empresa se modificó para filtrar las variables de entorno del sistema (claves, credenciales y tokens) a la dirección IP del atacante.

La protección contra los ataques a la cadena de suministro requiere acciones en múltiples frentes. Los proveedores de software deben aumentar la inversión para mantener seguras sus compilaciones de desarrollo. 

Las soluciones de seguridad deben ser capaces de detectar y bloquear automáticamente componentes de software sospechosos. Estas deben ayudar a prevenir ataques de typosquatting, brandjacking y confusión de dependencia.

Además, a medida que más empresas adoptan contenedores Kubernetes o Docker para implementar sus aplicaciones, también deben aumentar las medidas de seguridad. Las soluciones de seguridad de contenedores que tienen un firewall de aplicaciones web incorporado pueden ser de mucha ayuda.  Estos son capaces de detectar errores simples de configuraciones incorrectas de manera temprana para prevenir un compromiso mayor.

3. Canalización de pagos con criptomonedas a través de métodos difíciles de rastrear

Los vendedores de mercados de la darknet y los operadores de ransomware con frecuencia negocian con criptomonedas, dado su diseño descentralizado y orientado a la privacidad.

Por ello, aunque no están acuñada ni controladas por los bancos gubernamentales, las criptomonedas tienen un nivel de anonimato del cual carece el efectivo.

Por lo tanto, los ciberdelincuentes encuentran formas innovadoras de desviar fondos entre cuentas.

Más recientemente, más de $760 millones en Bitcoin vinculados al hacking de Bitfinex de 2016 se trasladaron a nuevas cuentas en múltiples transacciones más pequeñas. Las cantidades de las transacciones fueron desde 1 BTC a 1200 BTC.

La criptomoneda no es una forma completamente infalible de ocultar un rastro de dinero. En la noche de las elecciones presidenciales de Estados Unidos de 2020, el gobierno estadounidense vació una billetera de Bitcoin de $ 1 mil millones. Esta billetera contenía fondos vinculados al mercado de la darknet más notorio, Silk Road, que fue cerrado en 2013.

Algunas otras criptomonedas como Monero (XMR) y Zcash (ZEC) tienen capacidades de preservación de la privacidad más amplias que Bitcoin para anonimizar transacciones. Sin duda, el vaivén entre criminales e investigadores continuará en este frente a medida que los atacantes busquen mejores formas de ocultar sus huellas.

4. Usar canales y protocolos comunes

Al igual que las plataformas y marcas confiables, los canales, puertos y protocolos cifrados utilizados por aplicaciones legítimas suelen ser otro vector de ataque. Estos brindan a los atacantes otra forma de enmascarar sus pasos.

Por ejemplo, HTTPS es un protocolo universalmente indispensable para la Web en la actualidad. Y, por esa razón, el puerto 443 (utilizado por HTTPS/SSL) es muy difícil de bloquear en un entorno corporativo.

Sin embargo, DNS sobre HTTPS (DoH), un protocolo para resolver dominios, también usa el puerto 443. Por ello los autores de malware han abusado de él para transmitir sus comandos de comando y control (C2) a los sistemas infectados.

Este problema tiene dos aspectos. Primero, al abusar de un protocolo de uso común como HTTPS o DoH, los atacantes disfrutan de los mismos beneficios de privacidad de los canales cifrados de extremo a extremo que los usuarios legítimos.

En segundo lugar, esto plantea dificultades a los administradores de red. Bloquear el DNS en cualquier forma plantea un desafío. Esto porque las solicitudes y respuestas de DNS cifradas a través de HTTPS se convierten en una molestia para los profesionales de seguridad. Es muy difícil interceptar, identificar y analizar el tráfico sospechoso de muchas solicitudes HTTPS que se mueven hacia adentro y hacia afuera a través de la red.

El investigador Alex Birsan fue quien demostró la técnica de confusión de dependencia para hackear éticamente más de 35 grandes empresas de tecnología. Él pudo maximizar su tasa de éxito utilizando DNS (puerto 53) para exfiltrar información básica. Birsan eligió DNS debido a la alta probabilidad de que los firewalls corporativos no bloqueen el tráfico de DNS. No lo bloquean debido a los requisitos de rendimiento y los usos legítimos de DNS.

5. Uso de binarios firmados para ejecutar malware ofuscado

El concepto familiar de malware sin archivos que utiliza binarios living-off-the-land (LOLBIN) sigue siendo una técnica de evasión válida.

Los LOLBIN se refieren a ejecutables legítimos firmados digitalmente, como los ejecutables de Windows firmados por Microsoft. Los atacantes los suelen utilizar indebidamente para lanzar código malicioso con privilegios elevados o para evadir productos de seguridad de terminales como antivirus.

El mes pasado, Microsoft compartió algunas pautas sobre técnicas defensivas que las empresas pueden adoptar para evitar que los atacantes abusen de los LOLBIN de Microsoft Azure

En otro ejemplo, un malware de Linux y macOS descubierto recientemente tenía una tasa de detección cero perfecta entre todos los mejores productos antivirus.

El binario contenía código ofuscado, lo que ayudó a la evasión. Sin embargo, una investigación adicional también reveló que el malware se creó utilizando cientos de componentes legítimos de código abierto. Este llevó a cabo sus actividades maliciosas, como obtener privilegios administrativos, de manera idéntica a cómo lo harían las aplicaciones legítimas.

Si bien el malware ofuscado, los empaquetadores en tiempo de ejecución, la evasión de máquinas virtuales o la ocultación de payloads maliciosos en imágenes son técnicas evasivas conocidas que utilizan las amenazas avanzadas, su verdadero poder proviene de evadir los productos de seguridad o de pasar desapercibidos.

Y esto es posible cuando los payloads se combinan hasta cierto punto con componentes de software, protocolos, canales, servicios o plataformas confiables.