Get best of the week

Un lobo con piel de cordero: cómo atrapar a un pirata informático que se disfraza cuidadosamente como un usuario común



Imagen: Unsplash

Con el crecimiento de la actividad de piratas informáticos, aparecen productos y métodos que le permiten identificar métodos relevantes de piratería, reparación y distribución. Por lo tanto, los hackers intentan estar un paso por delante y permanecer lo más discretos posible.

Hoy hablaremos de tácticas para ocultar las huellas de nuestras acciones que usan los ciberdelincuentes, y hablaremos sobre cómo resolverlas.


Investigando las actividades de los grupos APT , este año revelamos un aumento en el número de ataques APT en varias industrias. Si el año pasado 12 grupos APT entraron en nuestra opinión, entonces este año 27 grupos se convirtieron en objeto de investigación. Esta tendencia también se correlaciona con el aumento constante en el número de incidentes cibernéticos únicos de trimestre a trimestre (según nuestros datos, en el tercer trimestre de 2019, se registraron un 6% más de incidentes únicos que en el segundo). Estas conclusiones son confirmadas por los datos de la Oficina del Fiscal General: el año pasado, el número de delitos informáticos casi se duplicó en comparación con 2018 y al final del año llegó a 270,000 casos registrados, es decir, el 14% del número total de todos los delitos registrados en Rusia. Como se esperaba, los ataques dirigidos prevalecieron significativamentedemasiado masivo Durante 2019, observamos un aumento en los ataques dirigidos: en el tercer trimestre, su participación fue del 65% (contra el 59% en el segundo trimestre y el 47% en el primero).

Detrás de un ataque de piratas informáticos casi siempre hay una motivación financiera. Muy a menudo, los atacantes roban dinero directamente de las cuentas de la empresa. En otros casos, roban datos y documentos confidenciales para extorsionar o entrar en la infraestructura de las empresas y venderles acceso en el mercado negro. Además, no puede descartar el espionaje ordinario, en el que los atacantes no están interesados ​​en el dinero, sino en la información. La mayoría de las veces, la motivación para este tipo de ataque es la competencia: los piratas informáticos pueden robar secretos comerciales por orden, interrumpir el trabajo de otra empresa e involucrarlo en un escándalo. Como parte de nuestro estudioIdentificamos 10 grupos APT que atacaron a compañías estatales en Rusia en los últimos dos años y notamos que su motivo principal era el espionaje. Además, realizamos una encuesta a expertos en TI y seguridad de la información sobre la disposición de sus empresas para resistir los ataques APT. Cada segundo encuestado del sector público (45%) respondió que su empresa no estaba preparada para APT, y el 68% señaló que sus especialistas en seguridad de la información no estaban suficientemente calificados para hacer frente a amenazas tan complejas.

Nuestros proyectos para el análisis retrospectivo y la investigación de incidentes indican que muchas empresas que han pasado a la práctica de detectar incidentes cibernéticos encuentran rastros de piratería que ocurrieron hace varios meses o incluso varios años (se identificó TaskMasters el año pasado, que estuvo en la infraestructura de una de las víctimas durante al menos ocho años). Esto significa que los delincuentes han controlado durante mucho tiempo muchas organizaciones, pero las organizaciones mismas no se dan cuenta de su presencia, pensando que en realidad están protegidas. Además, a menudo resulta que no solo uno, sino varios grupos "viven" en la infraestructura de tales empresas.

Según nuestras estimaciones , un conjunto de herramientas para llevar a cabo un ataque destinado a robar dinero de un banco puede costar desde 55 mil dólares estadounidenses. Una campaña de espionaje cibernético es mucho más costosa, su presupuesto mínimo es de 500 mil dólares estadounidenses.

Parece que el mercado ofrece muchos productos anti-piratería. Pero, ¿cómo penetran los intrusos en una red de organizaciones? Consideraremos este tema en el artículo de hoy.

Ingeniería social


La ingeniería social es una de las formas más comunes de penetrar la infraestructura. Las grandes empresas emplean a muchas personas, su conocimiento de las reglas de seguridad de la información puede ser diferente, debido a esto, es más probable que algunos empleados sean atacados utilizando métodos de ingeniería social y phishing. Y para compilar una lista de correos de phishing, es suficiente realizar una búsqueda en fuentes abiertas (OSINT).

Muchos de nosotros tenemos cuentas en las redes sociales, algunos de ellos publican información sobre nuestro lugar de trabajo. Muy a menudo, el correo electrónico de un empleado es una combinación de "la primera letra del nombre + apellido en inglés" con ligeras variaciones. Por lo tanto, es suficiente que el pirata informático conozca el formato de la dirección electrónica de la empresa y el nombre completo del empleado para obtener su dirección de correo electrónico con una probabilidad del 90%. También puede comprar datos en foros paralelos o en los canales correspondientes de mensajeros instantáneos populares, así como encontrarlos en el próximo "drenaje" de bases de datos.

Vulnerabilidades en la infraestructura de acceso a Internet


Bloody Enterprise no solo es una gran cantidad de personas, sino también una gran cantidad de servicios: servicios de acceso remoto, bases de datos, paneles de administración, sitios web. Y cuanto más, más difícil es controlarlos. Por lo tanto, hay situaciones en las que, debido a errores de configuración, el servicio se vuelve accesible desde el exterior. Si un pirata informático monitorea constantemente el perímetro de la organización, entonces notará casi de inmediato un "agujero" en la infraestructura, el tiempo depende solo de la frecuencia con la que escanea el perímetro, de un par de minutos a un día.

En el peor de los casos, un servicio "desnudo" tendrá una vulnerabilidad conocida, lo que permitirá a un atacante usar inmediatamente el exploit y entrar en la red. Y si la contraseña estándar no se ha cambiado al configurar el servicio, el hacker encontrará acceso a los datos varias veces más rápido seleccionando la conexión estándar de inicio de sesión y contraseña.

¿Por qué los ataques son cada vez más difíciles de detectar?




Un punto de inflexión en el proceso de complicar los ataques de piratas informáticos fue la aparición del gusano Stuxnet en 2010, que muchos llaman la primera arma cibernética. Durante mucho tiempo pasó desapercibido en la red del programa nuclear iraní, controló la velocidad de las centrífugas para el enriquecimiento de uranio y desactivó el equipo. Con los años, ya fue encontrado en otras redes de computadoras. El uso de vulnerabilidades de día cero, las firmas digitales, la distribución a través de dispositivos USB y las impresoras compartidas permitieron que el gusano no fuera detectado durante mucho tiempo.

Los hackers comenzaron a unirse en grupos. Si en el cero observamos más hackers individuales, entonces en la década de 2010 comenzó un crecimiento activo en el cibercrimen organizado. Sin embargo, el número de delitos comenzó a aumentar rápidamente. Al mismo tiempo, a principios de la década, los dueños de negocios no pensaban mucho en la seguridad de la información de su organización, lo que permitió a los piratas informáticos robar millones de dólares casi sin obstáculos. En la primera mitad de la década, las instituciones financieras no estaban preparadas para la aparición de malware complejo, como Carberp y Carbanak . Como resultado de los ataques que los usaron, se causaron aproximadamente $ 1 mil millones de daños.

Hoy existen soluciones para detectar hacks y para detectar la actividad de los atacantes en la infraestructura. En respuesta, los piratas informáticos desarrollan soluciones alternativas para pasar desapercibidos el mayor tiempo posible. Por ejemplo, utilizan técnicas como vivir de la tierra . En tales ataques, para la ejecución remota de comandos en nodos, se utilizan mecanismos integrados en el sistema operativo y programas confiables. En la infraestructura de Windows, estos pueden ser PowerShell, WMI, utilidades de la suite Sysinternals. Por ejemplo, la utilidad PsExec ha demostrado su eficacia tanto entre los administradores de TI como entre los ciberdelincuentes.

Los atacantes también usan la técnica del abrevadero: piratean un sitio o aplicación de la industria que los empleados de la compañía a menudo visitan, usan y colocan código malicioso en ellos. Después de que el usuario inicia la aplicación o inicia sesión en el sitio, el malware se descarga en su dispositivo a través del cual el atacante ingresa a la infraestructura. Este método ha sido adoptado por grupos APT como Turla , Winnti .

Algunos grupos de hackers, como Cobalt, Silence, TaskMasters, utilizan el método de ataque de la cadena de suministro. Los atacantes piratean por adelantado los servidores de un socio de la organización objetivo y ya realizan correos de phishing desde sus buzones. Los piratas informáticos no se limitan a enviar cartas, sino a atacar a los desarrolladores de software utilizados por organizaciones de interés e incrustar código malicioso, por ejemplo, en la próxima actualización. Todos los usuarios que instalan esta actualización infectan sus computadoras. Entonces, el código malicioso del virus NotPetya ransomware se incorporó a una de las actualizaciones del programa de contabilidad.

Sin embargo, con todas las ventajas de un malware atacante , un antivirus o sandbox puede detectarsi fue enviado por correo En este sentido, los atacantes inventan técnicas de ofuscación de código cada vez más sofisticadas, por ejemplo, virtualizándolas, realizan ataques sin archivos e insertan métodos anti-VM y antisandbox en el código.

No se puede descartar que un atacante pueda prescindir del malware en la red, limitándose a las herramientas permitidas por las políticas de seguridad.

Cómo atrapar a un hacker en infraestructura: mejores prácticas y errores importantes




La forma más fácil de evitar que un invitado no invitado aparezca en su infraestructura es construir la línea de defensa correcta. Aquí se pueden distinguir tres componentes principales:

  • perímetro confiable;
  • usuarios con conocimientos;
  • políticas de roles y contraseñas.

Hay una excelente declaración del libro de Sun Tzu "El arte de la guerra": "Avanza, donde no estás esperando, ataca donde no estás preparado". Garantizar la ciberseguridad no debe limitarse al perímetro y a los medios tradicionales de protección. Como mostraron los resultados de nuestro estudio , el 92% de las amenazas se identifican cuando el enemigo ya está dentro.

Los cibergrupos han aprendido con éxito a superar la defensa en el perímetro de las organizaciones que les interesan, y esto se evidencia por la tendencia hacia un aumento en la proporción de ataques dirigidos exitosos . Esta es una ocasión para cambiar el foco de atención de la prevención de ataques en el perímetro a la detección oportuna de compromisos y respuestas dentro de la red.

Si el incidente aún sucedió, debe construir toda la cadena de eventos que el pirata informático realizó en el camino hacia su objetivo: la línea de tiempo. Cuando se detecta un incidente, muchos no saben cómo reaccionar correctamente, entran en pánico y cometen errores ya en las primeras etapas. Comienza la eliminación agitada de las consecuencias del incidente, lo que lleva a la eliminación de sus artefactos. Sin embargo, pocas personas piensan de inmediato en los motivos de su aparición, y cuando la necesidad de encontrar la causa se hace evidente, la mayoría de los rastros ya han sido destruidos: debe restaurar la imagen de lo que queda.

Sucede que en el transcurso de un incidente, el pirata informático sigue en línea y la víctima trata de "noquearlo" con todos los medios disponibles, sin darse cuenta de qué parte de la infraestructura y los servicios controla el atacante. En este caso, el pirata informático puede irse, golpeando fuertemente la puerta: por ejemplo, encriptando los nodos bajo control.

Encontrar un hacker en la infraestructura de un hacker no siempre es una tarea trivial. Con un enfoque competente, puede permanecer en la infraestructura durante mucho tiempo. Por ejemplo, el grupo TaskMasters que se descubrióLos expertos del PT Expert Security Center en 2018, en algunas organizaciones durante años, ocultaron su presencia. Al mismo tiempo, los piratas informáticos volvieron varias veces a la infraestructura pirateada para descargar otra pieza de datos, después de lo cual vertieron un agujero excavado, dejando varios puntos de acceso a la red interna. Y cada vez pasaban desapercibidos. En tales casos, los piratas informáticos podrían calcularse por la actividad anormal de la red (que se produjo principalmente de noche) por una gran cantidad de tráfico a nodos externos o movimientos horizontales no estándar en el interior.

Pero, ¿qué pasa si no sabemos si hay un hacker dentro de la red y queremos protegernos verificando la ausencia de piratería? Para hacer esto, debe tener una gran base de conocimientos sobre cómo puede actuar un hacker: cómo penetrar, cómo afianzarse, cómo moverse. Afortunadamente, dicha base de conocimiento existe y se llama ATT & CK , desarrollada y respaldada por MITRE Corporation basada en el análisis de ataques APT reales. La base es una tabla visual de tácticas a las que puede recurrir un hacker para lograr con éxito su objetivo. Estructuró el conocimiento sobre los ataques dirigidos y clasificó las acciones de los atacantes. Investigadores de todo el mundo actualizan constantemente la base de datos, lo que permite que los expertos en seguridad de la información de todos los países hablen el mismo idioma. Además, el conocimiento de las tácticas le permite identificar con éxito los rastros de piratería y prepararse de antemano para fortalecer las debilidades, establecer un mayor control sobre ellas y responder rápidamente a la aparición de un atacante.

Además, los crackers dejan rastros en el tráfico de la red, lo que significa que la tarea de un especialista en ciberseguridad es detectar estos rastros. resultados Nuestros proyectos piloto han demostrado que las soluciones de clase NTA pueden identificar efectivamente las amenazas de diversos grados de riesgo, desde violaciones de las regulaciones de IS hasta ataques dirigidos complejos.

Los detalles técnicos sobre cómo atrapar a un hacker en el tráfico de la red (un manual detallado con capturas de pantalla) se pueden encontrar en nuestro artículo Anti-Malware .

Qué esperar en el futuro: tendencias de ciberseguridad


Las noticias sobre las filtraciones de datos en los últimos años se han vuelto especialmente ruidosas, incluso porque los atacantes logran utilizar las filtraciones de los últimos años. Esto les proporciona archivos digitales más completos de una gran cantidad de usuarios. Se espera que continúe esta tendencia.

En 2019, registramos más de mil quinientos ataques de hackers; Esto es un 19% más que en 2018. En el 81% de los ciberataques, las víctimas eran personas jurídicas. A finales de año, los cinco sectores más atacados incluían instituciones estatales, industria, medicina, el campo de la ciencia y la educación, y el sector financiero. El enfoque de la industria continuará en el futuro.

La proporción de ataques dirigidos está creciendo: en cada trimestre observamos más ataques dirigidos que en el anterior. En el primer trimestre de 2019, menos de la mitad de los ataques (47%) fueron atacados, y al final del año su participación ya era del 67%. Esperar un mayor crecimiento de los ataques APT .

Para poder responder a las nuevas amenazas, las tecnologías de protección también deben desarrollarse activamente. Sin embargo, no será posible lograr un alto nivel de seguridad con la ayuda de solo contramedidas y herramientas de detección de ataques. Recomendamos que las empresas realicen regularmente pruebas de penetración y capacitación de los empleados de IS como parte de la formación de equipos rojos; esto permitirá detectar y eliminar oportunamente los posibles vectores de ataque de recursos críticos y depurar las interacciones de los servicios de IS y TI en caso de un ciberataque.

Nuestra compañía ha desarrollado un sistema de protección de red anti-APT para la organización , diseñado para detectar y prevenir ataques dirigidos. Le permite detectar rápidamente la presencia de un atacante en la red y recrear la imagen completa del ataque para una investigación detallada. La detección de actividad anormal en la red, el análisis retrospectivo de archivos y un entorno limitado avanzado pueden reducir el tiempo de respuesta a un incidente o evitarlo por completo.

Publicado por Denis Kuvshinov, Especialista líder, Equipo de investigación de amenazas cibernéticas de tecnologías positivas

More articles:


All Articles