Fireeye Muestra Cómo Funciona Un Apt

FIREEYE MUESTRA CÓMO FUNCIONA UN APT

"Hoy en día se están gastando miles de millones de dólares al año en defensas que son fácilmente eludidas por los atacantes que crean malware específicos para cada víctima de una Amenaza Avanzada Persistente o APT, sigla para “Advance Persistent Threat”.

Vea cómo funciona un APT:

1. RECONOCIMIENTO EXTERNO:

Invasores buscan y analizan posibles objetivos de una empresa u organización donde cualquier empleado puede ser el objetivo, del presidente al aprendiz, identificando personas interesantes y desarrollando una invasión a medida para acceder al sistema.

Los atacantes pueden recoger datos personales de las redes sociales y los sitios web públicos para desarrollar un e-mail spear-phishing detallado y convincente. El malware puede estar oculto en varios archivos, como hojas de cálculo, textos, fotografías, etc.

2. COMPROMISO INICIAL:

En esta etapa, el atacante tiene acceso al sistema y puede usar una variedad de métodos, incluyendo spear-phishing por mensajes de correo electrónico personalizados y ataques de tipo watering-hole que compromete los sitios utilizados por las víctimas potenciales.

3. BASE DE ATAQUE ESTABLECIDA:

Los atacantes intentan obtener credenciales administrativas (en forma encriptada) de la compañía y transferirlas fuera de la red. Para fortalecer su posición en la red comprometida, los atacantes a menudo usan un malware oculto que evade la detección por la seguridad basada en host o red. Por ejemplo, el malware puede instalarse con privilegios de sistema infiltrándose en procesos legítimos, modificando el registro o secuestrando servicios programados.

El malware descargado algún correo electrónico o sitio web infectado se instala en la máquina con un falso certificado de programa común y transmite sus informaciones recopiladas al invasor.

4. RECONOCIMIENTO INTERNO:

En este paso, los invasores recopilan informaciones de la infraestructura alrededor, relaciones confiables y la estructura del dominio de Windows. El objetivo es moverse lateralmente en la red comprometida para identificar los datos vulnerables. Durante esta fase los invasores suelen implementar backdoors adicionales para que puedan volver a tener acceso a la red en caso sean detectados.

5. MISIÓN CUMPLIDA (?)

Una vez que los invasores garantizan una base y localizan informaciones valiosas, extraen datos, tales como correos electrónicos, archivos adjuntos y archivos ubicados en el ordenador del usuario y el servidor. Los invasores a menudo tratan de mantener el control de los sistemas comprometidos, preparándose para robar los datos valiosos que pueden encontrar. Para mantener la presencia, frecuentemente intentan ocultar sus pruebas para evitar la detección.

Desde que es instalado en su máquina, el archivo malicioso hace de todo para no ser detectado y se propaga tan rápido como sea posible.

Estas son algunas de las técnicas utilizadas por los invasores para ocultarse en el interior de un sistema comprometido:

• INYECCIÓN DE PROCESO

Como su nombre indica, esta técnica consiste en la inserción de códigos maliciosos en procesos que serían benignos. Secuestrando el código legítimo, los invasores ocultan el origen de comportamientos maliciosos y evaden los firewalls y otros procesos que son el foco de las herramientas de seguridad.

·        CAMUFLAJE DE PROCESO

En este enfoque, los invasores nombran sus archivos u objetos maliciosos con un nombre que parece benigno. También se utilizan nombres similares de un proceso de sistema conocido u otro proceso común. Svchost.exe y Spoolsv.exe son falsificados frecuentemente porque muchas copias de estos servicios normalmente se están ejecutando y pueden ser fácilmente descuidados.

También son muy usados los navegadores, que terminan teniendo algunos procesos modificados sin que usted perciba los cambios.

• EJECUCIÓN DEL CÓDIGO A PARTIR DE LA MEMORIA

Para girar sólo en la memoria, los códigos maliciosos pueden esquivar protección contra malware y no dejar rastros para investigadores forenses digitales. Esta técnica fue fundamental en la “Operation Ephemeral Hydra”, un watering-hole sofisticado descubierto en noviembre de 2013.

• ESCONDIENDO ARCHIVOS

Esta técnica puede ser tan simple como cambiar la fecha y hora de un archivo para disfrazar su tiempo de creación en relación con una violación.

·        TROYANIZACIÓN

Para evitar dejar atrás un archivo ejecutable indicador, muchos invasores secuestran un ejecutable existente. Los expertos en seguridad a menudo descuidan estos archivos. La "troyanización" de un binario que se carga en el arranque del sistema ofrece la ventaja adicional de persistencia.

Sus programas comunes se utilizan como escudo mientras que los programas maliciosos invaden para arrancar su máquina.

• EMPAQUETADORES

Comprimen y encriptan el código para ocultar el código base. La técnica crea binarios que todavía no han sido identificados por las defensas basadas en firmas. Esto también hace que sea más difícil de realizar ingeniería inversa del código.

Recomendaciones de FireEye para defenderse de este nuevo modelo de ataque cibernético:

• Evolucionar a una arquitectura diferente, no basada en firmas, listas blancas o reputaciones. En su lugar, implementar soluciones de seguridad basadas en máquina virtual (VM) que proporcionan una cobertura total del ataque y generan alertas precisas y de alta calidad con el fin de analizar lo que importa.

· Invertir en las capacidades de endpoint de respuesta rápida para validar y contener ataques.

• Construir (o contratar) capacidades de respuesta a incidentes para actuar cuando sea necesario.

• Reducir capas redundantes de defensa "en profundidad" basadas en firmas que no frenan las amenazas y crean ruido extra. Reinvertir esos recursos en soluciones de seguridad eficaces basadas ​​en VM.

Para saber más sobre APT visite: http://www2.fireeye.com/real-world-assessment.html