UN POCO DE LUZ ACERCA DE HERRAMIENTAS DE HACKING Y APTs.

Las herramientas de hacking suelen ser GRAYWARE que no siempre son detectadas por las soluciones antimalware. Desafortunadamente, esto significa menos visibilidad en cuanto a investigación en amenazas persistentes avanzadas (APTs). Además, los hackers, conscientes de esta falta de protección, crean sus propias herramientas para aprovecharse.
Algunas de las herramientas de este estilo, más típicas, son:

  • Herramientas de recuperación de contraseñas – Herramientas para extraer las contraseñas almacenadas en aplicaciones o en el sistema operativo en las entradas del registro del sistema. Se utilizan típicamente para clonar o impersonalizar cuentas de usuario para obtener derechos de administrador. La técnica Pass the hash es una de las más comunes para ganar derechos de administrador a través del robo de hashes de contraseñas.
  • Herramientas para clonar cuentas de usuario – utilizadas para clonar una cuenta de usuario una vez que la password ha sido robada por el atacante. Hasta que adquiere los privilegios suficientes, el atacante insiste haciendo pruebas hasta que consigue ejecutar un código malicioso.
  • Herramientas de manipulación de ficheros –herramientas para manipular archivos tales como copiar, borrar, modificar marcas de tiempo,  hacer búsquedas etc de ficheros específicos. Estas técnicas son utilizadas por los hackers para obtener determinados ficheros que les interesan por motivos determinados como hacer caer reputación de una empresa etc.
  • Herramientas que permiten programar tareas – software para deshabilitar o crear tareas programadas. Esto ayuda al atacante a reducir la Seguridad del sistema infectado deshabilitando las tareas de actualización de software de esa máquina. Además, con este control, el atacante puede conseguir robar ficheros en determinadas franjas temporales.
  • Herramientas de FTP – Herramientas que a través de ftp consiguen transferir ficheros robados a servidores de los atacantes. Dado que las comunicaciones ftp son confiables y no se suelen analizar con tanto ímpetu como otras comunicaciones, los atacantes se aprovechan de esto para efectuar sus acciones maliciosas.
  • Herramientas de compression de datos – Estas herramientas que no son consideradas maliciosas, son utilizadas por los hackers. En la mayor parte de los casos, estas herramientas son legítimas (como WinRAR); pero los hackers las están utilizando para comprimir múltiples archivos.

¿Cómo podemos identificar las APTs que se transmiten con estas herramientas?

Hemos visto estas herramientas para propagar APTs, ganar derechos de administración y robar documentos clave. Y entonces, ¿cómo pueden los administradores de IT y los usuarios con más privilegios utilizar esta información para identificar estas actividades maliciosas?

  • Instancias sospechosas de comandos en la shell pueden indicar que el sistema está comprometido. Las herramientas explicadas arriba son ejecutadas via línea de comandos o ejecutados en una GUI que es lanzada por línea de comandos. Los atacantes utilizan estas herramientas a través de un comando oculto. Así que, haciendo un chequeo regular de los comandos ejecutados, puede ayudarnos a descubrir ataques de este estilo. Adicionalmente, utilizando herramientas como un explorador de procesos, podemos ver los parámetros que se han utilizado en los comandos para ver qué se ha hecho en nuestro sistema o red y qué recursos han utilizado.
  • La presencia de herramientas, tanto legítimas como no legítimas, puede ser un indicador de que nuestro sistema está comprometido. Los usuarios tienen que conocer qué herramientas/programas hay instalados en sus sistemas para saber identificar las diferencias si la máquina está comprometida. También es conveniente tener un control de los ficheros que hay en el sistema para saber si hay cambios que puedan suponer la presencia de una APT en nuestro ordenador.
  • Además, hemos observado que estas herramientas son en ocasiones salvadas en el sistema utilizando nombres de fichero extraño o con extensiones falsas. Siendo capaz de identificar estos ficheros añadidos en el sistema, podremos identificar si estamos en peligro.
  • Prestando atención a las conexiones FTP en la red (gracias a los logs), podemos también identificar actividades maliciosas en la red. Es una práctica común observar la presencia de conexiones a servidores C&C, pero chequear conexiones FTP nos da otra oportunidad para identificar brechas en la red. Normalmente, en una red, los servidores FTP son internos, de la intranet. Las transacciones a servidores FTP externos y que duren muy poco tiempo puede ser un indicador de actividad maliciosa. Además observando los ficheros transferidos, si estos tienen nombres extraños, es otra pista para identificar acciones de ciberdelincuencia.
  • Tenemos que revisar las tareas programadas. Las tareas programadas son un método común de lanzar APTs y malware en general. Analizando las propiedades de estas tareas programadas, no solamente nos permitirá identificar la infección, sino identificar los componentes del ataque a través de los ficheros que ejecutan.

Comprendiendo  los ataques dirigidos  desde distintas perspectivas, los administradores de seguridad y los investigadores tienen más conocimiento para identificar y combatir estas amenazas.

En nuestras predicciones de la evolución de las amenazas para el 2013, nos damos cuenta de que los ataques aumentarán su capacidad destructiva. El análisis minucioso a nivel local y de red de condiciones e indicadores es crucial.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.