El
Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido ha publicado
una lista de las
herramientas y técnicas de hacking más utilizadas y de acceso público, en
un informe conjunto con sus socios de inteligencia “Five Eyes”: Australia, Canadá, Nueva
Zelanda y los Estados Unidos.
Actualización: Este listado fue publicado en 2018. No obstante, estas herramientas siguen siendo ampliamente utilizadas, por lo tanto representan un peligro.
El objetivo explícito de la publicación es ayudar al trabajo de los defensores de redes y administradores de sistemas. El informe también proporciona consejos para limitar la efectividad de estas herramientas y detectar su uso en una red.
Herramientas de hacking más utilizadas
El
informe abarca cinco categorías: troyanos de acceso remoto (RAT), shells web,
ladrones de credenciales, frameworks de movimiento lateral y ofuscadores C2.
Este
se centra en JBiFrost, China Chopper, Mimikatz, PowerShell Empire y HTran.
Reiterando
la necesidad de higiene
de seguridad básica, el informe enfatiza
que los compromisos iniciales de los sistemas víctimas usualmente aprovechan
las debilidades comunes de seguridad como las vulnerabilidades de software y de
software sin parches: “Las herramientas detalladas aquí entran en juego una vez
que se logra un compromiso, permitiendo a los atacantes lograr sus objetivos
dentro de los sistemas de la víctima”.
1. RAT JBiFrost
Los
RAT permiten el control administrativo a distancia. Se pueden usar para
instalar puertas traseras y
keyloggers, tomar capturas de
pantalla y exfiltrar datos.
Si
bien hay una amplia gama de RAT en circulación, JBiFrost se usa cada vez más en
ataques dirigidos contra propietarios de infraestructura nacional críticas y
sus operadores de cadena de suministro, dijo el NCSC.
“JBiFrost
RAT está basado
en Java, multiplataforma y
multifuncional. Representa una amenaza para varios sistemas operativos
diferentes, incluidos Windows, Linux, MAC OS X y Android. JBiFrost permite
a los actores girar y moverse lateralmente a través de una red, o instalar
software malicioso adicional. Se propaga principalmente a través de
correos electrónicos como un archivo adjunto”.
Los
signos de infección incluyen:
- Incapacidad para
reiniciar la computadora en modo seguro
- Incapacidad para
abrir el editor de registro de Windows o la gestión de tareas
- Aumento
significativo en la
actividad del disco y/o tráfico de
red.
- Intentos de
conexión a direcciones IP maliciosas conocidas
- Creación de nuevos
archivos y directorios con nombres ofuscados o aleatorios.
Parchar
y actualizar junto con el uso de un
programa antivirus moderno,
detienen la mayoría de las variantes, dijo el NCSC, y agregó que las
organizaciones deberían poder recopilar detecciones de antivirus de manera
centralizada en todo su patrimonio. La
conciencia de phishing también es crucial.
2. China
Chopper
Los
shells web son scripts maliciosos que se cargan en un host de destino después
de un compromiso inicial. Luego se pueden usar para pivotar a otros hosts
dentro de una red. China Chopper, que tiene solo 4kb de tamaño, es un
shell web ampliamente utilizado.
Una
vez que una máquina está comprometida, China Chopper puede usar la herramienta
de recuperación de archivos 'wget' para descargar archivos de Internet al
destino, y editar, eliminar, copiar,
cambiar el nombre y cambiar la marca de tiempo de los archivos existentes.
“La
forma más efectiva de detectar y mitigar a China Chopper es en el propio host,
específicamente en servidores web públicos. Hay formas sencillas de buscar
la presencia del shell web mediante
la línea de comandos en los sistemas
operativos basados en Linux y Windows”.
Para
detectar los shells web de manera más amplia, los defensores de la red deberían
concentrarse en detectar la ejecución de procesos sospechosos en los servidores
web (por ejemplo, los procesos de generación de binarios PHP) o las conexiones
de red salientes fuera de patrón de los servidores web, enfatiza el informe.
3. Mimikatz
Mimikatz,
desarrollado en 2007 por el programador francés Benjamin Delpy, recopila las
credenciales de los usuarios registrados en una máquina Windows con un proceso
de Windows denominado Servicio de subsistema de autoridad de seguridad local (LSASS).
Un
usuario puede escalar privilegios dentro de un dominio y realizar una amplia
gama de tareas posteriores a la explotación.
(En mayo,
una gran cantidad de actualizaciones de seguridad en la versión 1803 de Windows
10 finalmente hizo posible bloquear el robo de credenciales de LSASS.exe).
La herramienta es potente, versátil y de
código abierto, por lo que los usuarios
malintencionados y los pentester pueden desarrollar complementos
personalizados. Su uso está muy extendido por diversos actores.
Para
empezar, los defensores deben deshabilitar el almacenamiento de contraseñas de
texto sin cifrar en la memoria LSASS. Este es el comportamiento predeterminado
para Windows 8.1/Server 2012 R2 y versiones posteriores, pero se puede
especificar en sistemas más antiguos que tienen instalados los parches de
seguridad relevantes.
“Dondequiera que se detecte Mimikatz, debes
realizar una investigación rigurosa, ya que casi con toda seguridad indica que
un actor está presente activamente en la red, en lugar de un proceso
automatizado en el trabajo. Varias características de Mimikatz dependen de
la explotación de las cuentas de administrador. Por lo tanto, debes
asegurarte de que las cuentas de administrador se emitan solo según sea
necesario. Donde se requiere acceso administrativo, debes aplicar los
principios de administración de acceso de privilegios”.
4. PowerShell Empire
El
framework PowerShell Empire (Empire) se diseñó como una
herramienta de prueba de penetración legítima en 2015.
Permite
la explotación continua una vez que un atacante ha obtenido acceso a un
sistema. La herramienta proporciona a un atacante la capacidad de escalar
privilegios, cosechar credenciales, exfiltrar información y moverse
lateralmente a través de una red.
(Herramientas
similares incluyen Cobalt Strike y Metasploit).
Debido
a que se basa en una aplicación legítima común (PowerShell)
y puede funcionar casi por completo en la
memoria, Empire puede ser difícil de detectar en una red con las herramientas
antivirus tradicionales. Se ha vuelto cada vez más popular entre los actores
estatales hostiles y los delincuentes organizados, dijo el NCSC.
Un
ejemplo reciente incluye su uso después de que el actor hostil APT19 se enfocara
en una firma de abogados multinacional con una campaña de phishing
dirigida. APT19 utilizó macros ocultas de PowerShell incrustadas en
documentos de Word generados por PowerShell Empire.
“Para
identificar los scripts potencialmente maliciosos, la actividad de PowerShell
debe registrarse de manera integral. Esto debería incluir el registro de
bloque de secuencias de comandos y las transcripciones de PowerShell. Una
combinación de firma de código de secuencia de comandos, listas blancas de aplicaciones
y modo de lenguaje restringido evitarán o limitarán el efecto de PowerShell
malintencionado en caso de una intrusión exitosa”, dijo el NCSC.
5. HTran
Los
atacantes a menudo buscan disimular su ubicación cuando comprometen un
objetivo. Pueden usar TOR, o herramientas de proxy como HUC Packet
Transmitter (HTran), que se utiliza para interceptar y redirigir las conexiones
TCP del host local a un host remoto. La herramienta ha estado disponible
gratuitamente en Internet desde al menos 2009 y se ha observado regularmente en
compromisos tanto de los objetivos del gobierno como de la industria.
Para
usarlo, los atacantes necesitan acceso a una máquina explotada, por lo que
todos los conceptos básicos de control de acceso y parches de seguridad que se
describen a continuación. Se aplican las herramientas de hacking
anteriores. El monitoreo y los firewalls de red modernos, debidamente
configurados y escrutados también pueden detectar conexiones no autorizadas de
herramientas como HTran.
“HTran
también incluye una condición de depuración que es útil para los defensores de
la red. En el caso de que un destino no esté disponible, HTran genera un
mensaje de error con el siguiente formato: sprint (buffer, “[SERVER]connection
to %s:%d error\r\n”, host, port2); Este mensaje de error se transmite al
cliente de conexión en claro. Los defensores pueden monitorear este
mensaje de error para detectar potencialmente instancias de HTran activas en
sus entornos”, señala el NCSC.
Conclusión
El fundador
de Intruder Chris Wallis dijo a Computer Business Review: “Este es un excelente
informe del NCSC, que destaca cómo los atacantes en general utilizan los
métodos más fáciles para comprometer a sus víctimas, y cómo estas herramientas
se vuelven cada vez más disponibles, reduciendo constantemente el estándar.
-Son atacantes ".
Añadió:
“Si bien el enfoque aquí está en cómo reprimirlos después de que hayan
ingresado, lo que es más útil para las empresas con experiencia cibernética
interna, la mayoría de las empresas confían en sus gerentes de TI para mantenerlos
seguros”.
“Gran
parte de los consejos son también la higiene cibernética básica, y simplemente
seleccionar los aspectos básicos, como asegurarse de que el
antivirus esté instalado y actualizado, y
asegurarse de que los sistemas de acceso a Internet estén siendo monitoreados
de forma proactiva para detectar posibles puntos débiles puede ayudar a las
empresas a avanzar”.
¿Te
ha sido útil el post? Hazme el favor de compartirlo en las redes sociales.
Fuente:
CBR