Opinan
Una mirada más cercana al malware sin archivos, más allá de la red
El malware sin archivos es un nombre poco apropiado, ya que puede, y a menudo lo hace, comenzar con un archivo

Autor:
Marc Laliberte, analista sénior de seguridad, WatchGuard Technologies

América Latina 29 de enero. 2021.- La ciberseguridad es una carrera armamentista, con herramientas defensivas y capacitación que empuja a los actores de amenazas a adoptar técnicas de intrusión aún más sofisticadas y evasivas mientras intentan afianzarse en las redes de víctimas.

La mayoría de los servicios de protección de endpoints (EPP) modernos son capaces de identificar fácilmente las cargas útiles de malware tradicional a medida que se descargan y guardan en el endpoint, lo que significa que los atacantes ahora han recurrido a técnicas de malware sin archivos que nunca tocan el almacenamiento de la víctima.

Hemos cubierto la anatomía de un ataque de endpoint en detalle antes, así que profundicemos en el malware sin archivos específicamente y examinemos una infección de endpoint del mundo real para ilustrar las mejores prácticas clave de defensa que necesita implementar hoy.

Entendiendo el MO del malware sin archivos

El malware sin archivos es un nombre poco apropiado, ya que puede, y a menudo lo hace, comenzar con un archivo. Mientras que el malware tradicional contiene la mayor parte de su código malicioso dentro de un archivo ejecutable guardado en la unidad de almacenamiento de la víctima, las acciones maliciosas del malware sin archivos residen únicamente en la memoria.

Cuando se trata de malware tradicional, eliminar el ejecutable significa eliminar la infección. Esto facilita que las soluciones EPP se identifiquen y limpien rápidamente. El malware sin archivos, por otro lado, solo usa el archivo inicial "dropper" (generalmente un documento de Office o algo similar) para abrir una herramienta de administración del sistema incorporada como PowerShell y ejecutar un script corto. Luego se esconde de las herramientas defensivas inyectando su código malicioso en otros procesos, sin tocar nunca la unidad de almacenamiento de la víctima.

Parte de la razón por la que el malware sin archivos se ha convertido en una técnica de ataque tan popular es que es extremadamente difícil identificar y bloquear con precisión las etapas iniciales de estos ataques sin desencadenar accidentalmente falsos positivos y evitar que las mismas herramientas lleven a cabo actividades legítimas.

Examinando el malware sin archivos en acción más allá de la red

Aunque la mayoría del malware sin archivos comienza con algún tipo de archivo dropper, existen variantes más evasivas que realmente no requieren un archivo. Estas instancias generalmente se originan en una de dos formas, ya sea A) explotando una vulnerabilidad de ejecución de código en una aplicación o B) (y más comúnmente) usando credenciales robadas para abusar de las capacidades de una aplicación conectada a la red para ejecutar comandos del sistema.

WatchGuard Threat Lab identificó recientemente una infección en curso que utilizó esta última técnica. Investigamos una alerta generada a través de la consola de búsqueda de amenazas Panda AD360 y reunimos indicadores y telemetría desde un punto final del servidor en el entorno de la posible víctima para identificar y remediar la amenaza antes de que lograra su objetivo.

Esta infección en particular tenía un punto de entrada poco común: el Microsoft SQL Server de la víctima. Si bien la función principal de SQL Server es almacenar registros de datos, también incluye procedimientos capaces de ejecutar comandos del sistema en el servidor subyacente.

Y aunque las mejores prácticas de Microsoft recomiendan el uso de cuentas de servicio con privilegios limitados , muchos administradores aún implementan SQL Server con cuentas de nivel de sistema elevadas, dando a la aplicación de base de datos y cualquier comando que ejecute libre dominio sobre el servidor.

Antes de iniciar el ataque, el actor de la amenaza obtuvo credenciales para acceder a SQL Server. Si bien no estamos seguros de cómo los adquirieron, es probable que haya sido a través de un correo electrónico de phishing o simplemente mediante la fuerza bruta para atacar credenciales débiles. Una vez que tuvieron acceso para ejecutar comandos SQL, los atacantes tenían algunas opciones potenciales para ejecutar comandos en el sistema subyacente.

El método más común (de lejos) es habilitar y luego usar el procedimiento xp_cmdshell . Los atacantes utilizaron este enfoque o (menos probablemente) cargaron su propio código de shell en el motor de SQL Server para copiar la aplicación de Windows PowerShell (PowerShell.exe) en el directorio Temp del servidor con el nuevo nombre sysdo.exe. Cambiar el nombre de la aplicación PowerShell antes de usarla fue un intento de evadir las reglas de detección que no pasan del nombre de la aplicación al intentar detectar la ejecución del comando PowerShell.

Después de crear la versión disfrazada de PowerShell, ejecutaron el siguiente comando codificado y ofuscado (redactado por motivos de seguridad) como la primera etapa de la intrusión:



El comando se volvió un poco más fácil de entender después de que lo decodificamos y desofuscamos:



El script de PowerShell resultó ser muy básico. Primero realiza una solicitud web a un dominio malicioso y descarga la carga útil de la segunda etapa, un archivo de texto llamado nc.txt. El contenido de ese archivo de texto era otra carga útil de PowerShell, esta vez codificado en Base64. El script decodifica la nueva carga útil y luego la ejecuta usando el módulo Invoke-Expression. El actor de amenazas incluyó una ofuscación menor adicional al no llamar a Invoke-Expression directamente y, en su lugar, acceder a él a través de su alias usando GAL I * X (Get-Aliases IEX).

La carga útil de la segunda etapa era una versión ligeramente modificada del popular módulo Invoke-ReflectivePEInjection de PowerSploit . Después de la ejecución, la segunda etapa llama al mismo dominio malicioso y descarga la tercera etapa, un binario DLL llamado duser.dll.

Con el módulo de inyección reflectante de PowerSploit, el script de PowerShell puede cargar la DLL en la memoria y ejecutarla. Este binario de tercera etapa terminó siendo un criptominer genérico , que habría utilizado los amplios recursos de procesamiento de SQL Server para extraer criptomonedas si no hubiéramos podido detectar y bloquear el ataque.

Defenderse del malware sin archivos

En última instancia, pudimos identificar la intrusión a través de una variedad de métodos, incluida la evaluación de su comportamiento de proceso y el reconocimiento del criptominer. Dado que el actor de la amenaza nunca tocó la unidad de almacenamiento del servidor de la posible víctima durante el transcurso de todo este ataque, las defensas de los endpoints que solo monitorean los archivos se habrían perdido por completo.

El uso de malware sin archivos solo seguirá aumentando en prevalencia en el futuro, ya que herramientas como PowerSploit facilitan incluso a los ciberdelincuentes novatos lanzar ataques evasivos. Para combatir la amenaza, concéntrese en implementar soluciones de seguridad EPP y Endpoint Detection and Response (EDR) capaces de identificar indicadores que existen únicamente en la memoria.

También es fundamental que promueva prácticas sólidas de contraseñas en toda su empresa, respaldadas por autenticación de múltiples factores siempre que sea posible para evitar que el robo de credenciales inicie un ataque. Combinadas, estas estrategias pueden ayudar a reducir significativamente su riesgo de sufrir una violación debido a malware sin archivos fuera de la red.



Danos tu opinión




Las herramientas tecnológicas que hacen vida en los ámbitos de la sociedad urbana y rural, como Big Data, Blockchain, IoT, Cloud, Movilidad, Seguridad IT, Data Centers, Tecnologías de Comunicación 4G / 5G, RSE, Smartphones, Impresión de oficina y 3D, etc, son temas que abordamos a diario, difundiéndolos a nuestros lectores y seguidores de nuestras redes sociales. En ese sentido estamos a su disposición para reseñar todo lo relacionado a estas tecnologías. Contáctenos.
Categorias
IT
Telecom
Seguridad
Turismo
RSE
Eco Videos
Boletines
Extras
Eventos
Ecos Municipales
Cursos
Reportajes especializados
Coberturas
Deportes
Educación
Come Sano y Sabroso
Contáctenos
prensa@ecosdigitales.com


  2017 EcosDigitales.