Visto: 702

¿Qué técnicas se usan en un ataque sin archivos y cómo evitarlos?

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Los antivirus tradicionales parecen quedarse atrás en la lucha contra este tipo de prácticas.

Los ataques cibernéticos con exploits sin archivos son una práctica que parece fortalecerse, pues se han convertido en uno de los recursos más utilizados por los ciberdelincuentes, tal como lo indican los resultados de las investigaciones que llevó a cabo el Equipo de Respuesta a Incidentes de Crowdstrike en el 2016, donde se dio a conocer que utilizaron dichas técnicas ocho de cada diez vectores de ataque que culminaron con éxito en una vulneración.

Un ataque sin archivos, o sin códigos maliciosos, ocurre cuando el atacante elude la detección sin copiar archivos ejecutables portátiles en la unidad del disco. Como ejemplo, analizaremos un caso donde el primer objetivo fue un servidor web con Microsoft ISS y una base de datos de SQL Server.

En un inicio, el atacante empleó una web shell conformada por un script corto que puede cargarse y ejecutarse en un servidor web escrito en cualquier lenguaje compatible con éste, como Perl, Python, ASP o PHP. Y, dado que el servidor web no verificó adecuadamente los caracteres de escape, el atacante replicó la web shell conocida como “China Chopper” en el servidor.

Posteriormente, el ciberdelincuente procedió al robo de credenciales mediante la ejecución de un comando de PowerShell codificado, para después descargar un script de un servidor remoto y cargarlo directamente en la memoria para ejecutarlo. De este modo, obtuvo contraseñas de texto sin formato guardadas en caché en la memoria del servidor web.

Por último, para mantener persistencia en el servidor, el atacante utilizó una técnica conocida como Sticky Keys, donde usó la clave de registro para establecer el proceso de teclado en pantalla de Windows en modo de depuración. Este proceso permite que cualquier persona con acceso remoto pueda abrir una línea de comandos con privilegios del sistema sin iniciar sesión.

Visto de esta manera, es fácil entender porque los antivirus tradicionales no están capacitados para este tipo de ataques. Las versiones antiguas y los métodos basados en Machine Learning, por ejemplo, fueron diseñados para buscar firmas de código malicioso conocido o para clasificar entre archivos buenos y malos, lo que es inútil ante este tipo de amenazas. Lo mismo ocurre con las herramientas de indicadores de compromiso (IOC), las listas blancas y el sandboxing, ya que los delincuentes basan su actividad en procesos legítimos, por lo que en teoría no dejan “nada por analizar”.

Sin embargo, en el mercado existen opciones que actúan de forma eficaz ante estas amenazas, como CrowdStrike Falcon, el cual proporciona protección de endpoints de próxima generación, con métodos de prevención y detección que incluyen un inventario de aplicaciones, protegiéndolas con parches y actualizaciones para bloquear los kits de exploits. Además, sus indicadores de ataque (IOA) identifican y bloquean el ransomware desconocido en las primeras fases de un ataque. De esta forma, se lleva a cabo una cacería gestionada, la cual busca de forma permanente y proactiva actividades maliciosas generadas como consecuencia del uso de técnicas sin archivos.

Como conclusión, podemos decir que el incremento de ataques cibernéticos con exploits sin archivos es proporcional al uso de antivirus tradicionales. Ya que estos carecen de las medidas de seguridad para enfrentarlos, por lo que la elección de un sistema de protección integral podría ser la diferencia entre ponerle un alto a esta práctica, o formar parte de las terribles estadísticas.