Cargas útiles y balizas de malware: técnicas para la corrección del impacto

El primer articulo en esta serie se desempaquetó cómo se inician las comunicaciones maliciosas, con la ayuda de la infraestructura del agresor y las balizas y cargas útiles. En el segundo artículo, investigamos las categorías y tipos de cargas útiles junto con las técnicas de manipulación en memoria. En la parte final de esta serie, nos centraremos en algunas de las técnicas de ofuscación utilizadas para disfrazar cargas útiles y examinar las técnicas de mitigación que pueden emplear los defensores.

Una métrica importante en ciberseguridad es el tiempo medio de detección (MTTD) conocido también como “tiempo para detectar”. Esta es la cantidad de tiempo que transcurre desde la entrada inicial de un ataque hasta que la organización objetivo detecta el ataque. Una entrada exitosa o un exploit solo es el comienzo. Los actores de amenazas a menudo utilizan diferentes técnicas de ofuscación para no ser detectado en redes comprometidas.

Es útil considerar los siguientes enfoques amplios de mitigación que englobaran técnicas reactivas y de medidas de control:

1. Enfoque reactivo primero

• Detección solamente
• Detección y respuesta

2. Primeros Enfoque de Primeros

• Solamente preventivo
• Preveny and Repose

Bajo el enfoque de primero reactivo, solo detección, es en lo que se encuentran tecnologías como los Sistemas de Detección de Intrusiones (IDS) de antaño. Estos sistemas usan un conjunto de firmas bien informadas de código malo o cargas útiles para detectar amenazas. Estos son fácilmente omitidos alterando los hashes de las empresas. La detección de amenazas ha desaparecido bastante desde entonces. Las técnicas modernas de detección son comportamiento y heurística, aprendizaje automático, autoaprendizaje y capacidades de inteligencia artificial.

Basándose en el enfoque reactivo, la detección y la respuesta, incluye la capacidad de detener una amenaza después de que se haya detección. Esto se basa en la capacidad de detección para bloquear o permitir.

Aquí, el nivel de confianza del motor de detección debe ser extremadamente alto para evitar falsos positivos (bloquear archivos legales confundidos con amenazas) o falsos positivos (que permitimos amenazas confundidos con archivos o código de seguridad). Con ambos enfoques de reacción primero, alguna acción considerada sospechosa primero debe ser realizada antes de que estos sistemas desbloqueen alguna acción reactiva.

Por otro lado, el enfoque preventivo-primero, en especial preventivo-solo, no se basa en que algo suceda primero para actuar. Tiene un conjunto de reglas siempre vigentes para lo que debe ser posible o bloquearse de forma autónoma. También es el enfoque empleado por Segmentación de confianza cero (también se le depara microsegmentación).

Este enfoque también puede ser adaptable, según la tecnología para responder en los casos en que se necesita una respuesta basada en reactiva. Examinaremos ambos enfoques en este artículo.

Primero veis algunas técnicas que los actores de amenazas utilizan para ofuscar u ocultar sus actividades de la detección. A continuación, examinaremos ejemplos de enfoques tanto reactivos (“detección” y “detección y respuesta”) como preventivos (“solo preventivo” y “prevención y respuesta”) para evitar el impacto de los ataques de malware.

Técnicas de ofuscación

Las técnicas como el código personalizado, el empaquetado de código (por ejemplo, el uso del empaquetador UPX), la esteganografía, la ejecución retrasada, el backdooring, la codificación (Base64) y el cifrado pueden ser utilizados por actores de amenazas para intentar ocultar u ofuscar cargas útiles maliciosas.

Los actores de amenazas también pueden emplear técnicas de “vivir fuera de la tierra” para utilizar archivos de sistema y binarios confiables como Powershell o WMI, o pueden intentar aprovechar binarios y ejecutables de terceros ya confiables.

Puertas traseras ejecutables

Hay varias técnicas que un ataque puede usar para asegurarse de que sus cargas útiles se ejecutan.

Una forma es ocultar su código de daño dentro de un archivo de código legítimo. Mirando hacia atrás a la máquina víctima comprometida en el blog anterior, notamos un putty.exe retable in el usuario Descargas carpeta. Putty.exe es un cliente Telnet y SSH muy utilizado.

Con el objetivo de insertar la carga maliciosa como una puerta trasera en masilla, el secuestrador primero descarga el archivo putty.exe legítimo del usuario.

A continuación, el “Atacante” genera una nueva carga útil pero utiliza la “Legítima” putty.exe archivo como una plantilla de carga útil para su carga útil. Ellas nombran el archivo de resultado putty_new.exe.

Ahora pueden cargar este nuevo archivo de puerta trasera en el sistema del usuario como se muestra a continuación.

Como un movimiento lateral técnica, el ataque puede enviar este ejecutable en otros sistemas dentro de la red comprometida para lograr que aún más usuarios ejecuten sin conocer la carga útil maliciosa.

Después de que el usuario ejecute putty.exe troyanizado, puede usar el programa normalmente. Pero en segundo plano, la carga útil maliciosa se activa y hace una llamada de retorno al oyente de comando y control de ataque como se ve aquí.

En los procesos de ejecución de la máquina comprometida, podemos ver putty_new.exe el proceso ha establecido una conexión TCP (puerto 443)) volver al Atacante en app12.webcoms-meeting.com.

Codificación de carga útil

En computación, la codificación es el proceso de aplicar algún algoritmo a algunos datos para cambiar su formato. La codificación puede ser útil para cambiar el formato de un tipo de datos a otro para facilitar la transmisión, almacenamiento o uso en un sistema de destino.

Aquí hay un ejemplo de texto ASCII (texto normal en inglés) a la izquierda, codificado en Base64 a la derecha. A pesar de que los datos son los mismos, el formato es completamente diferente. Si uno recibe solo el texto codificado Base64 desconocido, necesita un decodificador Base64 para revertir el texto ASCII más familiar.

Esta capacidad también es extremadamente útil para que los actores de amenazas oculten de manera fácil su código maléfico y sus cargas útiles para intentar evadir la detección. La codificación hace que sea más difícil realizar análisis estáticos en una carga útil tanto como una técnica como el empaquetado dificulta hacer el mismo análisis, especialmente la detección de cadenas.

El siguiente ejemplo muestra cómo se puede utilizar la codificación como parte de la generación de una carga útil maliciosa por parte del agreste.

Aquí, el algoritmo del codificador es shikata_ga_nai. La carga útil si se activa este algoritmo contra él en seis iteraciones como se muestra en la imagen de abajo. Esto ayuda a ofuscar aspectos de la carga útil y hace que sea más difícil de detectar, especialmente mediante el análisis de firmas utilizando hash o incluso análisis estático del código de carga útil y las cadenas.

Los actores de amenazas también pueden usar macros de documentos de Microsoft Office, Powershell scripts y otros binarios nativos y derechos y herramientas para intentar ocultar actividades maliciosas. El empleo de herramientas nativos y binarios en un sistema comprometido o en un entorno vulnerable se conoce como “vivir de la tierra”. A continuación, examinaremos algunas capacidades de mitigación.

Enfoque reactivo primero: Técnicas de detección

Los enfoques reactivos primero dependeran de la capacidad inicial para detectar actividades sospechosas o maliciosas. Exploramos algunos de estos.

Análisis estático: Análisis de código

El análisis estático es el proceso de analizar un fragmento de código de un archivo en disco. Apliquando este tipo de análisis desde primer articulo, un análisis estático adicional muestra algunos indicadores útiles adicionales. Este archivo de carga útil hace referencia a ciertas cadenas y bibliotecas riesgosas y llama a algunas funciones del sistema que serán de interés para una investigación de actividad sospechosa.

Análisis de la Firmas: Antivirus

El análisis de firmas en el nivel básico incluye tomar un hash o firma del archivo o carga útil de interés y compararlo con una gran base de datos de firmas ya detectadas. Este es el enfoque que adopta las soluciones antivirus tradicionales. El siguiente ejemplo muestra la carga útil maliciosa por etapas de primer articulo analizados contra un grupo de motores de análisis antivirus.

Análisis dinámico: Sandboxing

El análisis dinámico requiere supervisar el comportamiento para detectar acciones maliciosas. Aquí, la carga útil o archivo de interés se ejecutan en un entorno sandbox para estudiar su comportamiento y compararlo con un conjunto de criterios buenos o malos. Cada mal comportamiento se puntúa contra un peso para tomar una decisión final de detección maliciosa o no maliciosa.

Un sandbox podría ser una aplicación como un navegador que se ejecute y monitoree en un espacio protegido, un sistema operativo que se ejecute dentro de una máquina virtual o una emulación completa tanto de software de computadora como componentes de hardware como disco, memoria y CPU, este último el más difícil de evadir para el malware.

El siguiente ejemplo muestra un subconjunto de las actividades sospechosas con las que se medirá una carga útil o útil después del sandboxing o la emulación.

Los enfoques que priman la reactividad son importantes y casi todas las organizaciones tienen alguna forma de ello en sus redes. Pero como todo lo demás en seguridad, este enfoque debe complementarse con otras capas de protección para una estrategia de seguridad efectiva, aplicando la filosofía de seguridad en profundidad. Dado que la detección a veces falla o se puede omitir, son necesarios enfoques preventivos.

Primeros Enfoque de Primeros

Como se describió anteriormente, el enfoque preventivo primero generalmente se encuadra en “solo preventivo” y “prevención y respuesta”. En los siguientes pasos, primero analizaremos las acciones iniciales de descubrimiento que un actor de amenazas podría tomar para encontrar otras máquinas disponibles por la máquina que ha comprometido. Luego examinaremos los pasos que los defensores pueden tomar para segmentar los sistemas en la red, incluso aquellos en la misma subred, para evitar el riesgo de movimiento lateral.

Segmentación preventiva de confianza cero

Tramping from to ofuscado putty.exe carga útil, un actor de amenaza puede continuar un ataque que lleve a cabo otro análisis de descubrimiento en la red utilizando la máquina de punto de pivote comprometida. Los actores de amenazas están muy interesados en las vías comunes de comunicación del movimiento lateral que viven fuera de la tierra, como Telnet, SSH, PYMES y RDP para no sobresalir en la red.

Podemos ver que algunas de estas rutas de comunicación están abiertas en la subred donde el agresor ha comprometido con éxito una máquina. Este análisis básico proporciona una buena indicación de que los sistemas Windows y Linux están en la red. Los sistemas Windows tienen puertos SMB abiertos y los sistemas Linux tienen SSH abierto.

Analizadas primero un enfoque de mitigación proactivo y preventivo, una tecnología como Núcleo de Illumio le da una visibilidad extremadamente útil. Illumino Core puede mostrar claramente las acciones del astillero, incluso en un modo de “solo monitor”; en el caso siguiente, un barre uno a varios desde la máquina pivotante hasta el resto de los sistemas en la subred de destino. El mapa de visibilidad de Illumino Core, conocido como Iluminación, muestra una visión comercial de la red de la organización. También podemos ver que estos sistemas están distribuidos en múltiples locaciones.

En el mapa de Illumino, la comunicación de la detección indica que se origina en Oficina HQ estaciones de trabajo destinadas a Centro de datos-1. La información útil y procesable es fácil porque todos los sistemas están asociados con etiquetas de Illumio (etiquetas o metadatos) para enriquecer el mapa. Esta misma información se usa posteriormente para definir políticas sin función de construcciones de red como direcciones IP, VLAN (LAN virtuales) o zonas, lo que garantiza que las políticas de seguridad se adapten automáticamente a los cambios.

Otra capacidad útil es realizar de manera proactiva una auditoría de la red utilizando el análisis de riesgos y la herramienta de investigación de Illumio. Esto puede mostrarnos las rutas de riesgo a las que es susceptible esta red, como las vías que se utilizan normalmente por el malware y el ransomware para propagarse en una red comprometida. En realidad no tenemos que esperar a un incidente cibernético antes de actuar. Un análisis de riesgo preventivo recomendado nos proporciona clara y esta fácilmente información como se demuestra a continuación.

En este punto de vista investigativo anterior, el Consumidor el lado muestra la fuente y Proveedor lateral muestra el destino de las comunicaciones. También podemos ver los puertos empleados y, en el extremo derecho, los procesos asociados a esta comunicación. Si es necesario, podemos afianzar más en los nombres de las máquinas individuales.

A modo de ejemplo, podemos decidir tomar una acción preventiva siempre puesta en marcha mediante la aplicación de controles basados en la ubicación entre nuestros Oficina HQ estaciones de trabajo y nuestros Centro de datos-1 cargas de trabajo. Esto se conoce como Límite de aplicación. Simplemente bloquea todas las comunicaciones entre las estaciones de trabajo y las cargas de trabajo o servidores tal como se ha marcado.

Otro enfoque será utilizar el enfoque de política de lista de legales de confianza cero (denegar por defecto). Cualquiera que sea el enfoque que decidamos tomar, después de aplicar esta acción preventiva, otro análisis de descubrimiento muestra que las rutas de comunicación que se han cerrado dentro de la red ahora se muestra todas como filtradas.

Volver al Illumio mapa de visibilidad, estas líneas de comunicación ahora están rojas, lo que indica que el análisis no solo fue monitoreado sino bloqueado esta vez.

Esto significa que hemos mitigado con éxito nuestro riesgo de movimiento lateral de manera proactiva en múltiples sistemas que se ejecutan en diferentes plataformas al mismo tiempo, todo desde un único punto de administración. Todavía podemos ir más allá con este sistema en particular, mejorar el enfoque de solo prevención con prevención y respuesta para separar este sistema para una mayor investigación.

Prevención y Respuesta: Segmentación Adaptativa de Confianza Cero

Acabamos de ver cómo un enfoque preventivo, como en el caso de la segmentación Zero Trust, puede garantizar una política de seguridad siempre encendida para evitar la propagación de malware y otros ataques.

No obstante, puede que haya un incidente al que debamos responder en algunos casos. Puede ser que aún no haya estado disponible nuestra política de seguridad preventiva. Aquí es donde se puede usar la misma tecnología Illumio Core para reaccionar y responder, aún utilizando un enfoque preventivo pero con una capacidad adaptativa adicional.

En los ejemplos que hemos presentado hasta ahora, notará que todas las políticas se han establecido por metadatos o etiquetas, no por construcciones de red o información IP. Estas etiquetas también se utilizan para agrupar lógicamente las cargas de trabajo, servidores y estaciones de trabajo.

Podemos ver en la siguiente captura de pantalla que tenemos una política denominada “Ransomware-Quarantine” ya definida.

Ahora se necesita cambiar una o más de las etiquetas de 4 dimensiones del sistema de interés a la etiqueta de cuarentena que se muestra en la página de inventario de carga de trabajo a continuación.

Esto se puede hacer de forma manual o automática. También se puede activar a través de un SoC (Security Operations Center) o un libro de jugadas SOAR según sea necesario. Como resultado de esta acción, aislaremos automáticamente ese sistema específico y cortamos toda la comunicación de ese sistema al resto de la red. No obstante, aún nos conseguimos que las comunicaciones de la administración monitoreen e investiguen sus acciones.

En el siguiente ejemplo, el sistema ahora se ha aislado en su propia burbuja de cuarentena lejos de la original Oficina HQ ubicación y grupos de aplicaciones asociados. Eticamente está cortado del resto de nuestros sistemas e incluso de Internet, como lo indican las líneas rojas de comunicación.

No obstante, aún podemos hacer un control claro de todas las acciones de este sistema de manera segura y continuar con las investigaciones que podamos llevar al cabo sobre este sistema.

Además, para los servidores y cargas de trabajo críticos o “joya de la corona”, podemos aplicar otras configurar de mejores prácticas de seguridad, tales como:

• Restricción comunicaciones salientes solo en una lista de destinos de éxito
• Uso interno DNS servidores que están muy monitoreados y segmentados
• Regular vulnerabilidad escanea como parte de un conjunto vulnerabilidad postura de gestión

Todas estas capacidades se pueden incorporar en la misma solución Illumio Core para mejorar su postura general de seguridad y reforzar las inversiones existentes en seguridad de detección y respuesta.

conclusión

Para todas las técnicas de amenaza que se desvela en esta serie, e incluso para lo que aún no se ha descubierto, el objetivo del asesino es moverse lateralmente por el entorno sin ser detectado. Dado que la mayoría de las organizaciones ya tendrán alguna forma de primera tecnología reactiva como antivirus, detección y respuesta de puntos finales o sandboxing, también es crucial 'cerrar las puertas' con una tecnología preventiva activa siempre que tenga capacidades de respuesta adaptativa.

Para obtener más información sobre las capacidades de contención y visibilidad de malware y ransomware de Illumio:

• Leer”Luche rápidamente contra el ransomware con límites de aplicación.”
• Echa un ojo a nuestra serie de seminarios web de tres partes,”El ransomware ocurre. Nosotros evitamos que se propague.”
• Proben Illumino usted mismo: Regístrate en laboratorios prácticos gratuitos, La experiencia de Illumio.