Video: Qué son las APTs | Amenazas Persistentes Avanzadas (Noviembre 2024)
La frase "Amenaza persistente avanzada" me trae a la mente una imagen particular, un grupo de hackers devotos, que cava incansablemente para nuevos ataques de día cero, que monitorea de cerca la red de víctimas y roba silenciosamente datos o realiza sabotajes secretos. Después de todo, el infame gusano Stuxnet necesitaba múltiples vulnerabilidades de día cero para lograr su objetivo, y el spin-off Stuxnet Duqu utilizó al menos una. Sin embargo, un nuevo informe de Imperva revela que es posible llevar a cabo este tipo de ataque utilizando medios mucho menos sofisticados.
Un pie en la puerta
El informe entra en detalles serios sobre un ataque particular que va después de la información confidencial almacenada en los servidores de una empresa. La conclusión clave es esta. Los atacantes no montan un ataque en el servidor. Por el contrario, buscan los dispositivos menos seguros en la red, los comprometen y poco a poco utilizan este acceso limitado al nivel de privilegio que necesitan.
El ataque inicial generalmente comienza con un estudio de la organización de la víctima, buscando la información necesaria para elaborar un correo electrónico de "spear phishing". Una vez que un empleado desafortunado u otro hace clic en el enlace, los malos han ganado un punto de apoyo inicial.
Usando este acceso limitado a la red, los atacantes vigilan el tráfico, buscando específicamente conexiones desde ubicaciones privilegiadas al punto final comprometido. Una debilidad en un protocolo de autenticación muy utilizado llamado NTLM puede permitirles capturar contraseñas o hashes de contraseñas, y así obtener acceso a la siguiente ubicación de red.
¡Alguien ha envenenado el pozo de agua!
Otra técnica para infiltrarse aún más en la red implica compartir redes corporativas. Es muy común que las organizaciones pasen información de un lado a otro a través de estos recursos compartidos de red. No se espera que algunos recursos compartan información confidencial, por lo que están menos protegidos. Y, al igual que todos los animales visitan el pozo de agua de la jungla, todos visitan estas redes compartidas.
Los atacantes "envenenan el pozo" insertando enlaces de acceso directo especialmente diseñados que fuerzan la comunicación con las máquinas que ya han comprometido. Esta técnica es tan avanzada como escribir un archivo por lotes. Hay una función de Windows que le permite asignar un icono personalizado para cualquier carpeta. Los malos simplemente usan un icono que se encuentra en la máquina comprometida. Cuando se abre la carpeta, Windows Explorer tiene que ir a buscar ese icono. Esa es una conexión suficiente para permitir que la máquina comprometida ataque a través del proceso de autenticación.
Tarde o temprano, los atacantes obtienen el control de un sistema que tiene acceso a la base de datos objetivo. En ese punto, todo lo que necesitan hacer es extraer los datos y cubrir sus huellas. Es posible que la organización víctima nunca sepa qué los golpeó.
¿Qué se puede hacer?
El informe completo en realidad entra en muchos más detalles que mi simple descripción. Los expertos en seguridad querrán leerlo, seguro. Los no expertos que están dispuestos a pasar por alto lo difícil aún pueden aprender de él.
Una excelente manera de cerrar este ataque en particular sería dejar de usar por completo el protocolo de autenticación NTLM y cambiar al protocolo Kerberos mucho más seguro. Sin embargo, los problemas de compatibilidad con versiones anteriores hacen que este movimiento sea extremadamente improbable.
La principal recomendación del informe es que las organizaciones supervisen de cerca el tráfico de la red en busca de desviaciones de lo normal. También sugiere situaciones limitantes donde los procesos de alto privilegio se conectan con puntos finales. Si suficientes redes grandes toman medidas para bloquear este tipo de ataque relativamente simple, los atacantes pueden tener que abrocharse el cinturón y llegar a algo realmente avanzado.
