Los piratas informáticos rusos han desatado una ola de ciberataques contra los estadounidenses que trabajan desde casa, dirigidos a empleados remotos con ataques de ransomware.
Los ciberdelincuentes utilizan técnicas de evasión para evadir la detección y son especialmente frecuentes en el contexto de los scripts, que por sí mismos tienen usos legítimos (por ejemplo, para automatizar procesos en un sistema informático). Desafortunadamente, las secuencias de comandos también se pueden utilizar con fines maliciosos, y es poco probable que la solución antimalware promedio las detecte o bloquee. Es por eso que los ciberdelincuentes están recurriendo a ataques basados en scripts y otro malware evasivo, como Emotet, con más frecuencia que nunca.
Si bien Emotet es un ejemplo de amenaza que utiliza scripts como parte de su estrategia evasiva, existen muchos otros tipos de técnicas de evasión basadas en scripts que las organizaciones deben conocer para mantener sus sistemas seguros.
LoLBins
Living off the Land Los binarios (“LoLBins”) son aplicaciones predeterminadas que ya están presentes en un sistema Windows, que los ciberdelincuentes pueden utilizar indebidamente para llevar a cabo pasos comunes de un ataque sin tener que descargar herramientas adicionales en el sistema de destino. Por ejemplo, los delincuentes pueden usar LoLBins para crear persistencia posterior al reinicio, acceder a dispositivos en red, omitir los controles de acceso de los usuarios e incluso extraer contraseñas y otra información confidencial.
Hay docenas de LoLBins nativos del sistema operativo Windows que los delincuentes pueden usar, por ejemplo, powershell.exe, certutil.exe, regsvr32.exe y muchos más. Esta es una de las formas en que los ciberdelincuentes disfrazan sus actividades, porque es poco probable que las aplicaciones predeterminadas del sistema operativo sean marcadas o bloqueadas por una solución antimalware. A menos que tenga una gran visibilidad de los comandos exactos que ejecutan estos procesos, puede ser muy difícil detectar el comportamiento malicioso que se origina en LoLBins.
Ofuscación del contenido del script
La “ofuscación” de contenido oculta el verdadero comportamiento de un script. Si bien la ofuscación también tiene fines legítimos, en el contexto de un ataque evasivo, la ofuscación dificulta el análisis de la verdadera naturaleza de un guión. Las capturas de pantalla muestran un ejemplo de código ofuscado (arriba), con su versión sin ofuscar.
Ejecución evasiva y sin archivos
Con los scripts, es posible ejecutar acciones en un sistema sin necesidad de un archivo. Se puede escribir un script para asignar memoria en el sistema, luego escribir el código de shell en esa memoria y pasar el control a esa memoria. Esto significa que las funciones maliciosas se llevan a cabo en memoria, sin archivo, lo que dificulta enormemente la detección del origen de la infección y su detención.
Sin embargo, con la ejecución sin archivos, la memoria se borra cuando se reinicia la computadora. Eso significa que la ejecución de una infección sin archivos podría detenerse con solo reiniciar el sistema.
Como era de esperar, los ciberdelincuentes siempre están trabajando en nuevos métodos para garantizar la persistencia incluso cuando utilizan amenazas sin archivos. Algunos ejemplos incluyen el almacenamiento de scripts en tareas programadas, archivos LNK y el registro de Windows.
Cómo mantenerse protegido
La buena noticia es que el sistema operativo Windows 10 ahora incluye la Interfaz de análisis antimalware ( AMSI ) de Microsoft para ayudar a combatir el uso creciente de scripts maliciosos y ofuscados. Esto significa que una de las primeras cosas que puede hacer para ayudar a mantener la seguridad de su organización es asegurarse de que todos los dispositivos Windows tengan la versión más actualizada del sistema operativo.
Además, hay varios otros pasos que pueden ayudar a garantizar una estrategia de ciberseguridad eficaz y resistente:
- Mantenga todas las aplicaciones actualizadas : el software desactualizado puede contener vulnerabilidades que los delincuentes buscan aprovechar. Compruebe todas las aplicaciones de Windows y de terceros con regularidad para obtener actualizaciones para reducir su riesgo
- Deshabilite las macros y los intérpretes de secuencias de comandos : si bien las macros tienen aplicaciones legítimas, es poco probable que la mayoría de los usuarios domésticos o comerciales las necesiten. Si un archivo que usted u otro empleado descargó le indica que habilite macros para verlo, no lo haga. Esta es otra táctica evasiva común que utilizan los ciberdelincuentes para introducir malware en su sistema. Los administradores de TI deben asegurarse de que las macros y los intérpretes de scripts estén completamente deshabilitados para ayudar a prevenir ataques basados en scripts.
- Elimine aplicaciones de terceros no utilizadas : las aplicaciones como Python y Java a menudo son innecesarias. Si están presentes y no se utilizan, simplemente elimínelos para ayudar a cerrar una serie de posibles brechas de seguridad
- Educar a los usuarios finales : los ciberdelincuentes diseñan ataques específicamente para aprovechar la confianza, la ingenuidad, el miedo y la falta general de conocimientos técnicos o de seguridad de los usuarios finales. Educar a los usuarios finales sobre los riesgos de los ciberataques, cómo evitarlos y cuándo y cómo informarlos al personal de TI puede mejorar drásticamente la postura de seguridad general de la empresa y su ciberresiliencia.
- Utilice seguridad de punto final que proporciona múltiples capas de protección contra amenazas, incluidas las basadas en archivos, sin archivos, ofuscadas y cifradas.
Si bien la innovación y la creatividad implacables de los piratas informáticos han hecho que las tácticas evasivas sean algo común, comprender el marco en el que operan sus tácticas permite a los profesionales de la ciberseguridad y de TI diseñar defensas más efectivas incluso contra el atacante más persistente. Combinado con una cultura de resiliencia cibernética que se centra en la protección total de la red, los terminales y los usuarios, así como la recuperación de datos para los clientes, las empresas pueden recuperarse de cualquier amenaza.
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
