La continua amenaza de ataque a los estados-nación: Australia bajo la mira

Siguiente

Cuando el primer ministro australiano, Scott Morrison, alertó sobre los ataques dirigidos a estados-nación que apuntan la infraestructura crítica en su territorio, el Centro de Seguridad Cibernética de Australia lanzó un aviso que detalla las tácticas, técnicas y procedimientos observados en los ataques.

Un aviso del Centro de Seguridad Cibernética de Australia (ACSC, por sus siglas en inglés) advierte que varias organizaciones en el país atraviesan actualmente una serie de ataques muy sofisticados. Los ciberdelincuentes han vulnerado varias redes con éxito y están utilizando técnicas "living off the land" (o “viviendo de la tierra”) para espiar y filtrar datos, mientras intentan permanecer fuera del radar.

"Living off the land" es una estrategia típica de los grupos APT (amenazas persistentes avanzadas); consiste en utilizar funcionalidades estándar del sistema y herramientas legítimas de terceros para llevar a cabo un ciberataque. Esto ayuda a evadir la detección. Los cibercriminales también comprometieron sitios web legítimos de Australia para usarlos como servidores de comando y control (C&C), ocultando mejor su comunicación maliciosa.

Se ha recomendado a las organizaciones que revisen los indicadores de compromiso (IOCs) publicados por la ACSC.

Sin embargo, para obtener una visibilidad completa e inmediata de los endpoints posiblemente comprometidos, no existe mejor herramienta que una solución de Detección y Respuesta de Endpoints (EDR). Como  establece el Reporte de febrero 2020 de Forrester Now Tech: Enterprise Detection and Response, Q1 2020: "Un beneficio clave de los productos EDR es su capacidad de buscar indicadores de que un adversario ha eludido sus controles de seguridad y se encuentra rondando en los perímetros de su infraestructura".

ESET Enterprise Inspector (EEI) es la solución EDR de ESET y está específicamente diseñado para detectar las tácticas, técnicas y procedimientos utilizados en los ataques dirigidos por grupos APT. La implementación de EEI en su entorno ofrece dos beneficios clave:

1. Visibilidad inmediata de los eventos que ocurren en los endpoints

Nada hace más sencillo el trabajo de quien responde ante incidentes como una herramienta que puede integrarse fácilmente con otras, proporcionar un amplio contexto a los eventos y especificar los comportamientos que delatan la presencia de un actor malicioso. EEI brinda un contexto sobre la reputación y popularidad de ejecutables, así como información sobre árboles de procesos, scripts, argumentos de línea de comandos, rutas, firmantes y hashes.

Además, EEI proporciona total transparencia en su lógica de reglas, lo que permite a los responsables comprender por qué se detectaron comportamientos específicos. La visibilidad se ve reforzada por las amplias capacidades de búsqueda y filtrado que ayudan a identificar y exponer rápidamente el comportamiento de actores maliciosos.

2. Las actividades sospechosas activan las alarmas de forma automática

Respaldado por más de 30 años de investigación en comportamiento malicioso, el propio equipo de investigación de malware de ESET ha escrito más de 300 reglas personalizadas que detectan automáticamente comportamientos específicos comúnmente exhibidos por los APT . El motor de EEI evalúa los eventos de los endpoints contra las reglas. Los procesos ofensivos, junto con sus árboles de procesos, se guardan para una investigación más profunda por parte de quienes responden a incidentes. EEI es lo suficientemente potente, por ejemplo, para hacer sonar la alarma automáticamente en numerosas técnicas identificadas por el ACSC en su aviso:

Técnica APT identificada por la ACSCRegla de detección de EEI
1Se procesa un ejecutable legítimo y benigno susceptible al secuestro de órdenes de búsqueda de DLL; el proceso del ejecutable legítimo carga la DLL maliciosa del actor en lugar de la DLL legítima previstaProceso confiable cargó DLL sospechoso [B0406a] O Proceso de buena reputación cargó DLL sospechoso [B0406b]
(la regla activada depende de los detalles del ejecutable)
2El actor utilizó una versión pre-compilada del ejecutable JuicyPotato disponible en el proyecto JuicyPotato GitHubLa detección de endpoint + el
proceso impopular ha comenzado desde %Temp% [Z0402] U Otras reglas basadas en el contexto de ejecución
3El actor malicioso utilizó las herramientas nativas de Windows at.exe y schtasks.exe para ejecutar software en hosts remotosProceso impopular ejecutado desde una Tarea Programada [F0411] +
Conexión de red desde un programa de utilidad del sistema [A0510] +
Tarea de programación al inicio / inicio de sesión del sistema [B0101]
(la activación de la regla dependerá de los detalles del comportamiento del actor)
4 Un proceso IIS (w3wp.exe) genera procesos de PowerShell ya sea de forma directa o mediante cmd.exeActividad genérica de backdoor de IIS – proceso secundario [F0403]
5 Una carga útil shell inversa de PowerShell generada desde cmd.exePowerShell ejecutado con cmdline extenso [D0415] +
Powershell.exe crea una conexión de red interna [A0502a] +
Otras reglas basadas en la carga útil

 

Cada minuto en una investigación de incidentes es valioso. Quienes responden a incidentes necesitan herramientas poderosas como EEI para complementar su conjunto de herramientas e impulsarlos a reconstruir fácil y rápidamente los eventos adversos que ocurren en los endpoints. Cuanto más rápido se descubran los actores maliciosos, más pronto podrán tomarse medidas de remediación para volver a las operaciones de negocio normales.

Obtenga una prueba gratuita de ESET Enterprise Inspector aquí.