Ciberamenazas emergentes_SIC

M O D E L O S C O L A B O R AT I V O S
Ciberamenazas emergentes:
a qué nos enfrentamos y cómo
las combatimos
En los últimos años las bandas del cibercrimen han evolucionado en la forma de robar
información. Cada vez más, estas organizaciones se están industrializando y profesionalizando, evolucionando junto con el mundo real, y del mismo modo que las organizaciones y
sus mecanismos de protección cambian, también lo hacen las ciberamenazas que afectan
a los usuarios de Internet. A causa del dinamismo que estas amenazas están adoptando,
las herramientas de protección clásicas pierden, día a día, la capacidad de proteger al
completo a las organizaciones frente a ataques
producidos desde Internet. Por este motivo, es necesario evolucionar, una vez más, los mecanismos
de seguridad hacia modelos colaborativos que
permitan compartir información de inteligencia.
Víctor Acin Sanz / Ramón Vicens Lillo
Las bandas organizadas de cibercrimen están
formadas por criminales que siguen las leyes de la
oferta y la demanda, como cualquier industria. Así,
por la misma razón por la que se pueden encontrar mercados negros y formas ilícitas de ganar o
gestionar dinero en el mundo real, se puede encontrar lo mismo en el ciberespacio. Estos mercados
negros operan utilizando técnicas parecidas a las
que se encuentran en el mundo real, teniendo como
objetivos el rendimiento y el beneficio, alimentando
toda una cadena de cibercriminalidad y explotando
las ventajas que proporciona Internet en cuanto a
anonimato y comunicaciones.
Dentro de las muchas posibilidades que ofrecen estos mercados negros, es posible comprar
exploits, software malicioso (malware) y ran­
somware, kits de phishing que únicamente hay
que instalar en un servidor, sin necesidad de llevar
a cabo configuraciones complicadas, y software
en general que permiten o facilitan a un atacante
llevar a cabo sus acciones sin la necesidad de tener
conocimientos extensos de seguridad, facilitando
la tarea a los criminales de engañar y robar a los
usuarios de Internet, llegando a lucrarse enormemente, vendiendo los datos robados a través de
foros, tiendas en línea, y servicios de transacciones
como bitcoins u otros servicios.
Proceso de ataque: Kill Chain
Una de las amenazas más peligrosas que se
pueden encontrar hoy en día en Internet son las
botnets, las cuales se construyen a través de un
proceso comúnmente conocido como Kill Chain
(ver Figura 1).
Las primeras fases de este proceso se puede
agrupar en pre-ataque (Reconnaissance y Weaponi­
zation), durante el cual los atacantes obtienen la
información y software necesarios (exploit kits, phi­
shing kits, cuentas de correo-e...) para llevar a cabo el
ataque. Seguidamente, se produce dicho ataque (Lure,
Redirection and Exploitation e Infection) en el cual el
usuario es víctima de una campaña de distribución
90
de correos con el objetivo de infectarlo mediante un
software malicioso que será el encargado de recibir
las órdenes del centro de control (C&C – Command
and Control). Desde este mismo instante, el equipo
afectado forma parte de una red de ordenadores infectados (o bots ) por el mismo software malicioso. En la
arquitectura clásica de dichas redes, cada bot puede
recibir instrucciones operativas, disponiendo así de
una red de ordenadores con un control centralizado
y operado por las redes del cibercrimen para llevar a
cabo multitud de ataques como robo de información,
ejecución de transacciones bancarias, ataques distri-
principales afectados son las empresas del sector
financiero.
Algunas de las funcionalidades más típicas que
se pueden encontrar en cualquiera de los bots de
estas botnets son el robo de cookies, certificados,
y combinaciones de usuario y contraseña utilizando
mecanismos como: keyloggers, capturas de pantalla, capturas de peticiones HTTP/HTTPS mediante
ataques de Man-in-the-Middle, o ataques de Manin-the-Browser. Esta última técnica se caracteriza
por realizar el ataque directamente al navegador del
usuario mediante WebInjects o proxies HTTP/Socks
interceptando de este modo las comunicaciones
entre cliente y servidor.
Una característica notable de este tipo de
malware es el uso de una técnica conocida como
DGA o Domain Generation Algorithm, basada en
cambiar el dominio del servidor C&C de forma dinámica, utilizando dominios generados de forma
pseudoaleatoria, para evitar que los bloqueos de las
compañías y los ISP impidan las comunicaciones
entre los bots y el servidor de C&C. Comprender
estos algoritmos se ha convertido en una pieza clave para poder contener este tipo de botnets más
avanzadas como Zeus P2P, Dyre u otros.
Otro tipo de botnets especialmente peligrosas
por el tipo de datos que recopilan son las llamadas
PoS, las cuales tienen como objetivo infectar este
tipo de sistemas y buscar software instalado típicamente en ellos, como los drivers de comunicación
con un TPV (Terminal Punto de Venta), pudiendo
de esta forma buscar los datos de las tarjetas de
crédito de clientes y usuarios del host infectado.
Una vez recuperados dichos datos, se mandan a
un servidor en el cual se almacenan principalmente
tarjetas de crédito para venderlas posteriormente.
Las empresas de venta directa a clientes, como las
Figura 1
buidos de denegación de servicio, minería de bitcoins
o incluso la carga de otro software malicioso.
Para llevar a cabo cada uno de los ataques anteriormente enumerados, se utilizan, según objetivo,
diferentes tipos de software malicioso, comúnmente conocidos como caballos de Troya bancarios,
malware de terminal de punto de venta (PoS – Point
of Sale), malware de robo de credenciales, RATs
(Remote Access Toolkits), DDoS, etc.
Los tipos de botnets más comunes de robo
de información
Las botnets basadas en caballos de Troya
bancarios son aquellas que se especializan en robar las credenciales bancarias de los usuarios o
incluso llegar a realizar transacciones bancarias de
forma transparente para el usuario, por lo que los
grandes superficies, suelen ser las más afectadas
por este tipo de botnet, ya que, tras observar el
modus operandi de las bandas del cibercrimen, se
ha visto que en la actualidad aprovechan vulnerabilidades sencillas como contraseñas por defecto
y vulnerabilidades de actualización de software, las
cuales permiten a los atacantes, penetrar en redes
de TPVs y poder de este modo infectarlos.
Uno de los tipos de botnets más extendidos en
la actualidad son las que se caracterizan por robar
credenciales de los hosts infectados, utilizando
técnicas como keylogging, capturas de pantalla e
interceptación de comunicaciones, pero además,
también roban información de las contraseñas
guardadas en los distintos exploradores del equipo (Chrome, Firefox, IExplorer...) y de software en
particular, como clientes FTP, SSH o Telnet. Este
tipo de botnets son, con diferencia, de las más
ABRIL 2015 / Nº114 /
SiC
M O D E L O S C O L A B O R AT I V O S
donde los expertos en seguridad
de las distintas compañías y CERTs
pueden compartir inteligencia de
los diferentes tipos de ataques,
campañas activas, reputación de
IP/Dominio y recursos afectados
que afecten a sus respectivas
organizaciones. Utilizando toda
esta información, dichos expertos podrán evitar ataques que se
encuentren en las primeras fases
de la kill chain y prevenir fugas de
información de los que se encuentren en los últimos estados.
Debido a la mejora e incremento de ataques que sufren
las organizaciones hoy en día, la
seguridad tradicional ya no puede
proteger de forma efectiva a una
organización, por lo que existe
una necesidad cada vez mayor de
poder llevar a cabo correlaciones
entre los datos de la propia com-
peligrosas para la mayoría de organizaciones del
sector financiero, consumo, infraestructuras, energéticas, etc., ya que roban credenciales de manera
indiscriminada sin aplicar ninguna clase de filtrado
o selección de datos a robar. Un host infectado en
una compañía puede permitir a un atacante acceder a la red interna o a aplicaciones de la misma,
comprometiendo información confidencial, pudiendo realizar ataques de denegación de servicio
contra la organización desde su interior, o dañando
la imagen corporativa.
Del mismo modo que con los dos casos anteriores, todas las credenciales robadas se mandan
a un servidor remoto, donde se almacenan para
posteriormente venderlas en foros, chats y mercados negros.
¿Cómo combatir estos ataques?
El mejor modo de combatir este tipo de amenazas o ataques es mediante herramientas de inteligencia, Threat Intelligence Platforms (TIP) [2], las
cuales permiten a las organizaciones agrupar información de estas actividades ilícitas, para permitir
que éstas puedan prevenir ataques y, en el caso
de que este se haya llegado a producir, mitigar los
daños sufridos y prevenir que vuelva a ocurrir.
A diferencia de otras herramientas TIP, la desarollada por Blueliv genera su propia inteligencia
para prevenir y correlacionar datos relacionados
con ataques, ya que, tal y como se ha explicado anteriormente, todas las clases de botnets tienen un
factor clave en común: deben comunicarse con un
servidor C&C para recibir órdenes y almacenar los
datos robados, ya sean datos bancarios, tarjetas de
crédito o credenciales, y éste es su punto débil.
Toda esta información de servidores C&C y de
almacenamiento de datos se encuentra dentro de
los propios bots o, en su defecto, en la configuraciones que reciben. Dichas configuraciones pueden
ser extraídas utilizando una sandbox de análisis automatizado con un post-procesado inteligente de
cada una de las muestras y sus respectivas configuraciones, pudiendo de este modo proporcionar
información dirigida a cada organización para que
pueda tomar medidas respecto a estas posibles
amenazas como, por ejemplo, evitando cualquier
tipo de comunicación hacia estas IPs. El proceso
de extracción de las mismas se efectúa tal y como
se muestra en la Figura 2.
En primer lugar, una muestra de cualquiera de
nuestras múltiples fuentes de información llega al
sistema de análisis. Utilizando la sand­box para análisis de malware, se lleva a cabo un análisis estático
y dinámico de la muestra. Con la ayuda de un sistema de clasificación de malware basado en YARA [2],
la muestra se clasifica automáticamente y pasa a
manos del software de extracción de información.
Este software utiliza la información generada por el informe para extraer la información que
posteriormente se sirve a los usuarios del servicio;
como las distintas IPs de los servidores a los que
se conecta la muestra de malware, los archivos
modificados o creados por la muestra u otra información relevante que depende del tipo de muestra
analizada. Una vez se ha obtenido esta información, se proporciona un formato con el que los
usuarios puedan tratar con facilidad, para poder
92
Figura 2
Figura 3
integrarlo en el SIEM empelado (Splunk, ArcSight,
Alien Vault...).
Modelos colaborativos en la lucha contra el
cibercrimen
Desde Blueliv se ha decidido liberar la información de forma gratuita, sobre estos servidores
a los que se conectan las muestras de malware,
que puede ser recogida mediante el uso de la API
pública gratuita y representada en el mapa de la
Figura 3 [3].
Esta API proporciona información sobre los
servidores maliciosos, como por ejemplo la IP,
la localización geográfica del servidor, cuándo se
vio el servidor por primera vez, el tipo ataque, o
el nombre del host en el que se encuentra. Toda
esta información puede ser utilizada por las organizaciones para mejorar sus políticas de seguridad,
prevenir ataques o para proporcionar información
adicional a sus equipos de respuesta ante incidentes, pudiendo de esta manera obtener inteligencia
relacionada con ataques externos y correlacionarla
con la propia información y registros internos.
El objetivo principal es proporcionar un modelo
colaborativo para la lucha contra el cibercrimen,
pañía y los datos proporcionados por plataformas
de inteligencia sobre ciberamenazas. Y, cada vez
con más frecuencia, será necesaria la colaboración entre dichos expertos, ya que solo a través
de entornos colaborativos de inteligencia, se puede combatir el dinamismo los ataques cometidos
a través de Internet. 
Víctor Acin Sanz
Analista de Threat Intelligence
[email protected]
Ramón Vicens Lillo
VP de Threat Intelligence
[email protected]
BLUELIV
Referencias
[1]
Gartner Technology Overview for Threat
Intelligence Platforms, diciembre 2014.
Gartner Market Guide for Security Threat
Intelligence Services, octubre 2014.
[2]
YARA project. http://plusvic.github.io/yara/
[3]
Blueliv Cyber Threat Map.
https://map.blueliv.com
ABRIL 2015 / Nº114 /
SiC