Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Fileless malware: ataques malware sin archivos




¿Qué es y cómo funciona el malware que no utiliza archivos? Si bien los ataques y familias de malware actuales tienen algún tipo de archivo en una etapa de su operación, el malware moderno que es capaz de evadir la detección incluye al menos algunas capacidades de fileless. Permiten llevar adelante su actividad maliciosa utilizando elementos preinstalados y sin droppear ejecutables adicionales en el sistema de la víctima. Dicho de otra forma, utilizan funcionalidades del sistema operativo en contra del propio usuario. Esto dificulta su detección, ya que el código malicioso se ejecuta a través de procesos legítimos.





El fileless malware, también llamado "malware sin archivos", se produce cuando el malware no entra en nuestro sistema a través de un documento o archivo específico, sino que en realidad se instala dentro de la memoria RAM del propio equipo y se desarrolla con distintos procesos. El malware sin archivos es un tipo de Amenaza Volátil Avanzada o AVT, un código malicioso diseñado para no escribirse en el disco duro y trabajar sólo desde la memoria RAM. Por ejemplo, el gusano CodeRed (y varios otros gusanos de principios de la década de 2000) fueron ejemplos típicos de malware sin archivos. Se propagaban como paquetes de red, residían solo en la memoria y se eliminaban al reiniciarse, aunque la máquina se volvía a infectar inmediatamente desde la red. No había archivos.


  • La idea principal detrás de un ataque sin archivos es que la ejecución del código ocurre en la memoria en lugar de generar un proceso que ejecuta código compilado desde un archivo fuente.




Es común asociar al malware con algún archivo que descargamos y ejecutamos de forma desapercibida. Si bien este concepto no está del todo equivocado, la realidad es que también nos podemos encontrar con malware que no requiere de ningún archivo en el sistema para realizar su actividad maliciosa. Este tipo de amenaza se conoce como fileless malware, un concepto que no es nuevo y que ha estado en uso desde principios de la década del 2000.


Es lo que le pasó al Comité Nacional Demócrata de Estados Unidos a mediados de 2016, cuando un activista conocido como Guccifer 2.0 insertó un malware sin archivo en su sistema y consiguió acceder a 19.252 correos electrónicos y 8.034 archivos adjuntos. Fruto de esta intrusión, Wikileaks publicó una serie de filtraciones que acabarían perjudicando a Hillary Clinton, por entonces rival de Donald Trump.

Se ha observado que el grupo APT Lazarus, por ejemplo, distribuye documentos de MS Word que ejecutarán un ataque en memoria usando LOLBins, independientemente de si el archivo adjunto se abre en Windows o Mac.

Ejemplos de tipos de ataques sin archivo



  1.  Documentos maliciosos
  2.  Scripts maliciosos
  3. Viviendo fuera de la tierra (Living off the Land Binaries - LoL) LOLBins
  4. Código malicioso en la memoria

Ahora bien, los atacantes tienen un inconveniente. La memoria RAM es volátil y se elimina, por ejemplo, al reiniciar el equipo. Esto obliga, en la mayoría de los casos, a que los cibercriminales establezcan algún mecanismo de persistencia para su malware.


Powershell: es un poderoso lenguaje de scripting, además de un shell de línea de comando. Permite ejecutar comandos y realizar un sin fin de actividades, como descargar archivos de Internet, enviar correos, modificar prácticamente cualquier configuración del equipo, ya sea local o remoto, manipular aplicaciones de Windows o utilizar cualquiera de las herramientas que se detallan más abajo en esta lista. Además, nos permite desarrollar nuestros propios módulos o instalar módulos de terceros. Es por esta enorme versatilidad que se trata de una herramienta muy atractiva tanto para administradores de red como para actores maliciosos. 

Windows Management Instrumentation (WMI) o Common Information Model (CIM): para explicar muy brevemente, CIM es un esquema desarrollado por DMTF que los desarrolladores de software pueden seguir para favorecer la interoperabilidad entre cualquier sistema, red, aplicación o servicio. WMI es la versión de Microsoft del esquema CIM y su mayor diferencia es que es propietaria y solo puede ser utilizado en sistemas operativos Windows. Lo que cabe destacar es que Windows soporta ambos esquemas y que su uso puede ser intercambiable. La principal función de ambos es la de crear, controlar, modificar o eliminar objetos que representan tanto software como hardware y sus estados y configuraciones.


Scripts Maliciosos

Microsoft Windows incluye intérpretes de script para PowerShell, VBScript, archivos por lotes (BAT) y JavaScript. Las herramientas que los atacantes invocan para ejecutar estos scripts incluyen powershell.exe, cscript.exe, cmd.exe y mshta.exe

  • Mshta.exe: Microsoft HTML Application Host es una utilidad que se encarga de ejecutar archivos HTA (aplicación HTML) en Windows.
  • Wscript.exe:  wscript.exe o  script.exe. Windows Script Host proporciona un entorno en el que los usuarios pueden ejecutar scripts en una variedad de lenguajes de scripting para realizar todo tipo de tareas.
  • Powershell: Windows PowerShell es un shell de línea de comandos de Windows y que es una variante mucho más poderosa de la línea de comandos normal cmd.exe. PowerShell se instala de manera predeterminada en Windows.
  • WMI: Windows Management Instrumentation es una tecnología de administración de Windows que puede usarse para administrar equipos locales y remotos. WMI se utiliza en las tareas de administración diarias con lenguajes de programación o scripting.  WMI  también se instala por defecto en Windows. WMI es valioso para los administradores que necesitan administrar fácilmente todas las máquinas en la red, una tarea que ocurre regularmente en una empresa. Esta gestión es crítica para el éxito de un departamento de TI, lo que hace que sea imposible eliminarlo de su vida cotidiana. Utilizado por el ransomware GandCrab
  • .NET y Macros (VBA) Office 
Los atacantes también pueden utilizar frameworks que ofuscan los script sin tener que implementar esas tácticas de evasión. Estas medidas incluyen la técnica Invoke-Obfuscation de Daniel Bohannon para PowerShell [PDF] y su framework Invoke-DOSfuscation. Para ver tales tácticas en acciones, se puede ver el análisis de Minerva sobre la ofuscación de scripts del troyano bancario Emotet y el rootkit Koadic C3.

En el caso de Linux, se puede ofuscar Bash a través de diversos scripts como FireELF, BashObfus, SHC, binsh, ShellCrypt, Bashfuscator y obfsh o incluso se puede compilar el SH fuente.

Living Off The Land Binaries - LOLBins




LOLBins es el nombre abreviado de Living Off the Land Binaries, una técnica que se basa en aprovecharse de binarios propios del sistema para ocasionar un importante daño en un ataque, con una tasa de detección relativamente baja.

Cualquier ejecutable que venga instalado como parte de su sistema operativo de manera predeterminada que se pueda usar para promover un ataque puede considerarse un LOLBin. Además, los ejecutables agregados por los usuarios con fines legítimos podrían explotarse como un LOLBin, particularmente si es parte de alguna instalación de software de terceros común o ampliamente utilizada. En muchos escenarios, simplemente no es efectivo bloquear LOLBins ya que pueden ser esenciales para la productividad de algunos de los equipos de tu organización.




Una vez que el código malicioso puede interactuar con los programas locales, posiblemente al iniciar la infección con un documento, el atacante puede hacer un mal uso de las utilidades integradas en el sistema operativo para descargar artefactos maliciosos adicionales, iniciar programas y scripts, robar datos, moverse lateralmente, mantener la persistencia, y más.

Debido a que las capacidades del software anti malware, son cada vez más avanzadas y se alejan de la vieja estrategia de la detección por firmas, permitiéndoles identificar actividades maliciosas por comportamiento

En general, los atacantes pueden usar LoLBins para:


  • Descargue e instalar código malicioso
  • Ejecutar código malicioso
  • Bypass UAC
  • Bypass del control de aplicaciones como (WDAC)


Las muchas herramientas que los atacantes invocan para estos fines incluyen regsvr32.exe, rundll32.exe, certutil.exe y schtasks.exe. Aquí hay una serie de artículos referidos a LoL utilizando mshta, rundll32, y regsvr32.
  • powershell.exe
  • bitsadmin.exe
  • certutil.exe
  • psexec.exe
  • wmic.exe
  • mshta.exe
  • mofcomp.exe
  • cmstp.exe
  • windbg.exe
  • cdb.exe
  • msbuild.exe
  • csc.exe
  • regsvr32.exe
  • node.exe
  • netsh.exe
  • rundll32.exe
  • desktopimgdownldr.exe
  • certutil.exe 
  • wsl.exe 
  • curl.exe
  • conhost.exe


Inyección en la memoria


La inyección en memoria utiliza características de Microsoft Windows para interactuar con el sistema operativo sin explotar vulnerabilidades. Por ejemplo, las llamadas a la API a menudo abusadas por malware para inyección incluyen VirtualAllocEx y WriteProcessMemory, que permiten que un proceso escriba código en otro proceso

¿Cómo evitar la infección de fileless malware? 


  • No abrir adjuntos que nos hayan llegado por correo si la fuente no es de confianza. 
  • Ataques RDP - Windows Remote Desk Protocol (RDP)
  • Generar logs exhaustivos de la utilización de Powershell. Esta funcionalidad está activada por defecto en la versión 5 y posteriores.
  • Controlar el repositorio WMI para encontrar suscripciones sospechosas utilizando Powershell.
  • Deshabilitar la ejecución de macros de manera automática en Office, ya que es un mecanismo común de propagación. Las macros se pueden deshabilitar globalmente vía Group Policy.
  •  Utilizar soluciones de seguridad que analicen el tráfico de red 
  •  Utilizar soluciones de seguridad que analicen el comportamiento sospechoso en la memoria. Estas soluciones son capaces de identificar malware que reside en memoria. Mantener el sistema operativo y las aplicaciones con sus actualizaciones de seguridad al día. Utilizar defensa en capas (Anti-Spam y NIDS son algunas recomendaciones).

Fuentes:

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.