Estrategias para Mitigar las Amenazas Avanzadas Persistentes (APTs)

Parte 4. Hombre prevenido vale por dos: la Estrategia de Detección de Amenazas Persistentes Avanzadas (APTs)

Los productos de Kaspersky Lab disponibles en estos momentos pueden mitigar considerablemente1 los posibles pérdidas de una compañía debido a APTs. Las soluciones de seguridad especializadas para advertir sobre ataques dirigidos son una destacada capa adicional de defensa de una organización. Estas advertencias no son un sustituto de las soluciones de seguridad para la infraestructura informática que neutralizan los módulos maliciosos de los APTs. El rol del sistema Anti-APTs es controlar el entorno informático y proporcionarle toda la información valiosa al responsable de seguridad. Mejora significativamente la protección general multi-capas de la compañía.

En la elaboración de cualquier ataque dirigido se puede distinguir la secuencia de las etapas típicas. Asimismo, en la abrumadora mayoría de los casos se aplican técnicas estándar. Estas indicaciones son un punto de partida para la alerta oportuna a las víctimas potenciales . En la mayoría de los casos, la singularidad de los APTs no radica en sus módulos inusuales. Es una consolidación eficiente de componentes típicos que resuelven de forma fiable sus propósitos. El conocimiento sobre los principios generales de las creaciones de los ciberpiratas ayuda a contrarrestar con éxito los ataques dirigidos.

En este documento describiremos la visión de Kaspersky Lab sobre la solución de seguridad especializada Anti-APT de alta calidad. Como ejemplo de un ataque dirigido tomaremos uno célebre hoy en día: Dark Hotel2. Este ataque, cuidadosamente diseñado como muchos antes (Careto, NetTraveler, Red October),3 fue descubierto por los expertos de Kaspersky Lab.

Etapas típicas en los APTs

Estrategias para Mitigar las Amenazas Avanzadas Persistentes (APTs)

Ilustración 1. Etapas de elaboración de APTs

Cualquier ataque dirigido comienza con un reconocimiento. Durante esta etapa preliminar, los autores del APT obtienen información, por ejemplo, sobre los empleados clave de la compañía víctima que tienen acceso a datos valiosos, sobre el tipo de mensajes de correo que puede atraer el interés de estos empleados; siempre que sea posible los ciberpiratas realizan una inspección preliminar de la infraestructura informática de la víctima, etc. En la mayoría de los casos, este trabajo preliminar no se lleva a cabo mediante medios técnicos y es casi imposible detectarlo con software no especializado. Más bien, podemos hablar aquí sobre contraespionaje y la calidad general del departamento de seguridad.

Después de estos pasos preliminares, las etapas técnicas del ataque comienzan de forma simultánea. En primer lugar, el intruso necesita obtener los permisos para ejecutar códigos dentro del perímetro de seguridad de la compañía. Los exploits se utilizan muy activamente en esta etapa. Es un nombre dado a un pequeño código que explota vulnerabilidades en sistemas operativos o en software popular instalado en los equipos atacados. En caso que los intrusos tengan éxito, podrán ejecutar su propio código, que descarga y ejecuta los módulos principales del ataque.

La etapa final es el objetivo principal de todo el ataque: capturar la base de datos de la compañía y enviarla a los ciberdelincuentes. Para ello, los primeros módulos del APT tienen que propagarse dentro del perímetro de seguridad de la compañía. La estrategia de esta propagación puede variar considerablemente. Algunos autores de ataques dirigidos apuntan a infectar tantos ordenadores dentro del perímetro como sea posible. Capturar los datos deseados y los ordenadores auxiliares son sólo un paso para una mayor propagación y un paso más hacia los datos. Otros ciberdelincuentes tratan de restringir la actividad de los APTs sólo a los dispositivos necesarios, a fin de disminuir la probabilidad de ser detectados.

Finalmente, tengamos en cuenta que los desarrolladores de módulos maliciosos buscan que su software sea resistente a los intentos de eliminación. Los módulos intentan sobrevivir y no requieren una reiteración de las primeras etapas del ataque para su recuperación. Todas las etapas mencionadas arriba y en la ilustración de abajo tienen sus indicadores y pueden detectarse mediante software de seguridad especializado.

Características de Dark Hotel

De las tácticas generalizadas comunes, Dark Hotel utiliza el spear-phishing. Este método, junto al método abrevadero (infecciones comunes de los sitios web) es el comienzo más generalizado de un ataque selectivo. La razón de esta elección es su relativa simplicidad y su potencial de afectar a cualquier compañía cuyos empleados utilicen Internet y correo electrónico. Los sistemas integrales de seguridad tienen que tomar en cuenta esa popularidad y neutralizar estas tácticas, a nivel del punto final y durante el filtrado de tráfico de red.

Los métodos eficaces estándar mencionados no impiden que los ciberdelincuentes agreguen algunas funciones interesantes en sus ataques selectivos. Dark Hotel utiliza simultáneamente una técnica de infección diferente. De ahí proviene el nombre de este APT.

Estrategias para Mitigar las Amenazas Avanzadas Persistentes (APTs)

Ilustración 2. Dark Hotel, ataca fuera del perímetro de seguridad de una compañía.

Durante la etapa preliminar de reconocimiento , los atacantes son capaces de anticipar la llegada de huéspedes que poseen la información necesaria. Técnicamente se aprovechan de las vulnerabilidades en las infraestructuras informáticas de los hoteles para lanzar sus ataques contra los ordenadores de los huéspedes. Los ciberdelincuentes eligen hoteles frecuentados por empresarios para lanzar ataques selectivos precisos. La operación comienza a partir de la página de inicio que cada huésped ve en su navegador después de acceder a Internet a través de la red Wi-Fi del hotel.

Al contrario de los ataques tipo spearphishing y abrevadero, esta técnica para hoteles obviamente requiere de tiempo y una preparación costosa en la etapa reconocimiento, pero los resultados obtenidos de los ordenadores de las víctimas pueden ser muy valiosos. Es importante señalar que en este escenario la víctima de la infección está fuera del perímetro de seguridad de su compañía. Para una defensa multi-capas completa contra APTs es crucial tener en cuenta este tipo de escenario e instalar sistemas de seguridad locales en los dispositivos de los empleados. Las instalaciones locales de seguridad alertan al responsable de seguridad (agente anti-APT) para detener la ejecución de módulos maliciosos (protección de puntos finales).

Arquitectura de la solución

Se necesita tiempo para analizar los objetos en el tráfico entrante. En el modo de bloqueo, una solución especializada anti-APT retrasará significativamente la descarga de archivos adjuntos de correo y archivos a través de HTTP. Por lo tanto, consideramos que la solución debe funcionar en el modo de advertencia. El Agente de seguridad recibe todos los datos necesarios a través de su consola de administración. El rol de la solución anti-APT es registrar todos los eventos necesarios y ayudar en el análisis de incidentes, pero no bloquear la ejecución de programas. La protección de puntos finales es responsable del bloqueo oportuno de módulos maliciosos. Para este caso, Kaspersky Lab ofrece a los clientes corporativos su producto Kaspersky Endpoint Security (KES)4.

Resulta crucial para el agente de seguridad la cantidad de datos seleccionados correctamente. Tiene que ser suficiente para un análisis de calidad, pero al mismo tiempo se debe evitar que las interminables alertas sobre amenazas potenciales y otros datos innecesarios interfieran con la información que analiza el empleado encargado de la seguridad.

Estrategias para Mitigar las Amenazas Avanzadas Persistentes (APTs)

Ilustración 3. Arquitectura de la solución integral

Todo el sistema anti-APT consiste en sensores de red que son responsables de analizar el tráfico de la organización, de crear metadatos que describan los contenidos de este tráfico y de separar determinados objetos para un examen más detenido. El detector de anomalías estadísticas está a cargo de la funcionalidad heurística. Este módulo determina si existen desviaciones del patrón normal en el tráfico de la red corporativa. Por su parte, el módulo Sandbox, o caja de arena, analiza el comportamiento de los objetos extraídos.

El empleado encargado de la seguridad analiza los resultados del funcionamiento de todos los módulos anti-APT en la consola de administración, la cual reúne todos los datos de los módulos en un solo centro. Además de dicha solución centralizada, que requiere de al menos algunos servidores dedicados para su implementación, también es posible la instalación paralela de agentes anti-APT directamente en las estaciones de trabajo de los usuarios.

Con la ayuda de los agentes locales, la solución especializada anti-APT puede obtener información sobre los procesos causantes del tráfico sospechoso. También permite entregar alertas más precisas al agente de seguridad. Por ejemplo, el encargado de seguridad tiene que saber sobre el tráfico inusual en nombre de svchost.exe y sobre otros procesos del sistema. Finalmente, el agente permite que la solución anti-APT se informe sobre la actividad del software que llega a los ordenadores no desde la red, sino desde unidades USB flash y de otras formas.

La precisión de la solución especializada anti-APT aumenta considerablemente con el uso de la base de datos de conocimiento en la nube. Este repositorio centralizado suele estar en el sitio del vendedor y proporciona la reputación de archivos, nombres de dominio y direcciones IP. La nube también permite distinguir ataques dirigidos de infecciones masivas consultando la base de datos centralizada sobre el carácter único de las actividades sospechosas detectadas.

Los ataques a través de hoteles tienen lugar fuera del perímetro de seguridad de la compañía y esto da una idea de por qué la defensa integral podría incluir un módulo anti-APT centralizado y una protección avanzada de puntos finales locales. Estos dos enfoques tienen que realizarse de forma conjunta.

Estamos seguros de que sólo la arquitectura multi-capas es capaz de proporcionar un buen nivel de protección. Sus diferentes componentes reúnen datos sobre asuntos en los puntos finales, analizan el tráfico de red utilizando, entre otros métodos, los algoritmos heurísticos, y también aprovechan las ventajas que ofrece la nube de seguridad para recibir información sobre nuevas amenazas con más y así mejorar el nivel de detección de programas maliciosos. En resumen, el trabajo en equipo de la solución de seguridad especializada anti-APT, que se concentra en las alertas sobre ataques, y soluciones de seguridad locales que se encargan de aplicar acciones coercitivas contra los códigos maliciosos.

La práctica común consiste en la instalación de una sola solución con todas sus funciones que incluyen una caja de arena y un sensor de red. Por el contrario, resulta mucho más eficaz una solución con múltiples sensores que proporcionan datos para su análisis centralizado.

La primera y principal ventaja de los sensores separados es un modelo más flexible de implementación de la solución en la infraestructura informática de la empresa. En las grandes compañías, la interceptación del tráfico tiene que organizarse en múltiples puntos. Esto se debe a muchas razones: la red se ocupa del uso de la traducción de direcciones de red (NAT), después de lo cual se pierde parte de los datos en paquetes de red; la organización de sucursales con alto nivel de autonomía; parte de la accesibilidad del tráfico sólo en ciertos segmentos de la red, etc. Entonces la instalación de una solución combinada (caja de arena y sensor de red) en un punto determinado es ineficiente desde el punto de vista financiero. Resulta más efectivo instalar muchos sensores más ligeros en un segmento determinado.

Por lo tanto, tales sensores están diseñados originalmente para recopilar todos los datos en una única consola de gestión. Por el contrario, algunos dispositivos combinados están orientados sólo a su propia interfaz web. En realidad, este esquema requiere de un dispositivo adicional para la recopilación centralizada de datos.

Otro argumento en favor de la instalación de sensores múltiples en lugar de un solo dispositivo es la cantidad de tráfico que pasa a través de cada dispositivo. En el caso de una conexión SPAN (Switch Port ANalyzer, método espejo muy común para el análisis de tráfico) no existen confirmaciones sobre la integridad de los paquetes de red. La distribución del tráfico a través de múltiples dispositivos protege contra el aumento de fallas debido a un flujo creciente. Al mismo tiempo, se mantiene la consola única de gestión de control y análisis.

Resistencia de la fase de implementación

Analicemos el funcionamiento de una solución multi-capas anti-APT en las diferentes etapas del ataque dirigido. En el caso de la propagación de mensajes de correo tipospear-phishing , los autores de Dark Hotel envían mensajes con el enlace al exploit para Internet Explorer o adjuntan en el mensaje el exploit para software de Adobe. Además hay un escenario de ataque, en el que se usan documentos de Microsoft Word con un exploit incrustado para Flash (día-cero durante la detección de un APT).

El método de la segunda inyección añade módulos de Dark Hotel a los archivos en las redes P2P torrent. Finalmente, el tercer vector, ya mencionado anteriormente, es el que infecta a los huéspedes del hotel. En este caso, la etiqueta “iframe” desvía a los usuarios hacia la página de inicio del hotel, que ha sido modificada por los ciberdelincuentes. Como resultado de esta sustitución, la víctima ve la acostumbrada oferta de descargar una actualización de software de Adobe o la barra de herramientas de Google. Si el usuario acepta, el ordenador recibirá un archivo contaminado.

El trabajo en equipo de los sensores de red y la caja de arena brindan la seguridad necesaria. Los archivos, extraídos del tráfico de la red, se entregan a la caja de arena. A su vez, la caja de arena informa si se trata de un código potencialmente dañino. En el caso de un código peligroso, la caja de arena crea registros y envía datos sobre la detección al panel del agente de seguridad. El agente recibe información detallada sobre la actividad de archivos en el equipo y sobre las acciones que la solución de seguridad considera sospechosas. En el caso de una infección potencial de los huéspedes del hotel, estas acciones serían detenidas por la solución local de protección en el punto final.

El sensor de red detecta ataques dirigidos por las direcciones IP y dominiosque se utilizaron durante la acción. Asimismo, el análisis del contenido del tráfico de red tiene en cuenta que en algunos casos los APTs utilizan sus propios protocolos específicos. La caja de arena puede utilizar el sensor de red para controlar el tráfico de los programas sospechosos que se ejecutan en una caja de arena.

Además, el sensor de red puede detectar ataques específicos en base a anomalías específicas en el tráfico. Para ello, la solución de seguridad debe contar con plantillas de comportamiento de alto nivel, que describan el comportamiento típico de los programas maliciosos. Las señales para estas plantillas podrían ser las conexiones externas con dominios desconocidos creados recientemente, la periodicidad del tráfico saliente, la ubicación de los servidores, etc. Por ejemplo, si la compañía nunca antes trabajó con un determinado país, y de repente se está transmitiendo una cantidad significativa de datos a dicho país por las noches, esto es claramente una razón para activar la alerta.

Resistencia de la fase de explotación

Si, no obstante, el código del exploit llega a ejecutarse durante el ataque, más adelante descargará otros módulos del APT en el ordenador infectado. En esta etapa, todos los mecanismos de detección mencionados arriba pueden activarse, y el módulo anti-APT puede detectar con precisión los módulos ejecutados del ataque selectivo.

Un módulo interesante de Dark Hotel, por ejemplo, tiene una firma digital de keylogger a nivel del kernel. Instalado como un controlador de Windows, este software lee las pulsaciones de teclado directamente desde el controlador del teclado en la tarjeta madre. Para volver a ejecutar este keylogger, se utiliza una táctica común: se añade la llave correspondiene en la rama HKCU del registro.

Puesto que la caja de arena vigila constantemente los objetos (archivos, URLs) del sensor de red y notifica al agente de seguridad sobre cualquier actividad extraña, entonces las llaves típicas de registro de Windows no pasan desapercibidas.

Conclusión

Kaspersky Lab por muchos años ha desarrollado la caja de arena como proceso tecnológico interno. Ya contamos en la nube con una enorme base de datos de la reputación de archivos y URLs. Una variante independiente de la caja de arena para su instalación en el lado del cliente es una continuación directa de un desarrollo a largo plazo, un nuevo paso en su evolución. Los recursos de hardware en puntos finales para el análisis de actividades son muy limitados en comparación con el hardware especializado dedicado a la caja de arena anti-APT independiente. Es fundamental analizar todos los sucesos necesarios en la escala de la infraestructura de red. Es posible después de incorporar sensores de red a la caja de arena. Asimismo, la incorporación de la consola única de gestión posibilita un análisis más profundo del desarrollo de los ataques dirigidos.

Simultáneamente, Kaspersky Lab ha acumulado una amplia experiencia en el análisis de APTs. El equipo Global Research and Analysis Team (GReAT) tiene una experiencia invaluable en este campo.

Una gran cantidad de información ya existente y otra actualizada de forma simultánea en KSN5 a partir de millones de dispositivos, permite responder a esta importante pregunta para los clientes: ¿es este incidente una epidemia masiva o se trata en realidad de un ataque selectivo contra la infraestructura de mi compañía? Estos datos son accesibles a través de la nube de seguridad de Kaspersky Lab (KSN), pero también están disponibles para el cliente como Kaspersky Private Security Network (KPSN). La combinación del comprobado motor de la caja de arena con la experiencia en la investigación de ataques y el volumen acumulado de datos de reputación almacenados en nuestra propia nube, otorga a Kaspersky Lab una incomparable posición para el desarrollo de soluciones especializadas anti-APT. Por lo tanto, es nuestra profunda convicción que dicha solución debe considerarse sólo como una de las capas de la seguridad integral informática multi-capas. Incluso con una sólida solución anti-APT, una compañía no puede permitirse el lujo de olvidarse de las demás capas como la seguridad avanzada en puntos finales, la seguridad de correo, etc.

1 Las Estrategias de Mitigación de Amenazas Persistentes Avanzadas (APTs) se describen en detalle en el documento de Kaspersky Lab >>>

2 Para más información: >>>

3 Puede encontrar información sobre las amenazas reales en: >>>

4 Aquí puede leer más sobre las tecnologías de Kaspersky Lab: >>>

5 Para obtener más información acerca de las tecnologías de Kaspersky Lab mire: >>>