En el sentido más amplio, las RAT se utilizan para acceder y controlar computadoras de forma remota. Los administradores de sistema a menudo utilizan estas herramientas para el bien, pero los hackers de sombrero negro desarrollan RAT especializadas que infectan, se esconden y actúan como puertas traseras.
Las RAT maliciosas como PlugX, Gh0st, Korplug, Gulpix, Sogu, Thoper y Destory pueden ser construidas como ataques de día cero que evitan la detección de firmas. La interfaz de usuario de la RAT Gh0st que se muestra a continuación da una idea de la facilidad con que los hackers pueden crear variantes de día cero para infectar a máquinas sensibles. Una vez infectado, el comando y control (C&C) se pueden establecer desde cualquier lugar en internet, creando una nueva ruta para el tráfico a través de otros servidores para evitar la identificación del verdadero perpetrador.
 |
| Clic para agrandar |
Probablemente la variedad de RATs de más alto perfil, PlugX, fue exhibida en la Presentación Black Hat de 2014 y fue encontrada por Trend Micro ya en 2008. Los profesionales en seguridad de Guidance Software que trabajan en el campo gubernamental han reportado ver variantes de PlugX de forma rutinaria. Este es un buen ejemplo de cómo un marco de malware desplegado en 2008 aún puede construir variantes que eluden la detección basada en firmas de la actualidad.
Para encontrar ataques de Día Cero, usted debe hacer investigaciones rutinarias para encontrar amenazas desconocidas. Es prudente hacer uso de una ventaja natural que los agentes de respuesta a incidentes poseen: el conocimiento detallado de su entorno. Sun Tsu una vez dijo: “Conoce el clima, conoce el terreno y tus victorias serán ilimitadas.” En esta “ciberguerra” moderna, el antiguo sabio bélico pudo haber dicho: “Conoce tu red y a tus endpoints y el tiempo entre el descubrimiento y la respuesta será formidable.”
 |
| Clic para agrandar |
PlugX utiliza una gran variedad de métodos de inyección para secuestrar a procesos comunes, pero en general nuestro objetivo es identificar las variaciones de los procesos familiares que han sido inyectados con malware. Una buena forma de empezar es agrupar los ataques comunes a svchost.exe y después buscar horarios inusuales de arranque o identificadores de procesos (PID) reasignados cuando no se produjo ningún reinicio de sistema. En los casos de PlugX, ambos svchost.exe y misexec.exe sufrieron inyecciones. Otro método de identificación de inyecciones es mediante la detección de archivos binarios aparentemente legítimos cuyos nombres están ligeramente mal escritos, almacenados en rutas poco convencionales o que se están ejecutando y se inyectan en procesos no estándar.
Muchas formas de malware necesitan de llaves de registro de ejecución automática para para iniciar su ejecución después del reinicio del sistema. Este es conocido como persistencia o un mecanismo de persistencia. Utilizando un análisis del registro en toda la red, EnCase Endpoint Security puede rápidamente localizar las máquinas infectadas con PlugX mediante la búsqueda de binarios desconocidos establecidos para arrancar al inicio, como las llaves de ejecución automática que se muestran a continuación.
 |
| Clic para agrandar |
Ahora que ya tiene algunos dispositivos que levantan sospechas, una vista previa al vivo con EnCase Endpoint Security le permite optimizar los archivos sospechosos. Una simple búsqueda con el botón derecho puede iniciar el análisis de archivos estáticos y/o dinámicos en los principales proveedores de inteligencia de amenazas, tales como ThreatGRID, o en alternativas disponibles libremente, como búsquedas de hash en Google y en VirusTotal para confirmar la malicia. Nosotros siempre recomendamos que los archivos se recojan para la preservación y presentación de informes.
 |
| Clic para agrandar |
Ahora que una instancia de PlugX es conocida, búsquedas basadas en indicadores de compromiso (IOC) pueden ser formadas para encontrar otros binarios relacionados. Indicadores sencillos como valor hash, tamaño de archivo, nombre de archivo y ruta pueden ser usados, o usuarios más avanzados pueden agarrar palabras clave de búsqueda en archivos binarios provenientes del editor hexadecimal y formar búsquedas aún más poderosas, como es mostrado a continuación. Esto nos permite determinar el alcance de un incidente en toda la organización.
 |
| Clic para agrandar |
Ahora que usted tiene una condición de indicador, el asistente de recolección de EnCase Endpoint Security (mostrado a continuación) designa las máquinas contra las cuales se ejecutará la búsqueda, e incluso permite que otras condiciones puedan ser importadas y exportadas para poder compartir lo encontrado con otros grupos u organizaciones. Si quiere abarcar un área aún mayor, nuestro Analista de Coincidencia Cercana por Entropía puede localizar variedades polimórficas adicionales sin la necesidad de indicadores. Este algoritmo patentado fue diseñado específicamente para identificar malware creado para evadir la detección basada en firmas. El último paso, es la remediación con EnCase Endpoint Security.
 |
| Clic para agrandar |
Como puede ver, estas herramientas de investigación permiten a un investigador ver rápidamente los ataques de día cero que eluden a los métodos automatizados de detección. Con algunos ataques de día cero no hay atajos, así que intente que estas actividades investigativas hagan parte de su estrategia regular de seguridad.
¿Comentarios? ¿Preguntas? Lo invito a dejar sus comentarios en la sección a continuación.
TEMAS RELACIONADOS
La invasión a la OPM: qué se está haciendo correctamente
Haga Parte de Nuestro Grupo en LinkedIn de Usuarios de EnCase en Español
Guidance Software anuncia el lanzamiento de EnCase Endpoint Security
Dé un "Me Gusta" a Nuestra Página en Facebook
CryptoWall 2.0, cuando los ciberatacantes le “protegen” sus datos
No hay comentarios :
Publicar un comentario