Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
29/10/2013
APTs: Detectant els moviments laterals
Els APT (advanced persistent threats) conformen un dels principals riscos a què s’enfronten hui en dia les empreses, organitzacions i estats. El seu objectiu principal és sostraure, de manera silenciosa, la major quantitat d’informació de les seues víctimes, tractant de passar totalment desapercebuts (en algunes ocasions, persistixen mesos, o anys i tot, sense ser identificats).
Famoses van ser les campanyes Xina APT-1, que fa més o menys un any va destapar “suposadament” Mandiant o la russa amb nom en clau Red October, detectada per Kaspersky.
En poques paraules, estes amenaces presenten tres fases quant al seu desplegament i funcionament:
1r Fase d’anàlisi: l’atacant tracta d’obtindre la major informació possible de l’organització víctima, com ara adreces de correu, usuaris, rols del personal, estructura jeràrquica (ací la pàgina web corporativa ajuda molt...), etc. En esta fase, hi ha una cosa curiosa, i és que normalment els objectius més perseguits no són els directors generals, alts càrrecs o personal de gran poder, sinó els seus secretaris. Açò és degut al fet que estos últims són en última instància els empleats que manegen la informació més crítica, ja que són els encarregats de llegir el correu electrònic del seu superior, contestar en nom seu o accedir en el seu lloc a recursos especialment sensibles.
2n Fase d’intrusió: una vegada identificada la víctima o les víctimes, un dels vectors d’atac més comú és la pesca dirigida a través del correu electrònic, adjuntant algun enllaç maliciós o fitxer que tracte d’explotar normalment algun 0-day en la víctima. Ací s’han vist verdaderes filigranes d’enginyeria social. Al marge del correu electrònic, es pot donar la intrusió a través d’altres vies, com ara gtalk, memòries USB, xat, etc.
3r Fase de persistència: ja han entrat. Ara han de jugar a un joc: el de comunicar-se de forma el més silenciosa possible amb els seus C2s per a filtrar cap enfora informació i el de moure’s sense ser detectats per la xarxa interna de la víctima per a accedir a més recursos.
En este punt és on un xicotet truc pot ajudar-nos a detectar eixe moviment lateral cap a noves màquines, per exemple a través dels servicis de Windows d’escriptori remot. Imaginem que un atacant des d’un equip intern accedix pivotant a un altre i que este connecta per mitjà de RDP. Este protocol permet, en la negociació inicial, gestionar l’idioma del teclat utilitzat per l’usuari en eixa sessió, perquè si, per exemple un xinés es connecta a un equip Windows suec, este hi puga teclejar correctament.
Llegir article complet en SecurityArtWork.