Estudio de Aqua Security revela aumento del 1

Los actores de amenazas están centrando su atención en exploits que evaden la detección y pasan desapercibidos en los sistemas, según el Informe de Amenazas en la Nube de Aqua Security para 2023, que examinó los ataques a la memoria en redes y cadenas de suministro de software.

Estudio de Aqua Security revela aumento del 1 - Seguridad | Imagen 1 Newsmatic

El brazo de investigación de seguridad nativa de la nube de Aqua, Nautilus, señaló un aumento del 1.400% en los ataques a la memoria en comparación con el informe de 2022 de la compañía. Según Aqua Security, Nautilus analizó 700.000 ataques durante el período de estudio de seis meses en su red global de señuelos.

El equipo de Nautilus informó que más del 50% de los ataques se centraron en la evasión de la defensa e incluyeron técnicas de disfraz como la ejecución de archivos desde /tmp, una ubicación utilizada para almacenar archivos temporales. Los ataques también involucraron archivos o información obfuscados, como la carga dinámica de código, que carga bibliotecas (maliciosas en este caso) en la memoria durante la ejecución, sin dejar rastro digital sospechoso.

Assaf Morag, investigador principal de inteligencia de amenazas de Aqua Nautilus, dijo que el descubrimiento del grupo de HeadCrab, un malware basado en Redis que comprometió más de 1.200 servidores, puso de manifiesto cómo los ataques a la memoria estaban evadiendo las soluciones sin agente, que monitorean, parchan y escanean los sistemas de forma remota. Esto se debe a que, a diferencia de los sistemas basados en agentes, no están instalados en las máquinas cliente, explicó Morag.

"Cuando se trata de seguridad en tiempo de ejecución, solo el escaneo basado en agentes puede detectar ataques como estos que están diseñados para evadir las tecnologías de escaneo basadas en volumen, y son críticos a medida que las técnicas de evasión continúan evolucionando", dijo.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel
Índice de Contenido
  1. ¿Qué son los ataques a la memoria?
  2. Se revelan vulnerabilidades en la cadena de suministro de software en la nube
  3. La protección del entorno de tiempo de ejecución es fundamental

¿Qué son los ataques a la memoria?

Los ataques a la memoria (también conocidos como ataques sin archivo o de "living-off-the-land") explotan el software, las aplicaciones y los protocolos existentes en el sistema objetivo para llevar a cabo actividades maliciosas. Como explicó Jen Osborn, subdirectora de inteligencia de amenazas de Palo Alto Networks Unit 42, los ataques a la memoria son difíciles de rastrear porque no dejan rastro digital.

  • Los ataques a la memoria no requieren que un atacante coloque código o scripts en un sistema.
  • Los ataques a la memoria no se escriben en un disco y en su lugar utilizan herramientas como PowerShell, Windows Management Instrumentation o incluso la herramienta de guardado de contraseñas Mimikatz para atacar.

"

Están [lanzando exploits a la memoria] porque son mucho más difíciles de detectar y encontrar más tarde, porque muchas veces, no se registran", dijo Osborn.

En un blog de 2018, Josh Fu, actual director de marketing de productos en la empresa de software de gestión de endpoints Tanium, explicó que los ataques a la memoria tienen como objetivo introducir instrucciones o extraer datos de la RAM o la ROM. A diferencia de los ataques que se centran en los directorios de archivos del disco o en las claves del registro, los ataques a la memoria son difíciles de detectar, incluso por el software antivirus.

Fu señaló que los ataques a la memoria suelen funcionar de la siguiente manera:

  1. Primero, un script o archivo llega al punto final. Evade la detección porque parece un conjunto de instrucciones, en lugar de tener características típicas de un archivo.
  2. Esas instrucciones se cargan en la máquina.
  3. Una vez que se ejecutan, los atacantes utilizan las herramientas y recursos del sistema para llevar a cabo el ataque.

Fu escribió que los defensores podrían ayudar a prevenir y mitigar los ataques a la memoria mediante:

Cómo proteger tu computadora de los virus: métodos y consejos
  • Mantenerse al día con los parches.
  • Bloquear sitios web que ejecutan Flash, Silverlight o JavaScript, o bloquear su ejecución en sitios que lo soliciten.
  • Restringir el uso de macros en documentos.
  • Estudiar este artículo sobre cómo los atacantes utilizan Mimikatz para extraer contraseñas.

Se revelan vulnerabilidades en la cadena de suministro de software en la nube

El informe de Aqua Nautilus, que también examinó los riesgos de la cadena de suministro de software en la nube, incluyendo las configuraciones incorrectas, observó que los actores están explotando paquetes de software y utilizándolos como vectores de ataque. Por ejemplo, descubrieron una falla lógica a la que llamaron "planificación de paquetes" que permite a los atacantes disfrazar paquetes maliciosos como código legítimo.

Además, los investigadores informaron de una vulnerabilidad en todas las versiones de Node.js que podría permitir la incrustación de código malicioso en paquetes, lo que resulta en la escalada de privilegios y la persistencia de malware en entornos de Windows.

La compañía informó que las 10 principales vulnerabilidades identificadas en su red global en 2022 (excluyendo Log4Shell, que fue abrumadoramente alta en comparación con el resto) estaban relacionadas principalmente con la capacidad de llevar a cabo la ejecución remota de código. "Esto refuerza la idea de que los atacantes buscan el acceso inicial y ejecutar código malicioso en sistemas remotos", dijeron los autores (Figura A).

Figura A

Estudio de Aqua Security revela aumento del 1 - Seguridad | Imagen 2 Newsmatic

La protección del entorno de tiempo de ejecución es fundamental

Los ataques a la memoria que explotan las cargas de trabajo en tiempo de ejecución, donde se ejecuta el código, se están convirtiendo en un objetivo cada vez más popular para los actores de amenazas que buscan robar datos o interrumpir las operaciones comerciales, según el informe.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Los autores dijeron que abordar las vulnerabilidades y configuraciones incorrectas en el código fuente es importante porque:

  • Puede llevar tiempo priorizar y solucionar las vulnerabilidades conocidas, lo que puede dejar los entornos de tiempo de ejecución expuestos.
  • Los profesionales de la seguridad pueden desconocer o pasar por alto los vectores de ataque en la cadena de suministro, creando un vínculo directo e incontrolado con los entornos de producción.
  • Las configuraciones de producción críticas aún pueden pasarse por alto en entornos en la nube de alta velocidad, complejos y multi proveedor.
  • Es probable que existan vulnerabilidades de día cero, por lo que es esencial contar con un sistema de monitoreo de eventos maliciosos en producción.

Los autores del estudio también afirmaron que simplemente escanear archivos y comunicaciones de red maliciosos conocidos y bloquearlos y alertar a los equipos de seguridad no era suficiente. Las empresas también deben monitorear indicadores de comportamiento malicioso, como intentos no autorizados de acceder a datos sensibles, intentos de ocultar procesos mientras se elevan los privilegios y la apertura de puertas traseras a direcciones IP desconocidas.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Estudio de Aqua Security revela aumento del 1 , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.