Cómo los atacantes roban datos sin usar malware: un análisis de CrowdStrike

El sigilo es la palabra clave entre los ciberdelincuentes exitosos, ya sean digitales o no. Según el Informe de Investigaciones de Violación de Datos de Verizon 2015, las mejores formas de ser sigiloso al penetrar en una red es robar o construir las credenciales de un usuario autenticado, es decir, convertirse en un insider autorizado. Los autores de este white paper de CrowdStrike (PDF) están de acuerdo:

"La detección de insiders siempre ha sido uno de los problemas más difíciles de resolver en ciberseguridad porque el atacante, por definición, parece ser alguien que debería estar dentro de su red y haciendo cosas que son en gran parte legítimas y esperadas. Por lo tanto, si los adversarios pueden emular este comportamiento, logran su objetivo de sigilo".

El sigilo sigue siendo la palabra clave para los ciberdelincuentes siempre creativos, que, según el informe de Verizon y el white paper de CrowdStrike, ya no utilizan malware para vulnerar el perímetro de la red de sus víctimas y obtener credenciales de usuarios autenticados.

"El malware, incluso si es desconocido para el antivirus, sigue siendo muy ruidoso", explica el white paper de CrowdStrike. "La presencia de binarios desconocidos y nunca antes vistos ejecutándose en su entorno; realizando cambios en archivos y en el registro de su sistema; y realizando comunicaciones en la red, son todas cosas que pueden ser observadas y que pueden generar sospechas eventualmente por parte de un analista proactivo del centro de operaciones de seguridad (SOC) o un investigador de incidentes."

Un ejemplo de un ataque sin malware

Los autores del white paper de CrowdStrike afirman que "el robo de datos se puede lograr sin el uso de malware aprovechando únicamente herramientas administrativas comunes y legítimas de Windows, como WMI o scripts de Powershell".

En el documento, los autores explican cómo se desarrolla un tipo de ataque sin malware:

10 señales para identificar un mensaje de phishing

• Compromiso del servidor web: La intrusión comienza con un compromiso de un servidor web de cara externa, a menudo un servidor Windows IIS mediante inyección SQL o una explotación de WebDAV.
• Instalación de un web shell: A continuación, los atacantes instalan un web shell en el servidor, siendo China Chopper la elección más común.
• Robo de credenciales de Windows: Utilizando el web shell, los adversarios suben una herramienta de robo de credenciales para robar contraseñas y hashes de Windows.
• Movimiento lateral: Una vez que se adquieren las credenciales, los adversarios recorren la red utilizando comandos WMI o sesiones RDP.
• Truco de teclas adhesivas: Los delincuentes utilizan este método para obtener y mantener persistencia en la red de la víctima sin malware.
• Exfiltración de datos: Una vez que se localiza la información de interés, generalmente se encripta para evadir las aplicaciones de prevención de pérdida de datos y se envía al servidor de control y comando de los atacantes mediante comandos FTP estándar.

¿Qué es CrowdStrike?

CrowdStrike, fundada en 2011, es una proveedora de protección de puntos finales, inteligencia de amenazas y servicios de respuesta antes y después de un incidente. CrowdStrike as a Service, la oferta principal de la compañía, es una plataforma de Software como Servicio basada en suscripción diseñada para cumplir con la misión de la empresa: "Mantener a los malos fuera de su red".

Los dos componentes principales de CrowdStrike as a Service son:

• Falcon Host: Un sensor pequeño (10 MB), con suficiente inteligencia para detectar y tomar medidas preventivas según sea necesario, se instala en cada punto final. Los sensores transmiten datos relevantes a la Nube de Inteligencia de Amenazas Avanzada de CrowdStrike para su análisis por parte de personal que busca eventos comunes en toda la red de sensores.
• Centro de Operaciones de Seguridad de CrowdStrike (CSOC): Esto consiste en expertos en respuesta a intrusiones de CrowdStrike que cazan proactivamente a los adversarios y ataques las 24 horas del día, los 7 días de la semana para garantizar que todos los ataques sean detectados en las redes de sus clientes.

Como suele ocurrir, los detalles sobre cómo funciona todo son relativamente escasos. Sin embargo, algo positivo debe estar ocurriendo, ya que los negocios son buenos.

Los inversionistas están impresionados

Personas inteligentes en empresas exitosas están invirtiendo en CrowdStrike. Google Capital ha invertido 100 millones de dólares estadounidenses. Rackspace, otro inversionista, también es cliente. "En cuanto a la detección, necesitamos una detección de host de clase mundial; algo que opera a nivel de kernel y detecta los ataques más sofisticados", menciona Brian Kelly, CSO de Rackspace. "Ahí es donde CrowdStrike sobresale".

Apuntando a los actores malintencionados, no a su malware

George Kurtz, presidente y CEO de CrowdStrike, quien fundó la compañía junto con el CTO Dmitri Alperovitch, resume el objetivo de la empresa:

"Estamos construyendo software para derrotar la mente humana. Ellos (atacantes) están usando su astucia y habilidades para ingresar a todas las grandes compañías del planeta, y nosotros tenemos que construir tecnología que sepamos que están tratando de derrotar. En última instancia, tenemos que estar un paso adelante de ellos".

Los 5 mejores programas antivirus portátiles para mantener tu PC libre de infecciones

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo los atacantes roban datos sin usar malware: un análisis de CrowdStrike , tenemos lo ultimo en tecnología 2023.