P
Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

¿Cómo usan los hackers herramientas de administración legítimas para comprometer redes?

Los hackers usan herramientas de administración legítimas para exfiltrar los datos en los ataques “viviendo de la tierra” que son difíciles de detectar. Aprenda sobre esta táctica cibernética del experto Michael Cobb.

Symantec publicó recientemente una investigación que mostró que un grupo de ciberespionaje chino estaba usando...

técnicas de ‘vivir de la tierra’ para comprometer las redes. En estos ataques, los hackers usan herramientas legítimas como PsExec para medios infames. ¿Deben las empresas abstenerse de usar estas herramientas o hay una manera de monitorearlas y rastrearlas?

PsExec, PowerShell y WinSCP son herramientas con las que están familiarizados los administradores de redes y de sistemas empresariales, y que probablemente utilizan la mayoría de los días de la semana.

Sin embargo, una investigación de Symantec reveló que estas herramientas también están siendo utilizadas por un grupo de ciberespionaje chino para analizar y extraer datos de compañías de satélites, telecomunicaciones y defensa en el sudeste asiático y los Estados Unidos. El grupo de piratería Thrip y otros ciberdelincuentes están usando estas y otras herramientas de administración legítimas para llevar a cabo y ocultar sus actividades a simple vista, una táctica conocida como “vivir de la tierra”.

Al hacer uso de herramientas de administración legítimas que ya están instaladas en las computadoras de destino y al ejecutar scripts y shellcode directamente en la memoria, los atacantes pueden reducir considerablemente las posibilidades de ser detectados, ya que el ataque crea menos, o incluso cero, nuevos archivos que el antivirus y otras herramientas de detección pueden detectar.

Las herramientas que los hackers emplean para el uso dual incluyen aquellas que se utilizan para administrar redes y sistemas, como los clientes del Protocolo de transferencia de archivos y las herramientas de administración de sistemas y configuración. En conjunto, le dan al atacante la capacidad de ejecutar comandos, explorar y atravesar redes, exfiltrar datos y descargar herramientas o malware adicionales, aunque esto se hace con moderación para reducir el riesgo de descubrimiento. Estas herramientas de administración legítimas generalmente están preinstaladas en las máquinas de administración, y el uso indebido de ellas por parte del hacker puede perderse en las actividades diarias de administradores de sistemas genuinos, lo que dificulta la detección y atribución de ataques a una fuente.

Symantec dijo que vivir de la tierra ahora se usa en casi todos los ataques dirigidos, lo que lleva a algunas empresas a preguntar si están corriendo un riesgo al instalar y utilizar estas herramientas de administración. Hay dos problemas con este enfoque.

En primer lugar, sería casi imposible para los administradores gestionar infraestructuras de TI sin herramientas de administración. E incluso si las compañías usaran otras herramientas menos populares, los hackers también se adaptarían rápidamente para abusar de ellas. De hecho, la cantidad de herramientas legítimas que ya están en uso es demasiado grande para poder eliminarlas todas. Lo mismo ocurre con los servicios en la nube, que los hackers utilizan para establecer canales de comando y control, ya que es poco probable que las organizaciones los bloqueen.

La mejor manera de evitar estos ataques es evitar que los dispositivos se infecten en primer lugar. La capacitación de concienciación de los empleados sobre los ataques de ingeniería social es esencial para hacer esto, ya que el correo electrónico y los sitios web infectados siguen siendo los vectores de infección más comunes para el malware.

El software antivirus siempre debe mantenerse actualizado, ya que los analizadores antivirus están aprendiendo a detectar y bloquear cosas como la ejecución remota de código y los exploits de solo memoria. Para hacer que sea más difícil para un atacante atravesar y explorar una red, se deben segregar, se deben registrar todas las actividades y se debe aplicar un enfoque de privilegios mínimos.

Symantec usó su herramienta Targeted Attack Analytics para buscar patrones de ataque, lo que los equipos de seguridad deben hacer en sus propias redes para descubrir ataques utilizando patrones similares; por ejemplo, una herramienta de línea de comandos como PsExec se usa para ejecutar procesos en otros sistemas. Esto requiere una línea de base de tráfico de red bien conocido contra el cual se puede comparar el tráfico cotidiano utilizando inteligencia artificial y aprendizaje automático para detectar cualquier uso inusual de herramientas de administración legítimas o actividad asociada con herramientas de doble uso.

Este artículo se actualizó por última vez en octubre 2018

Profundice más

¿Qué necesita resolver?

Por favor, añada un título para su pregunta

Obtenga respuestas de un experto de TechTarget en lo que sea que necesite resolver

Usted será capaz de añadir detalles en la siguiente página

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close