En el pasado, la tipología de las amenazas permitía fiarse de una solución de ciberseguridad basada en firmas para proteger la organización contra el malware. Incluso se mandaba un disquete con las actualizaciones cada mes y solía ser suficiente. Las soluciones basadas en firmas son muy eficaces y precisas en cuanto a descubrir malware conocido.
Pero este modelo dejó de ser efectivo cuando las técnicas polimorfas (la compresión y el cifrado) aumentaron la proliferación del malware y, en consecuencia, las firmas dejaron de ser suficientes. Frente a cifras como las más de 300.000 nuevas muestras de malware detectadas cada día en PandaLabs, se necesitaba una mayor protección.
El heurístico (especular si un archivo se parece a una variante de un malware conocido) y el análisis local del comportamiento (sandboxing) son capaces de identificar variantes del malware conocido. Sin embargo, estas técnicas son menos precisas y requieren más recursos en el dispositivo local.
En ese contexto, cualquier archivo sospechoso tiene que ser evaluado por el equipo de seguridad informática para asegurarse de que no se permite la ejecución de ningún archivo malicioso y que no se ponga en cuarentena ningún archivo legítimo, algo que podría recargar a los recursos e incapacitar al sistema. Permitir que se ejecute cualquier evento que no se haya identificado como sospechoso o como malware, aunque no esté clasificado, supone un riesgo enorme.
A estas soluciones tradicionales les cuesta reconocer las amenazas de día cero, aquellas nuevas que aparecen antes de que los proveedores de seguridad publiquen protección específica, puesto que, al no tener referencias previas sobre ella, la visión que tiene de su actividad es muy limitada. Esto ha forzado la adopción de un nuevo enfoque de ciberseguridad: el planteamiento de clasificar el 100% de los procesos y la asimilación del modelo de confianza cero, donde ningún proceso puede ejecutarse hasta que se verifique como goodware.
Todos los procesos desconocidos se analizan y clasifican antes de permitir su ejecución, y todos los archivos sospechosos se clasifican de manera activa, ya sea como malware o como goodware, gracias a un servicio gestionado. ¿Cómo ocurre esto?
Panda Security propone un nuevo paradigma
En el año 2010, Panda Security empezó a desarrollar un nuevo sistema desde cero. Durante los cinco años siguientes, fuimos incorporando todo nuestro conocimiento, tanto de malware como de goodware, se añadieron fuentes externas de indicadores y aplicamos técnicas de Machine Learning para que empezara a aprender comportamientos que le permitiesen clasificar todos los nuevos ejecutables de archivo de manera automática. Esta solución se convirtió en Panda Adaptive Defense.
Cuando encontramos un proceso que no conocemos, el Machine Learning interpresa su comportamiento, lo analiza, lo correlaciona y lo clasifica. Pero hay la más mínima duda, lanza una consulta a nuestro laboratorio para que los expertos de nuestro laboratorio lo analicen y tomen una decisión. Para PandaLabs, en la gran mayoría de los casos (99,985%) este proceso es automático. Para el resto, tenemos un equipo de analistas de seguridad que lo analizan y lo clasifican, creando reglas y respuestas que mejoran la inteligencia de nuestras detecciones automáticas.
El valor de este círculo virtuoso de 100% atestación fue revelado por el Director Técnico de PandaLabs con su afirmación «Para Panda, el malware basado en ficheros está bajo control». Por lo tanto, el riesgo de una infección debido al malware basado en archivos se reduce prácticamente a cero.
Esta clasificación automática ha reducido drásticamente la intervención manual en el proceso de clasificación. Entonces, ¿qué hacen nuestros expertos de PandaLabs ahora?
El malware basado en ficheros es solo uno de muchos vectores de ataque
Cuando Panda Security empezó a desarrollar esta tecnología para ofrecer la clasificación del 100% de los procesos, proporcionó la información contextual para poder reconocer y catalogar un gran abanico de actividades potencialmente anómalas en los endpoint (que evaden las técnicas tradicionales),
Esta nueva familia de soluciones de seguridad fue denominada como Endpoint Detection & Response. En 2013, esta tecnología fue reconocida por los analistas como uno de los avances más importantes que hicimos los proveedores de seguridad en el endpoint. Y es que, para detectar este tipo de ataques, hace falta tener una visibilidad completa de todos los procesos que estén ocurriendo en cada endpoint.
Caza proactiva de las ciberamenazas
En vez de responder de manera reactiva a las amenazas de malware, nuestros analistas de seguridad llevan a cabo servicios de Threat Hunting activo. Utilizando la información que hemos recogido durante nuestros 30 años de experiencia en la industria, buscan nuevas amenazas y comparan las hipótesis con los datos recopilados con nuestra solución EDR para comprobar su legitimidad. Una vez demostrada, cada técnica nueva de detección se suma a los cientos de técnicas ya existentes en nuestra inteligencia de Threat Hunting & Investigation Service.
Las reglas del Threat Hunting automático incluyen actividades como:
- Ataques de fuerza bruta a conexiones RDP
- PowerShell con parámetros ofuscados
- Interacción del directorio activo
- Programas compilados localmente
- Documentos con macros o enlaces a Internet
- Modificación del registro para ejecutarse cuando Windows se lanza
- Inyección de código en procesos legítimos. Un ejemplo de esto fue incluido en el ‘Patch Tuesday’ de Microsoft más reciente, donde el bloc de notas fue utilizado para lanzar un shell de línea de comandos con privilegios a nivel de sistema.
- La creación de perfiles de las aplicaciones y los usuarios, y la detección de desviaciones en su contexto de ejecución para descubrir anomalías (por ejemplo, este usuario jamás ha ejecutado este tipo de herramientas en la máquina)
Nuestro servicio de Threat Hunting e investigación genera para nuestros clientes alertas sobre cualquier comportamiento anómalo, y se apoya en nuestro equipo técnico para remediar y aumentar la ciber-resiliencia.
Si un atacante quiere entrar en una red, y tiene suficiente tiempo y suficientes recursos, al final lo logrará. No es una cuestión de SI lo conseguirá, sino de CUÁNDO lo hará.
Esto se logra con varios métodos:
- Vulnerabilidades sin parchear
- Ataques de phishing que emplean ingeniería social
- Ataques de fuerza bruta contra conexiones RDP
- Llevando a cabo wardriving con el WiFi de tu empresa o utilizando una conexión WiFi falsa
- Un USB malicioso enchufado en el equipo.
- Documentos armificados, con macros o contenido de Internet
- Descuido de los empleados, o incluso acciones de insiders
Tras utilizar una de estas puertas de entrada, el hacker establece su “campo base” y comienza un avanece ofensivo, hay varios objetivos, tales como :
- Potencia – Escalada de privilegios
- Persistencia – establecer una puerta trasera o “backdoor” para conseguir acceso continuo.
- Exploración – Identificación de objetivos
- Movimientos laterales en la red
- Objetivo – Robo de datos/credenciales, cifrado de datos (ransomware), destrucción/DDoS, botnet o minado de criptomonedas.
Puesto que hemos impedido que el hacker utilice malware basado en ficheros, solo podría conseguir estos objetivos utilizando técnicas Living-off-the-Land (LotL), en las que el hacker aprovecha software legítimo que ya está instalado (como PowerShell o el Directorio activo) para sus fines maliciosos. Como por ejemplo:
- Alguien recibe un email y se le engaña para que ‘abra el contenido’, que realmente será algo que desactiva la seguridad de macros y pone en marcha el ataque.
- Una vez desactivada esta medida de seguridad, se descarga un script, que invoca PowerShell y la herramienta de explotación Mimikatz , robando las credenciales necesarias para buscar su objetivo en la red, como datos personales o información confidencial.
- Con una búsqueda relativamente sencilla en la red, puede descubrir además los datos necesarios para acceder a otras herramientas legítimas, como Socat y TOR, que pueden ser utilizadas para trasferir y exfiltrar los datos.
- En este ejemplo, no se explota ninguna vulnerabilidad, no se utiliza ninguna URL maliciosa y tampoco ha necesitado desplegar ningún archivo malicioso en el disco.
A muchas organizaciones les cuesta enfrentarse a estos ataques Living-off-the-Land porque sus defensas tradicionales no son capaces de pararlos. Hace falta una visibilidad absoluta para descurbrir las acciones en su contexto y poder identificar estas amenazas.
Recomendaciones
Para proteger a tu organización, existen ciertas medidas necesarias que hay que tomar. La primera es mantener actualizados y parchear todos los sistemas y aplicaciones para cerrar cualquier vulnerabilidad que puedan utilizar los atacantes como puerta de entrada. La siguiente medida es educar a todos los usuarios sobre los ciber-riesgos a los que se enfrenta la organización y establecer protocolos para resolver cualquier incidente en sus fases más tempranas, llegado el caso. Proteger los datos personales es una necesidad y una exigencia, ya que este activo tan valioso suele ser uno de los objetivos principales de los ciberatacantes. Por último, hay que proteger todos los equipos, servidores y sistemas virtuales con tecnología EDR para asegurar que la totalidad de los endpoints se beneficien de una ciberseguridad avanzada y adaptativa.