¿Cómo funciona el nuevo malwares “sin archivos”?

A diferencia de los ataques que se llevan a cabo utilizando un malware tradicional, los ataques del malware “sin archivos” no hacen que los hackers instalen algún software en la máquina de la víctima. En lugar de eso, los atacantes toman herramientas que están incorporadas a Windows y las usan para llevar a cabo el ataque. Esencialmente, Windows se ataca así mismo.

El hecho de que un malware tradicional no se use es un punto importante. Esto significa que no hay una firma de antivirus para detectar, así decrece la efectividad de estos programas detectando los ataques del malware sin archivos, y mientras la siguiente generación de productos de seguridad afirma detectar actividad de PowerShell maliciosa, la realidad es que descubrir malware sin archivos es un verdadero retoexplica Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

¿Cómo funciona éste malware?

Éste ataque involucra tomar por default las herramientas de Windows, particularmente PowerShell y Windows Management Instrumentation (WMI), y lo utiliza para actividad maliciosa, como mover información a otras máquinas. PowerShell y WMI son herramientas de la preferencia de los hackers ya que están instaladas en cada máquina de Windows, capaz de llevar a cabo comandos (PowerShell por ejemplo, puede ser utilizada para automatizar tareas en múltiples máquinas) y han sido incorporadas al flujo de trabajo diario de muchos profesionales de IT, haciendo casi imposible que los trabajadores se priven de su uso.

Usando programas legítimos hace que estos ataques sean casi indetectables para la mayoría de programas de seguridad e incluso analistas de seguridad. La razón es muy sencilla: ya que PowerShell y WMI son programas legítimos, cualquier comando que ejecuten se asume como legitimo explica Jim Gil, un experto de seguridad informática.

POWERSHELL

Es un lenguaje de programación que provee acceso sin precedentes al interior de una máquina, incluyendo acceso irrestricto a las API de Windows.

PowerShell también ofrece el beneficio de ser una parte inherente de Windows que es completamente confiable para que así los comandos que ejecute sean usualmente ignorados por el software de seguridad explica Jim Gil, un experto de seguridad informáticade International Institute of Cyber Security (IICS).

.

La habilidad de PowerShell de correr remotamente a través de WinRM la hace una herramienta aun mas atractiva. Ésta característica permite a los hackers pasar el Firewall de Windows, correr la programación de PowerShell o simplemente iniciar una sesión interactiva de PowerShell, otorgando un control completo de administración sobre un endpoint. Si WinRM se apaga, se puede prender a través de WMI usando una sola línea de código.

Usar PowerShell en el malware sin archivos, borra completamente la linea entre comprometer sólo una máquina y comprometer una empresa. El momento en el que el hacker tiene un nombre de usuario y contraseña para una máquina (que pueden ser fácilmente obtenidas mediante los escenarios de PtH y PtT), el camino para complementar la acción queda completamente abierto.  

 Acercamientos tradicionales a la seguridad quedan inservibles frente el malware sin archivos que utiliza PowerShell ya que la herramienta es de renombre, tiene una firma confiable, se baja carga directamente a través de la memoria del sistema (el cual no puede ser escaneado al tanteo) y tiene acceso libre al sistema operativo porque es una parte integral de Windows.

WINDOWS MANAGEMENT INSTRUMENTATION (WMI)

WMI permite a los administradores realizar varias acciones , como juntar métricas, instalas software y actualizaciones o hacer consultas al sistema operativo. WMI tiene acceso a todos los recursos de una computadora, y se divide en clases para diferentes tareas como ejecutar archivos, borrar y copiar archivos y cambiar los valores de registro. Ésta herramienta está puesta en cada versión moderna de Windows y es la columna de los “agentless”.

Éstas características hacen que WMI sea una bendición pues permite que los administradores realicen tareas muy rápido, pero cuando es usada para operaciones maliciosas se convierte en una maldición. De la misma manera en la que un administrador utiliza WMI para consultar métricas y ejecutar códigos, un hacker lo puede usar para sigilosamente correr un código malicioso a través de una red de computadoras. WMI permite la persistencia para auto-correr programas sigilosamente  en el inicio o basado en eventos específicos. WMI no puede ser desinstalado, pero puede ser desabilitado. Sin embargo, esto perjudica y limita lo que el administrador pueda hacer, como actualizaciones de software en varias computadoras.

EJEMPLOS DE ATAQUES DEL MALWARE SIN ARCHIVOS

 Mientras que este malware no es tan conocido como los ransomware o algunos otros cybernasties, estos ataques son un mayor problema de seguridad y usado en muchos ataques. De hecho, Cybereason ha visto el malware sin archivos utilizarse en varias campañas incluyendo OperationCobaltKitty, que apuntaba a un corporativo importante de Asia. Los hackers desarrollaron una infraestructura de PowerShell sofisticado y lo usaron para soltar un payload de PowerShell que consiste en un payloadCobaltStrike’sBeacon en la computadora de la víctima, así como buscar playloads desde el servidor de comando y control. Usando PowerShell para ejecutar los comandos maliciosos permite a los hackers operar sin que sean detectados por casi seis meses menciona Jim Gil, un experto de seguridad informáticadel International Institute of Cyber Security (IICS). Ya que un programa de confianza ejecutó estos comandos, el staff de la seguridad de la compañía así como las herramientas de seguridad asumen que los comandos eran legítimos acuerdo a expertos de seguridad informáticade Webimprints.

Otro de los incidentes detectados por el Cybereason demuestra que tan frecuentes se han vuelto los ataques de este malware. Las operaciones de seguridad del equipo de Cybereason observaron actividad inusual en enPowerShell en el ambiente de un cliente. Supuestamente un administrador había ejecutado una sesión de PowerShell usando un comando codificado mediante una línea de comandos. Sin embargo, este comportamiento es típicamente atribuido a una escritura automatizada, no una persona. Después de investigar el incidente, el equipo de operaciones de seguridad determinó que el equipo rojo de la compañía  estaba realizando pruebas de penetración y había incorporado el malware Sin archivos a su ejercicio. Si este malware no fuera una preocupación entre los profesionales de la seguridad, los equipos rojos no lo estarían añadiendo a sus pruebas.

LA CRECIENTE AMENAZA DEL MALWARE SIN ARCHIVOS

Técnicamente, estos ataques no son nuevos. Muchas de las técnicas utilizadas por este malware han estado presentes desde hace tiempo. Las explotaciones “in-memory” eran prominentes en el virus SQL Slammer de inicios del 2000, pero el desarrollo y distribución a gran escala de los kits de explosión ha hecho que los ataques del Sin archivos sean mucho más común. Por ejemplo, los marcos ofensivos del PowerShell como Metasploit y CobaltStrike son especialmente abusados ya que pueden ser utilizados para crear ataques de payload de PowerShell.

Y, por supuesto, los ataques de Sin archivos llaman la atención de los hackers pues los softwares de antivirus no pueden detectarlos y muchas herramientas avanzadas de seguridad batallan mucho encontrando el uso malicioso del PowerShell.

La dificultad que las organizaciones enfrentan en detectar estos ataques combinado con la disponibilidad de estas técnicas es realmente la razón de porque esta táctica esta siendo adoptada exponencialmente. Ya no es una técnica fraudulenta, un tercio de organizaciones encuestadas por la SANS 2017 ThreatLandscape reportó haber pasado por ataques del Sin archivos.

DETECCIÓN Y PREVISIÓN DEL SIN ARCHIVOS MALWARE

¿Qué lo hace tan difícil de detectar?

Estos ataques están principalmente en la memoria y usan el sistema legitimo de herramientas para ejecutar y propagarse, haciendo del uso del PowerShell algo legítimo y la actividad del hacker algo muy difícil de encontrar. PowerShell es utilizado por los administradores de IT para realizar varias actividades en un día así que el uso excesivo del PowerShell no es sospecha alguna. Debido a que PowerShell se utiliza muy frecuentemente, los profesionales de seguridad no cuentan con el tiempo de revisar cosas, accesos, notar sospechas e investigar el incidente según expertos de seguridad informática de Webimprints.

Además,  ciertas características en PowerShell hacen que sea difícil averiguar cuando la herramienta está siendo utilizada por hackers. Por ejemplo, PowerShell 2, que es la versión más utilizada de esta herramienta, genera eventos de acceso que informan cuando el motor se prende y se apaga, pero no da mucha información. Esto significa que estos accesos pueden no ser analizados para determinar si un payload malicioso fue puesto en marcha.

En PowerShell 3, Microsoft añade la opción para un acceso manual, que permite a los analistas y productos de seguridad determinar si los archivos escritos fueron invocados y los parámetros correspondientes que les pasaron. El módulo de acceso tiene sus defectos: analistas y productos de seguridad pueden no estar disponibles para manejar la cantidad de información que produce PowerShell incluye innovaciones de seguridad pero no están disponibles por default y los hackers pueden evadir estas características regresando a la versión 2.

Un error common es pensar que al desactivar PowerShell se podrán prevenir los ataques del Sin archivos. Desafortunadamente, este acercamiento sólo hará que los trabajos de los profesionales de IT sean más retadores. Microsoft ha hecho del uso de PowerShell algo casi esencial en sus productos. Por ejemplo, empezando con el Exchange 2007, Microsoft diseñó el GUI que sólo permite a los usuarios completar las funciones administrativas comunes. A PowerShell se le pide llevar funciones menos comunes. Adicional, todos los productos de Microsoft usarán PowerShell. Si los administradores se vuelven hábiles en PowerShell, entonces podrán manejar los productos más nuevos de Microsoft. Restringir el uso de PowerShell limita las habilidades de los administradores para perfeccionar habilidades que les ayuden en sus carreras.

¿Cómo puede un profesional de seguridad saber si se está usando PowerShell en contra de una empresa? La detección por conducta es la mejor manera para responder esa pregunta. Buscar señales asociadas a un mal uso de PowerShell (como una sesión de PowerShell ejecutada usando un comando codificado mediante una linea de comandos), provee al equipo de seguridad evidencia que necesitan para investigar incidentes que pueden ser la instancia del mal uso de PowerShell.