martes, 18 de febrero de 2014

Tácticas de exfiltración



Exfiltración: Proceso de extracción no autorizada de datos dentro de un sistema o de una red.

Tradicionalmente ha constituido la fase última y tal vez la menos relevante de un proceso de robo de información, aunque con la proliferación de los ataques de tipo APT también se han popularizado las soluciones técnicas que dificultan este proceso, como: Detectores de anomalías, Sistemas de prevención de fugas de información, Cortafuegos inteligentes.

Es por esto que es cada vez más importante el estudio de las diversas tácticas empleadas para evadir este tipo de medidas de protección.

Para muchos, pasó desaperciba la importancia del artículo sobre webshells que publicamos hace unos meses, pero tras el reciente incidente de Target vuelve a tomar relevancia.

A continuación tenemos un gráfico sobre el proceso mediante el que se utilizó malware específico para TPVs y varios servidores comprometidos para robar cientos de miles de números de tarjetas de crédito de la cadena americana de tiendas Target. (Fuente: Dell SecureWorks)


Vamos a explicar cómo las webshells se están convirtiendo en una pieza clave de los ataques APT avanzados como el anterior, principalmente durante la fase de exfiltración.

Supongamos el siguiente escenario: una red donde existen detectores de intrusos (IDS) y herramientas de prevención de fugas de información (DLP) basados en análisis de  anomalías para la detección de ataques con malware dirigido.

Si se produce un incremento anormal de tráfico de red desde un equipo de usuario hacia direcciones IP de países sospechosos (p.e. China o Rusia), saltaran todas las alarmas.

Sin embargo, si el tráfico se dirige a un servidor Web de la propia empresa (p.e. situado en una DMZ), o al servidor Web de un proveedor de confianza, nadie sospechara.

Este servidor, al estar abierto al público, recibe periódicamente conexiones desde direcciones IP de todo el mundo, de forma que tampoco levantará sospechas.

Por lo tanto un potencial atacante avanzado, antes de intentar infectar a los usuarios internos con malware, primero intentara comprometer algún servidor Web público secundario de la organización para utilizarlo como pasarela.

 
Este servidor será utilizado como “drop zone”, donde el malware dejara la información robada y el operador del malware simplemente tendrá que recogerla periódicamente.

De esta forma, se dificulta en gran medida la detección mediante análisis de anomalías de tráfico o mediante listas negras de direcciones IP asociadas a operaciones APT.

Para combatir este tipo de tácticas avanzadas, es necesario que nuestra estrategia de lucha contra los APTs incluya todos aquellos elementos IT que puedan ser utilizados durante el proceso de exfiltración.