lunes, 8 de junio de 2015

Operaciones APT sin malware

Ya decíamos en un post anterior que no era correcto asociar de forma inseparable el termino APT con los términos malware avanzado o malware dirigido. Se han documentado casos de operaciones APT en las que se ha utilizado malware muy básico y estamos empezando a conocer casos de operaciones APT sin malware.

Con el término “sin malware” nos referimos a operaciones APT que no usan el tradicional troyano o herramienta de control remoto (RAT) monolítico y binario que se comunica con un sitio de mando y control (C&C o C2).  

Los últimos informes sobre tendencias en el mundo de los APT y los comentarios de expertos en la materia parecen indicar que no estamos ante casos aislados.

Si, como estáis oyendo, operaciones de espionaje avanzadas en las que no se usa ningún tipo de malware reconocible. ¿Cómo puede ser esto posible?

Pues puede realizarse utilizando varias tácticas ya conocidas o incluso combinándolas:
  • Utilizando herramientas no maliciosas con fines ofensivos. Por ejemplo utilizar netcat para crear una puerta trasera en vez de programar una propia.
  • Utilizando un lenguaje de scripting y cargando el código directamente desde la red, de forma que no quede nada en disco.
  • Codificando el payload de la infección y almacenándolo fuera del sistema de ficheros, por ejemplo en el registro o en un disco de red.
  • Inyectando el payload en memoria de forma remota cada vez que se quiera acceder a un equipo, sin que llegue a quedar nada en disco.


El resultado práctico de estas tácticas es similar y significa el golpe de gracia para las soluciones antivirus tradicionales:
  • No existe un binario malicioso que escanear.
  • No se copia nada malicioso al disco que pueda generar alertas.
  • No queda nada o casi nada en disco que se pueda recuperar en un análisis forense.



¿Pero cómo logran estos APT permanecer en los sistemas sin usar un malware?

La persistencia en la mayoría de casos se consigue utilizando métodos tradicionales: Creando un nuevo servicio en el equipo, creando una tarea programada, añadiendo un script de arranque.

Solo que en este caso el elemento de persistencia es minimalista (muchas veces consiste en una única línea de código bat, vbs o powershell) cuya labor es descargar y lanzar el payload principal.

Otras veces el APT hace uso de funcionalidades avanzadas de los sistemas Windows para lograr su ejecución periódica, por ejemplo mediante la programación de eventosWMI, ficheros de auto-instalación, plugins de Office, LSA security packages, etc.

Incluso en algunos casos la persistencia se sacrifica totalmente, no quedando nada residente en el equipo. En estos casos los atacantes confían en vulnerabilidades del sistema, puertas traseras o en credenciales sustraídas, para poder volver a obtener acceso al equipo cuando sea necesario.

En estos casos la labor ofensiva es mucho más manual. No se utilizan herramientas que faciliten la labor del atacante y este debe combinar el uso de las diversas herramientas legítimas que proporciona el sistema objetivo para lograr la misma funcionalidad.

Dos herramientas clave en este tipo de estrategias ya las hemos mencionado: Powershell y WMI. Estas herramientas suelen estar activas por defectos en cualquier equipo Windows y pueden utilizarse para replicar las funcionalidades de los RAT tradicionales, pero dejando una menor huella en el sistema.

Estas nuevas estrategias entrarían dentro del concepto de operaciones APT 2.0 o APT-NG, términos de marketing que han acuñado algunas compañías que pretende explicar que muchos de los “patrones” que solíamos asociar a las operaciones APT ya no son aplicables.

Y es que como ya explicamos en artículos anteriores, los agentes APT constituyen una seria amenaza precisamente por eso, por su versatilidad y su capacidad para cambiar, adaptarse a las estrategias defensivas y utilizar nuevas tácticas para ser más efectivos.