Tácticas de exfiltración

Exfiltración: Proceso de extracción no autorizada de datos dentro de un sistema o de una red.

Tradicionalmente ha constituido la fase última y tal vez la menos relevante de un proceso de robo de información, aunque con la proliferación de los ataques de tipo APT también se han popularizado las soluciones técnicas que dificultan este proceso, como: Detectores de anomalías, Sistemas de prevención de fugas de información, Cortafuegos inteligentes.

Es por esto que es cada vez más importante el estudio de las diversas tácticas empleadas para evadir este tipo de medidas de protección.

Para muchos, pasó desaperciba la importancia del artículo sobre webshells que publicamos hace unos meses, pero tras el reciente incidente de Target vuelve a tomar relevancia.

A continuación tenemos un gráfico sobre el proceso mediante el que se utilizó malware específico para TPVs y varios servidores comprometidos para robar cientos de miles de números de tarjetas de crédito de la cadena americana de tiendas Target. (Fuente: Dell SecureWorks)

Vamos a explicar cómo las webshells se están convirtiendo en una pieza clave de los ataques APT avanzados como el anterior, principalmente durante la fase de exfiltración.

Supongamos el siguiente escenario: una red donde existen detectores de intrusos (IDS) y herramientas de prevención de fugas de información (DLP) basados en análisis de  anomalías para la detección de ataques con malware dirigido.

Si se produce un incremento anormal de tráfico de red desde un equipo de usuario hacia direcciones IP de países sospechosos (p.e. China o Rusia), saltaran todas las alarmas.

Sin embargo, si el tráfico se dirige a un servidor Web de la propia empresa (p.e. situado en una DMZ), o al servidor Web de un proveedor de confianza, nadie sospechara.

Este servidor, al estar abierto al público, recibe periódicamente conexiones desde direcciones IP de todo el mundo, de forma que tampoco levantará sospechas.

Por lo tanto un potencial atacante avanzado, antes de intentar infectar a los usuarios internos con malware, primero intentara comprometer algún servidor Web público secundario de la organización para utilizarlo como pasarela.

 

Este servidor será utilizado como “drop zone”, donde el malware dejara la información robada y el operador del malware simplemente tendrá que recogerla periódicamente.

De esta forma, se dificulta en gran medida la detección mediante análisis de anomalías de tráfico o mediante listas negras de direcciones IP asociadas a operaciones APT.

Para combatir este tipo de tácticas avanzadas, es necesario que nuestra estrategia de lucha contra los APTs incluya todos aquellos elementos IT que puedan ser utilizados durante el proceso de exfiltración.

 

 

¿Guerra electrónica o Ciberguerra?

En ocasiones se confunden los términos Guerra Electrónica con Ciberguerra/Ciberdefensa, en otras existe un desconocimiento mutuo entre los practicantes de estas áreas. En esta entrada intentaremos resumir los conceptos básicos de guerra electrónica, su clara diferenciación con respeto a la Ciberdefensa pero también su estrecha relación.

¿Qué es la guerra electrónica?

Se conoce como  guerra electrónica (abreviado a veces, EW, del inglés Electronic Warfare) a las actividades que tienen como fin de identificar, explotar, degradar o impedir el uso militar del espectro electromagnético  por parte del adversario y a la vez conservar la utilización de dicho espectro en beneficio propio.

Aunque existen precedentes anteriores, la guerra electrónica moderna nace durante en la segunda guerra mundial con la generalización del uso de aplicaciones del espectro electromagnético tales como  el radar o  las radio ayudas a la navegación.  Desde que se sentaron sus bases la guerra electrónica se divide en tres grandes parcelas:

Medidas de apoyo de Guerra Electrónica (ESM en sus siglas en ingles) comprenden las acciones adoptadas para buscar, interceptar, identificar o ubicar fuentes de energía electromagnética irradiada por el enemigo.  Un ejemplo de ESM seria la capacidad de determinar localización de un sistema de comunicaciones por sus emisiones de radio.

Contramedidas electrónicas (ECM)  comprenden las acciones adoptadas para impedir o reducir la utilización enemiga del espectro electromagnético.  Un ejemplo típico de ECM es la perturbación del espectro mediante interferencias para bloquear o dificultar las comunicaciones por radio del enemigo.

Las Contra-Contra Medidas Electrónicas (ECCM). Área de la EW que comprende las técnicas medidas encaminadas a asegurar el uso propio del espectro electromagnético a pesar del, empleo de la Guerra Electrónica por parte del enemigo. Dentro de esta área entrarían por ejemplo los sistemas de radio de salto de frecuencia que pretenden evitar la efectividad de equipos perturbadores por parte del contrario.

En los últimos tiempos también se emplean la terminología Electronic Support (ES), Electronic Attack (EA) , Electronic Protection (EP) que vienen a definir prácticamente los mismos campos.

Para terminar debemos  matizar que el termino guerra electrónica refiere al uso completo del espectro electromagnético y no solo a lo que comúnmente conocemos como ondas de radio. Así por poner ejemplo el uso de la radiación infrarroja como sistema de localización (sensores y buscadores térmicos)  o como contramedidas (señuelos o bengalas IR, cortinas de humo IR, etc) también forma parte de la guerra electrónica.

Militares españoles durante el ejercicio de guerra electrónica "Nube Gris".

¿Por qué la Ciberdefensa es un campo independiente la guerra electrónica?

Algunas veces por desconocimiento (aunque también otras por interés en arrogarse competencias) se suele identificar la ciberguerra como si fuera una simple extensión o sub-área de la guerra electrónica. Pero si nos paramos a analizarlo se trata de dos ámbitos con vertientes claramente separadas. La guerra electrónica se trata de un campo asentado y definido, de uso exclusivamente militar y que no tiene prácticamente contacto con el mundo civil mas allá de aplicaciones muy especificas de seguridad pública. Un ejemplo serian los inhibidores diseñados para proteger de los artefactos explosivos detonados por control remoto.

Mientras tanto las operaciones de ciberguerra que se desarrollan de forma habitual en un espacio mucho mas difuso, el de los sistemas de información. Siendo el campo principal de actuación las redes de computadoras  ya sean la misma Internet, redes de tipo Intranet o redes IP privadas, redes de mando y control, etc . La ciberguerra tiene como particularidad la fuerte interconexión con la tecnología civil. Ya sea por la extensión del uso de sistemas originalmente civiles en el ámbito militar o por la susceptibilidad a ataques de infraestructuras criticas civiles, entre otros aspectos.

Si en la guerra electrónica se trabaja con sensores, misiles buscadores y perturbadores la ciberguerra se libra con scanners de red, exploits, backdoors  y sistemas detección de intrusiones.

¿Por qué la guerra electrónica y la ciberguerra están más próximas cada día?

La misma doctrina militar norteamericana que define que guerra electrónica y ciber son dos disciplinas separadas dentro de una clasificación mayor de las Information Operations también reconoce que existen importantes áreas de interdependencia. Existen situaciones en las que se necesitan conocimientos o técnicas de ambas de forma conjunta.

En la actualidad toda una serie de sistemas informáticos críticos tanto civiles como militares que hacen uso del espectro electromagnético: Telefonía móvil y otras redes inalámbricas de voz y datos basados en IP, sistemas SCADA que hacen uso de comunicaciones por radio, sin olvidar los sistemas de navegación y control aéreo, marítimo y terrestre.  Todos ellos pueden ser atacados de forma puramente electrónica o informática, pero también de forma hibrida combinando aspectos de ambas áreas. Igualmente los sistemas que anteriormente eran el objetivo habitual de la guerra electrónica cada vez se encuentran mas interconectados mediante redes informáticas.
Por ello los practicantes de cada  una de estas disciplinas EW/ciber deberá tener un conocimiento de las capacidades del otro para poder integrarlas en su campo de trabajo.

Tendencias

Si estamos atentos a los últimos desarrollos en el mundo de la seguridad informática cada vez es más fácil disponer de herramientas y atacar sistemas que tradicionalmente se hubieran considerado guerra electrónica.  Quizá el ámbito más importante sea la aparición de los sistemas SDR (radio definida por software) de bajo costo accesible de forma generalizada. Estos sistemas permiten detectar, analizar, interceptar y atacar todo tipo de sistemas basados en radiofrecuencia con el uso de hardware universal independiente del protocolo específico. Es algo que trate hace un tiempo en SDR: La ultima herramienta en el arsenal del hacker. Y es que en este momento está al alcance de cualquier persona  tratar digitalmente varios MHz del espectro comprendido entre 50-2200 MHz con hardware que cuesta apenas una docena de euros y herramientas de software libre.  Algo que hace no tanto tiempo solo era posible con equipos de guerra electrónica equivalentes que costarían cientos de miles de euros.

Resumen Ciberdefensa 2013

 

El 2013 se acaba, como es habitual en estas fechas todos los medios especializados de diferentes temáticas que sea se lanzan a elaborar el resumen del año. Nosotros no hemos querido ser menos y en esta entrada intentaremos sintetizar los hechos mas relevantes en el mundo de la Ciberdefensa. 

Nivel Internacional

Podríamos llamar al 2013 como el año en que conocimos cómo funcionaban realmente las amenazas persistentes avanzadas y las provenientes de actores de nivel estatal.

En febrero de 2013, Mandiant publicó el informe "APT1: Exposing One of China's Cyber Espionage Units" argumentando que las actividades de la unidad 61.398 del Ejército de Liberación Popular de China se correspondían con las del grupo conocido como APT1. APT1 es un término utilizado por Mandiant para designar un grupo de personas que son responsables de un conjunto particular de las amenazas persistentes avanzadas. Por primera vez se ponía nombre y apellidos a la presunción de que el gobierno chino estaba detrás de diversas campañas de espionaje a través de Internet.

 

Cuando todas las miradas acusadoras apuntaban a China  apareció  Edward Joseph Snowden.  Contratista  tecnológico estadounidense, antiguo empleado de la Agencia Central de Inteligencia (CIA) y de la Agencia de Seguridad Nacional (NSA).  En junio de 2013, Snowden hizo públicos, a través de los periódicos The Guardian y The Washington Post, documentos clasificados como alto secreto sobre varios programas de la NSA, incluyendo el programa de vigilancia PRISM con la colaboración de redes sociales, la interceptación masiva de los backbones de fibra óptica que componen internet entre otros. Durante el año se fueron sucediendo nuevas relevaciones tanto de detalles técnicos de operaciones de la NSA como de las implicaciones políticas de las mismas.

A pesar de haber transcurrido ya algún tiempo desde su descubrimiento el malware Stuxnet siguió dando de qué hablar. El Final report (Análisis final) de Langner sobre  Stuxnet viene con varias sorpresas que requieren una re-evaluación de la operación “Olympic Games”. El informe, que resume tres años de investigación y que incluye imágenes de material de archivo de la planta de Natanz, viene con un completo análisis de una versión previa del ataque de Stuxnet contra los controladores Siemens S7-417. Explica el sistema de protección usado en la cascada de centrifugadoras  y pone los dos ataques en el contexto, para llegar a conclusiones sobre el cambio de prioridades durante la operación.

Durante el año se detectaron diversas campañas de ataques mediante malware dirigido que podrían tener un origen gubernamental por el tipo de objetivo pero  sigue sin conocerse realmente quien esta detrás de estos incidentes.  Entre otros Miniduke, NetTraveler (también conocido como  “NetFile”) y TeamSpy.

La compleja Guerra Civil Siria siguió teniendo su reflejo en internet. Los diversos bandos y facciones hicieron uso propagandístico de la red. Siendo el mas destacado el autodenominado ‘Syrian Electronic Army’ (formado por partidarios del presidente Bashar-al-Assad).  En abril, se atribuyeron la responsabilidad por hackear la cuenta de Twitter de la Associated Press emitiendo la falsa noticia de explosiones en la Casa Blanca - que arrastro momentáneamente el índice DOW JONES. En julio, el grupo comprometido las cuentas de Gmail de tres empleados de la Casa Blanca y de la cuenta de Twitter de Thomson-Reuters.

El año 2013 en España

La principal noticia fue el anuncio de creación en febrero de 2013 del Mando Conjunto de Ciberdefensa (MCCD). Esta unidad militar  declaro alcanzada la Capacidad Operativa Inicial (IOC) del Mando Conjunto de Ciberdefensa (MCCD) el viernes 27 de septiembre. La IOC supone dispone ya de una sede, de personal para trabajar y de los medios técnicos para hacerlo.

En diciembre el Consejo de Seguridad Nacional presidido por el presidente del Gobierno, Mariano Rajoy aprueba la Estrategia de Ciberseguridad Nacional (ECN). La ECN se convierte en la guía de principios base de Ciberseguridad en nuestro país como el liderazgo nacional y la coordinación de esfuerzos; la responsabilidad compartida; la proporcionalidad, racionalidad y eficacia; y la cooperación internacional.

Previsiones para el año 2014

Para el próximo año seguro que muchos de estos hitos continuaran siendo de actualidad. Es de suponer que el goteo de revelaciones de Snowden continúe o que aparezcan nuevos casos de ataques de nivel gubernamental. En el ámbito español queda por ver como se articula la ECN en diversos retos como la colaboración entre las diversas entidades con responsabilidades en seguridad informática desde el citado MCCD, los CERT estatales y autonomicos a unidades de ciber delitos de las FCSE. Y a su vez de estos con las empresas y la actividad de I+D en el sector privado nacional.

¿Qué podemos aprender de la NSA?

Desde el inicio de las filtraciones de Edward Snowden se han venido sucediendo una serie de revelaciones de operaciones de la NSA , en este articulo dejaremos a un lado las implicaciones políticas y sociales. Lo que intentaremos es analizar que podemos aprender desde el punto de vista técnico, a partir de los datos conocidos hasta el momento, tanto en la vertiente de la ciberdefensa como de las operaciones ofensivas en redes de ordenadores.

Para buena parte de expertos mucho de lo que se ha divulgado no ha sido realmente una sorpresa. Como vino a twittear un reconocido experto en seguridad: “la NSA ha conseguido que me encuentre indignado pero no sorprendido”.  Y es que ciertamente la historia  de Snowden nos trae ecos del espionaje indiscriminado de ciudadanos norteamericanos conocido a través de la comisión de investigación Church o de las “revelaciones” de espionaje a las comunicaciones diplomáticas de otros países que hizo publicas Herbert O. Yardley en “The American Black Chamber”.

Si bien las filtraciones han omitido intencionalmente buena parte de los detalles técnicos y operativos de las acciones de espionaje al menos han abierto una brecha en la que atisbar las técnicas utilizadas.

Hasta el momento de las filtraciones lo que venía en llamarse ataques APT, aquellos organizados y patrocinados por naciones-estado solían tener como punto en común el uso de malware diseñado exprofeso. No es por eso de extrañar que la mayor parte de la información sobre estos ataques disponible abiertamente venia el análisis realizado por empresas antivirus. Los iconos de estos ataques serian casos conocidos como Stuxnet  o especialmente los atribuidos a la inteligencia china como la Operación Aurora o APT1. La mayoría de estos ataques, responden a un patrón definido: compromiso previo de estaciones de trabajo de usuarios mediante ataques tipo Spear-phishing o Watering-hole,  profundización con el acceso obtenido en la red hasta llegar la información confidencial que se pretende sustraer y posterior exfiltración de la misma.

En los últimos años APT se convirtió en el término de moda en la industria de seguridad informática, centrándose en el tipo de ataque indicado. Olvidando que el verdadero significado de APT  (amenaza avanzada y persistente) hace referencia a la determinación y medios del oponente más que al uso de una técnica concreta.

Sin embargo si echamos un vistazo a los métodos empleadas tanto históricamente como a las reveladas en las filtraciones observamos que si bien el arsenal de la NSA incluye el malware dirigido también hace uso de una amplia variedad de técnicas, tanto del espionaje electrónico clásico como del derivado del mundo ciber.

Entre las técnicas que parecen confirmarse o descubrirse de las revelaciones están: la interceptación de comunicaciones por satélite (FORNSAT), el aprovechamiento de emisiones electromagnéticas no intencionadas de dispositivos (VAGRANT, OCEAN, DROPMIRE), compromiso físico de dispositivos de almacenamiento para realizar copias del contenido de los mismos (CUSTOMS, LIFESAVER), hacking de centralitas telefónicas tipo PBX, el acceso a los backbones de fibra óptica de internet (UPSTREAM), la colaboración de las principales redes sociales (PRISM), la implantación de todo tipo de puertas traseras en los objetivos tanto hardware como software diseñadas para obtener acceso a redes segregadas, incluso a redes consideradas  “air-gapped” .

Lo que nos dejar ver las últimas revelaciones de la NSA es que esta organización hace uso de todos los posibles vectores de ataque a su alcance. En palabras de Hallam-Baker “NSA when confronted with A and B choices, select both.”

¿Qué consecuencias tiene todo esto para  aquellos que se pueden enfrentar a una amenaza gubernamental de la entidad de la NSA? ¿Qué lecciones deben aprender  el personal dedicado a las tareas de protección de redes y sistemas críticos nacionales? Quizá la más importante es que no se debe centrar la defensa ante un único escenario. Ciertamente el malware dirigido seguirá siendo  una de las más importantes amenazas, pero en ningún caso se debe infravalorar el hacking “clásico”, el compromiso de los sistemas de comunicaciones, la seguridad física y operativa.

Desde el punto de ciberdefensa a nivel estratégico nos recuerda que la independencia tecnológica nacional (particularmente en comunicaciones, criptografía o ciberdefensa) no es algo solo deseable si no que se trata de un imperativo.Dicho en otras palabras: en la ciberguerra existen los países aliados pero no los países amigos.

Por otro lado aquellos dedicados a la informática ofensiva deben extraer la siguiente conclusión: enfrentados a un objetivo difícil de penetrar es extremadamente importante disponer de la mayor cantidad de técnicas, medios y vectores de ataque disponible. Cuanto más variadas sean  estas capacidades mayor es posibilidad de explotar aquellas que puedan estar expuestas en  la pequeña superficie de ataque que presente un objetivo "duro". Por ello tal como tratábamos de forma distendida en nuestra entrada Como debería ser un Tiger Team, el disponer de equipos verdaderamente multidisciplinares es una baza imprescindible en las ciber-operaciones ofensivas.