Las 5 herramientas de hacking más utilizadas, y cómo defenderte

El Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido ha publicado una lista de las herramientas y técnicas de hacking más utilizadas y de acceso público, en un informe conjunto con sus socios de inteligencia “Five Eyes”: Australia, Canadá, Nueva Zelanda y los Estados Unidos.

 

El objetivo explícito de la publicación es ayudar al trabajo de los defensores de redes y administradores de sistemas. El informe también proporciona consejos para limitar la efectividad de estas herramientas y detectar su uso en una red.

 

El informe abarca cinco categorías: troyanos de acceso remoto (RAT), shells web, ladrones de credenciales, frameworks de movimiento lateral y ofuscadores C2. Este se centra en JBiFrost, China Chopper, Mimikatz, PowerShell Empire y HTran.

 

Reiterando la necesidad de higiene de seguridad básica, el informe enfatiza que los compromisos iniciales de los sistemas víctimas usualmente aprovechan las debilidades comunes de seguridad como las vulnerabilidades de software y de software sin parches: “Las herramientas detalladas aquí entran en juego una vez que se logra un compromiso, permitiendo a los atacantes lograr sus objetivos dentro de los sistemas de la víctima”.

 

RAT JBiFrost

Los RAT permiten el control administrativo a distancia. Se pueden usar para instalar puertas traseras y keyloggers, tomar capturas de pantalla y exfiltrar datos.

 

Si bien hay una amplia gama de RAT en circulación, JBiFrost se usa cada vez más en ataques dirigidos contra propietarios de infraestructura nacional críticas y sus operadores de cadena de suministro, dijo el NCSC.

 

“JBiFrost RAT está basado en Java, multiplataforma y multifuncional. Representa una amenaza para varios sistemas operativos diferentes, incluidos Windows, Linux, MAC OS X y Android. JBiFrost permite a los actores girar y moverse lateralmente a través de una red, o instalar software malicioso adicional. Se propaga principalmente a través de correos electrónicos como un archivo adjunto”.

 

Los signos de infección incluyen:

  • Incapacidad para reiniciar la computadora en modo seguro
  • Incapacidad para abrir el editor de registro de Windows o la gestión de tareas
  • Aumento significativo en la actividad del disco y/o tráfico de red.
  • Intentos de conexión a direcciones IP maliciosas conocidas
  • Creación de nuevos archivos y directorios con nombres ofuscados o aleatorios.

 

Parchar y actualizar junto con el uso de un programa antivirus moderno, detienen la mayoría de las variantes, dijo el NCSC, y agregó que las organizaciones deberían poder recopilar detecciones de antivirus de manera centralizada en todo su patrimonio. La conciencia de phishing también es crucial.

 

China Chopper

Los shells web son scripts maliciosos que se cargan en un host de destino después de un compromiso inicial. Luego se pueden usar para pivotar a otros hosts dentro de una red. China Chopper, que tiene solo 4kb de tamaño, es un shell web ampliamente utilizado.

 

Una vez que una máquina está comprometida, China Chopper puede usar la herramienta de recuperación de archivos ‘wget’ para descargar archivos de Internet al destino, y editar, eliminar, copiar, cambiar el nombre y cambiar la marca de tiempo de los archivos existentes.

 

“La forma más efectiva de detectar y mitigar a China Chopper es en el propio host, específicamente en servidores web públicos. Hay formas sencillas de buscar la presencia del shell web mediante la línea de comandos en los sistemas operativos basados ​​en Linux y Windows”.

 

Para detectar los shells web de manera más amplia, los defensores de la red deberían concentrarse en detectar la ejecución de procesos sospechosos en los servidores web (por ejemplo, los procesos de generación de binarios PHP) o las conexiones de red salientes fuera de patrón de los servidores web, enfatiza el informe.

 

Mimikatz

Mimikatz, desarrollado en 2007 por el programador francés Benjamin Delpy, recopila las credenciales de los usuarios registrados en una máquina Windows con un proceso de Windows denominado Servicio de subsistema de autoridad de seguridad local (LSASS).

 

Un usuario puede escalar privilegios dentro de un dominio y realizar una amplia gama de tareas posteriores a la explotación.

 

(En mayo, una gran cantidad de actualizaciones de seguridad en la versión 1803 de Windows 10 finalmente hizo posible bloquear el robo de credenciales de LSASS.exe).

 

La herramienta es potente, versátil y de código abierto, por lo que los usuarios malintencionados y los pentester pueden desarrollar complementos personalizados. Su uso está muy extendido por diversos actores.

 

Para empezar, los defensores deben deshabilitar el almacenamiento de contraseñas de texto sin cifrar en la memoria LSASS. Este es el comportamiento predeterminado para Windows 8.1/Server 2012 R2 y versiones posteriores, pero se puede especificar en sistemas más antiguos que tienen instalados los parches de seguridad relevantes.

 

 “Dondequiera que se detecte Mimikatz, debes realizar una investigación rigurosa, ya que casi con toda seguridad indica que un actor está presente activamente en la red, en lugar de un proceso automatizado en el trabajo. Varias características de Mimikatz dependen de la explotación de las cuentas de administrador. Por lo tanto, debes asegurarte de que las cuentas de administrador se emitan solo según sea necesario. Donde se requiere acceso administrativo, debes aplicar los principios de administración de acceso de privilegios”..

 

PowerShell Empire

El framework PowerShell Empire (Empire) se diseñó como una herramienta de prueba de penetración legítima en 2015.

 

Permite la explotación continua una vez que un atacante ha obtenido acceso a un sistema. La herramienta proporciona a un atacante la capacidad de escalar privilegios, cosechar credenciales, exfiltrar información y moverse lateralmente a través de una red.

 

(Herramientas similares incluyen Cobalt Strike y Metasploit).

Debido a que se basa en una aplicación legítima común (PowerShell) y puede funcionar casi por completo en la memoria, Empire puede ser difícil de detectar en una red con las herramientas antivirus tradicionales. Se ha vuelto cada vez más popular entre los actores estatales hostiles y los delincuentes organizados, dijo el NCSC.

 

Un ejemplo reciente incluye su uso después de que el actor hostil APT19 se enfocara en una firma de abogados multinacional con una campaña de phishing dirigida. APT19 utilizó macros ocultas de PowerShell incrustadas en documentos de Word generados por PowerShell Empire.

 

“Para identificar los scripts potencialmente maliciosos, la actividad de PowerShell debe registrarse de manera integral. Esto debería incluir el registro de bloque de secuencias de comandos y las transcripciones de PowerShell. Una combinación de firma de código de secuencia de comandos, listas blancas de aplicaciones y modo de lenguaje restringido evitarán o limitarán el efecto de PowerShell malintencionado en caso de una intrusión exitosa”, dijo el NCSC.

 

HTran 

Los atacantes a menudo buscan disimular su ubicación cuando comprometen un objetivo. Pueden usar TOR, o herramientas de proxy como HUC Packet Transmitter (HTran), que se utiliza para interceptar y redirigir las conexiones TCP del host local a un host remoto. La herramienta ha estado disponible gratuitamente en Internet desde al menos 2009 y se ha observado regularmente en compromisos tanto de los objetivos del gobierno como de la industria.

 

Para usarlo, los atacantes necesitan acceso a una máquina explotada, por lo que todos los conceptos básicos de control de acceso y parches de seguridad que se describen a continuación. Se aplican las herramientas de hacking anteriores. El monitoreo y los firewalls de red modernos, debidamente configurados y escrutados también pueden detectar conexiones no autorizadas de herramientas como HTran.

 

“HTran también incluye una condición de depuración que es útil para los defensores de la red. En el caso de que un destino no esté disponible, HTran genera un mensaje de error con el siguiente formato: sprint (buffer, “[SERVER]connection to %s:%d error\r\n”, host, port2); Este mensaje de error se transmite al cliente de conexión en claro. Los defensores pueden monitorear este mensaje de error para detectar potencialmente instancias de HTran activas en sus entornos”, señala el NCSC.

El fundador de Intruder Chris Wallis dijo a Computer Business Review: “Este es un excelente informe del NCSC, que destaca cómo los atacantes en general utilizan los métodos más fáciles para comprometer a sus víctimas, y cómo estas herramientas se vuelven cada vez más disponibles, reduciendo constantemente el estándar. -Son atacantes “.

 

Añadió: “Si bien el enfoque aquí está en cómo reprimirlos después de que hayan ingresado, lo que es más útil para las empresas con experiencia cibernética interna, la mayoría de las empresas confían en sus gerentes de TI para mantenerlos seguros”.

 

“Gran parte de los consejos son también la higiene cibernética básica, y simplemente seleccionar los aspectos básicos, como asegurarse de que el antivirus esté instalado y actualizado, y asegurarse de que los sistemas de acceso a Internet estén siendo monitoreados de forma proactiva para detectar posibles puntos débiles puede ayudar a las empresas a avanzar”.

 

 

 

 

Fuente: miltipsinformáticos

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.