Para entender cómo los ciberdelincuentes provocan brechas de seguridad que afectan a empresas, la cadena de ataque es un buen punto de partida. Simplificándola en etapas, la recopilación de información, la escalada de privilegios y el movimiento lateral se sitúan en la parte intermedia de un ataque. Unos pasos que a menudo son territorio desconocido excepto para los profesionales de seguridad más especializados, lo que ha contribuido a que no se invierta lo suficiente en los controles necesarios.
Pero el ciberataque tiene que empezar por algún sitio. Principalmente, se consigue a través del phishing con diversas tácticas como el robo de credenciales de inicio de sesión de un usuario, inducir al usuario a instalar software malicioso o conceder al atacante el control de la cuenta, entre ellas. Se dedican muchos esfuerzos en herramientas, buenas prácticas y formación de seguridad para detener el ataque inicial y también al final de la cadena por las consecuencias negativas de casos de datos filtrados y sistemas encriptados.
Ahora bien, en el medio es donde el ciberdelincuente intenta pasar de la cuenta o el sistema comprometido a entornos más críticos donde se almacenan los datos que merece la pena filtrar o rescatar. La parte media de la cadena de ataque se compone de tres etapas:
- Recopilación de información, que incluye el escaneado y la enumeración de la red.
- Escalada de privilegios, donde los atacantes van tras identidades con los privilegios más altos en el sistema o escalan los privilegios de la cuenta controlada ese momento.
- Movimiento lateral, saltando de un host a otro de camino a la “joya de la corona” de los sistemas de TI.
Estas etapas intermedias son silenciosas a diferencia de los ataques iniciales de phishing o los de ransomware, además de que ha habido poca cobertura sobre cómo se producen estos pasos, pero a continuación nos centraremos en una herramienta usada por los ciberdelincuentes en cada una de las etapas para entender mejor su modus operandi.
las etapas intermedias de un ataque son silenciosas
El primer paso supone recopilar información específica y en profundidad sobre la red objetivo visible desde el endpoint comprometido por el atacante. Este trata de llegar desde la máquina o cuenta vulnerada inicialmente, con poco valor inmediato, a un sistema crítico con datos o procesos de negocio que puedan generar beneficio algún día. Una vez aterrizado, el ciberdelincuente necesita echar un vistazo para ver qué hay y adónde quiere ir a continuación.
Nmap o Network Mapper ayuda a hacer precisamente eso. Es una herramienta de pruebas de penetración de código abierto ejecutable en Windows, Linux o Mac que escanea e identifica los puertos abiertos en los sistemas, lo que permite al atacante ver los servicios que se están ejecutando a su alrededor, otros hosts o endpoints en la red y qué sistemas están disponibles para interacciones scriptables, entre otras cosas. Nmap no se considera malware, por lo que no es necesariamente un signo de actividad maliciosa, siendo así difícil de detectar.
En cuanto a la escalada de privilegios, los atacantes recurren a la herramienta Mimikatz que automatiza la recuperación de credenciales de endpoints que ejecutan Windows. Posee una alta eficacia en volcado de credenciales, ejecución de ataques en los que autenticarse o tener acceso a un dominio de Windows sin contraseña y evitando los procesos habituales. Cuando el ciberdelincuente ha escalado sus privilegios, puede obtener mayor control y acceso dentro de la empresa objetivo, plantar malware, lanzar campañas internas de phishing, explotar vulnerabilidades de software, hacer reconocimientos para futuros ataques, escalar aún más sus privilegios para llegar a niveles aún más altos de acceso o derechos administrativos, y moverse lateralmente en la red para llegar a un host aún más interesante. Como sucedía con Nmap, Mimikatz no es un malware intrínseco, de ahí que muchas empresas prohíben e intenten detectar su uso dentro de su red.
Llegar al final de la cadena de ataque mediante un movimiento lateral es relativamente eficaz con troyanos de acceso remoto. La desventaja es que son herramientas obviamente maliciosas y, por tanto, sencillas de localizar y bloquear por los sistemas de seguridad. En cambio, el protocolo Escritorio remoto de Microsoft (RDP), instalado en prácticamente todas las máquinas Windows que podrían ser objetivo del atacante, está pensado para que los administradores de TI lleven a cabo la administración remota de los clientes y servidores Windows. Los atacantes pueden abusar de este protocolo para moverse lateralmente después de haber obtenido acceso inicial. Al estar de forma omnipresente en Windows y parecer una herramienta legítima complica la supervisión de la seguridad.
Algunos sistemas de seguridad graduales pueden afrontar el reto de defender contra la escalada de privilegios y el movimiento lateral. Sin embargo, hasta hace poco no se había diseñado ninguna herramienta específica con estos fines, pero, por fortuna, se cuenta actualmente con sistemas de detección y respuesta a amenazas de identidad con la misión de defender el abstracto centro de la cadena de ataque.
Manuela Muñoz, Named Account Manager de Proofpoint
