Análisis y predicción de estrategias y tácticas para la creación de malware inteligente avanzado defensivo

El malware inteligente avanzado, como ciberarma que es, puede ser ofensivo (malo, insidioso, perverso, que engañe con falsa bandera, letal, por ejemplo, Stuxnet, Duqu, Wiper, Flame, Equation Group, TorrentLocker, Gauss, Careto/The Mask, BlackEnergy, ISFB, EvilBunny, Taylor, XAgent, EternalPetya, Ghost-RAT, EternalRocks, Dropshot, Goedel, Shamoon, Chernobyl, DarkHote, ExPetr/NotPetya, Zeus, TeslaCrypt, Lagrange, Great Cannon, Mirai, Locky, CryptoWall, etc.) o defensivo (bueno, de protección antagónico al ofensivo).

El malware inteligente avanzado defensivo (ciberataca y neutraliza al malware ofensivo) está totalmente automatizado, es proactivo, con capacidades intuitivas y utiliza playbooks (donde se recogen todas las combinaciones posibles de las ‘TTPs/jugadas/actuaciones/planes de acción’ tanto conocidas como obtenidas por predicción con IA/AID, del malware ofensivo y si surgen imprevistos se infieren sobre la marcha comportamientos y conductas de neutralización utilizando IA/AID. Los playbooks sirven para actuar de forma automática sin planificar lo evidente a la hora de una ciber-defensa malware rápida y eficaz).

El malware defensivo es completamente autónomo (posee autocontrol) pero puede, en su caso, dinámicamente, controlarse de forma remota (a corta, media o larga distancia por motivos como ganancia de funciones, tareas colaborativas, etc. utilizando módulos con motores de IA, personas, redes de bots cooperativos, etc.). El malware defensivo utiliza AID (Análisis de la Inteligencia de Datos) (con BigData y Data Analytics. Permite adivinar, predecir, prevenir, anticiparse al malware ofensivo, cruzando todo tipo de variables, incluso las que parecen sin importancia), IA (inteligencia artificial) centralizada, distribuida y redundante y en todas sus modalidades (redes neuronales profundas y convolucionales, d-machine-learning, d-deep-learnig, NLP, sistemas expertos, motores de inferencia y predicción, inteligencia de movimientos, inteligencia de vulnerabilidades, etc.).

El malware defensivo aplica el enfoque ZT (Zero Trust) cuyos pilares son:

(i) En ZT no se debe confiar en nada ni en nadie. Lo único es verificar por completo antes de actuar.

(ii) Todas las comunicaciones se deben hacer seguras tanto internas como externas e independientemente de la localización de red. Utilizando cifrado robusto anidado/múltiple o post-cuántico, esteganografía, firma digital, hash, canales subliminares, tecnología OT, etc.

(iii) El acceso a los recursos se debe proporcionar en base al riesgo dinámico (que debe incluir el estado observable de la identidad de la entidad/usuario, aplicación/APP y el activo que pide y puede incluir otros atributos de comportamiento).

(iv) Todas las fuentes de datos y servicios de computación se consideran ‘recursos’.

(v) Todos los dispositivos deberían estar en el estado de protección de ciberseguridad máximo y para ello se debería monitorizar. Se debe asegurar que todos los dispositivos (propios y asociados) se encuentren en el mayor estado de protección de ciberseguridad y se debe monitorizar los activos para asegurar que permanezcan en el máximo estado posible.

(vi) Toda la autenticación (multi-factor (MFA), mutua, ZK, etc.) y autorización de recursos (la autorización asigna niveles de privilegios, es decir, qué operaciones puede realizar cada entidad/usuario, sobre cada recurso) debe ser dinámica y se debe aplicar estrictamente antes de conceder el acceso.

(vii) Todos los accesos a los recursos individuales se deben conceder/proporcionar ‘por-sesión’ (nada de dejar abiertas las sesiones. Recordar: ‘la comodidad y la confianza son vulnerabilidades’).

(viii) Se debe recoger tanta información como sea posible sobre el estado actual de la infraestructura de red y comunicaciones (uso de registros, logs, etc.) para mejorar sus actuaciones de protección en ciberseguridad. El malware defensivo se alimenta de todas las combinaciones de estrategias, tácticas, técnicas, subtécnicas, procedimientos, etc., utilizadas por el malware ofensivo (incluso el heurístico) conocidas e inferidas, pero mejorándolas y aplicando un mayor nivel de madurez y calidad. El malware ofensivo para poder realizar sus operaciones/acciones maliciosas, perversas, etc., se oculta.

El malware defensivo para realizar sus actividades/tareas de neutralización (como inactivación, bloqueo, esterilización, anulación, mitigación, reparación retrospectiva, borrado, inhabilitación, etc. contra el malware ofensivo) también se oculta y realiza trayectorias inteligentes y movimientos erráticos a muy alta velocidad para ‘ganar cada jugada’ y bloquear intentos de acciones/infección/intrusión, evitar ser detectado, neutralizar operaciones maliciosas, inactivar acciones hostiles, anular actividades perversas, etc. realizadas por el malware ofensivo enemigo.

Actualmente existe un elevadísimo número de vulnerabilidades (N-day, K-hours) y se desconoce el número de vulnerabilidades (0-day, 0-hours, 0-minutes). Además esta cifra crece cada vez más de forma desmesurada en nuestro mundo progresivamente más conectado (vía WBAN/Wireless-Body-Area-Network, WPAN/Wireless-Personal-Area-Network, WLAN/ Wireless-Local-Area-Network, WMAN/Wireless-Metropolitan-Area-Network, WWAN/Wireless-Wide-Area-Network, etc. incluso de forma satelital), donde proliferan más y más objetos (IoT, IIoT, IoMT/Internet-of-Medical-Things, AIoT, etc.), más digital, más basado y definido por software-firmware (SDR/Software-Defined-Radio, SDN/Software-Defined-Networking, SBL/Software-Based-Lock, etc.), cada vez con mayor número de nubes de todo tipo (edge, fog, cloud-computing, públicas, privadas, fijas, móviles, etc.), con toda clase de tecnologías en todos los entornos OT/IT (PLC, CPS, SCADA, HMI, ICS, sensores, actuadores, BDs, ERP, CRM, IA, VR, etc.) y donde los datos son uno de los recursos más preciados.

El malware (durante su ciclo de vida para realizar sus operaciones, acciones, actividades, etc.) utiliza vulnerabilidades (que son, en esencia: fallos, debilidades, errores, deficiencias, bugs, flaws, imprecisiones, confianzas, ignorancias, etc.) como:

(1) Mala calidad del código del cliente. Estas vulnerabilidades se deben a errores, bugs, flaws, etc. en la codificación (debido a una carencia de auditoría y análisis tanto estático como dinámico). Ningún código es perfecto y el malware encuentra dichos errores y los explota con sigilo, para ganar acceso a los sistemas, redes, dispositivos, objetos IoT, etc. Ejemplos de estas vulnerabilidades son los buffer-overflows, las race-conditions, las fugas-filtraciones de memoria, espionaje e intercambio de información entre máquinas virtuales aisladas, etc. El buffer-overflow puede permitir al malware ganar el control, sobre todo, potencialmente conduce al robo de datos privados e incluso al control del propio dispositivo, sistema, red, etc.

(2) Alteración del código. Se trata de cualquier modificación que el malware puede realizar en el código de la APP/API. Existe una gran variedad de formas de hacer esto, por ejemplo, hooking de métodos y clases, hooking dinámico, patching, etc. El malware puede utilizar la modificación del código para obtener acceso a características premium, violación del copyright y saltarse por completo el modelo de distribución existente para la APP. Lo que incluso es aún más importante es que el malware puede añadir más código malicioso a la APP vía cambios directos en los binarios o recursos. La APP modificada se distribuye utilizando plataformas de distribución autorizadas (GooglePlay, AppStore, etc.) y de terceras partes.

(3) Ingeniería inversa. El malware utiliza esta técnica para obtener la información necesaria para explotar vulnerabilidades de seguridad y descifrar datos. La información sobre algoritmos de cifrado utilizados, así como los trabajos generales de un servidor de back-end son particularmente críticos de proteger. Puede ser obvio, pero cada APP es susceptible de ingeniería inversa.

(4) Funcionalidades extrañas. Estas vulnerabilidades surgen cuando los desarrolladores no eliminan características adicionales creadas durante el proceso de desarrollo para hacer más fácil el test de la APP. Un ejemplo de dicha característica es una cuenta de desarrollador que permite saltarse completamente las comprobaciones de seguridad y proporciona un amplio conjunto de privilegios. Es esencialmente un tipo de puerta trasera (backdoor) que proporciona al malware un control completo sobre la APP. Estas vulnerabilidades son fáciles de explotar. Se trata de incluir código de test en la construcción de la APP.

(5) Almacenamiento inseguro de datos. Posibilita el robo y fuga de datos no intencionada (exfiltración de información) y violaciones de privacidad. El vector de ciber-ataque varía, desde APPs de terceras partes utilizando caché, cookies y otra información para recoger datos protegidos al objeto de poder de forma maliciosa ver información del dispositivo. Se necesita manipular el almacenamiento de datos, su autenticación, su cifrado, todas las características de la caché, etc.

(6) Comunicación no segura. Es una vulnerabilidad muy común, presente en la mayoría de APPs con estructura cliente-servidor. Se basa en no cifrar (con algoritmos robustos y bien implementados. Mejor utilizar algoritmos post-cuánticos o sino cifrado robusto, con varias capas usando diferentes algoritmos) los datos en movimiento lo cual conduce al robo de dichos datos. El no cifrar datos en tránsito, sin autenticación, posibilita que su APP se vea sujeto a ciber-ataques MITM (Man In The Middle), dichos ciberataques normalmente vienen de dispositivos de red como routers, un malware en su propio dispositivo o incluso un agente infectado separado compartiendo la misma red que la víctima. Como prevención cifrar (de forma anidada y con algoritmos profesionales) y autenticar/verificar los datos. Utilizar SSL/TLS y prohibir certificados autofirmados.

(7) Autenticación insegura. Engloba tanto la debilidad del procedimiento de autenticación como la manipulación de la sesión. Para APPs de móvil el malware utiliza técnicas a medida para saltarse por completo la APP del lado del cliente y enviar una petición directamente al servidor. Los esquemas de autenticación para APPs de móvil normalmente son mucho más débiles que para APPs Web. Puesto que la mayoría de APPs necesitarán operar offline, se proporciona al usuario una opción de autenticación offline que puede ser explotada. Esto permite al malware obtener el control total del sistema. Los malware pueden de forma anónima borrar o robar datos o emitir comandos a la APP o al servidor. Como prevención utilizar autenticación robusta (mutua, multi-factor, ZK) online siempre que sea posible mientras se procesan todas las peticiones de autenticación del lado del servidor. También es una buena práctica reforzar la autenticación del lado del servidor y realizar comprobaciones de integridad locales que detectan cualquier tipo de cambios no autorizados de código.

(8) Autorización no segura. Se trata de las vulnerabilidades del lado del servidor vinculadas con el procedimiento de autorización (que proporciona los privilegios sobre las operaciones que se puede hacer a cada recurso cada entidad/usuario). Como prevención asegurarse que los derechos del usuario sean comprobados siempre por el lado del servidor. Evitar confiar información alguna sobre el nivel de permisos que la aplicación le da a usted, ya que puede estar comprometida. También debería verificar cualquier petición de un cliente independientemente del lado del servidor asegurándose que dichas peticiones pertenecen a un usuario autorizado.

(9) Uso incorrecto de plataformas móviles (APPs en smartphones, tablets, etc.). Proporcionan un conjunto de características que los desarrolladores pueden acceder. Sin embargo, el uso incorrecto de dichas características puede dejar su APP expuesta a ciberataques malware. El vector de ciberataque más común es cualquier API expuesta.

(10) Criptografía débil, deficiente, insuficiente. Permite al malware obtener información descifrada de un dispositivo móvil (smartphone, tablet, objeto IoT, etc.). Dependiendo de la APP puede verse comprometida información muy sensible, crítica y personal. El uso incorrecto del cifrado es muy común en APPs de móvil. Pueden explotarse las vulnerabilidades de algoritmos de cifrado débiles (y de procedimientos deficientes de gestión de claves), así como de procedimientos de cifrado/descifrado con errores, mala implementación, etc. Como prevención cifrar de forma múltiple con diversos algoritmos de cifrado robustos o mejor usar algoritmos postcuánticos.

Una CKC (Cyber Kill Chain) está compuesta por las siguientes tácticas:

1. Reconocimiento del objetivo. Se exploran, los objetivos, analizando sus huellas digitales.
2. Armado. Se trasladan fuentes de compromiso.
3. Entrega. Se trata de inyectar elementos infecciosos.
4. Explotación. Se disparan mecanismos infecciosos.
5. Instalación. Se localizan componentes de ciberintrusión.
6. Command&Control. Se posibilita una comunicación bidireccional del malware con otros módulos y entornos.
7. Acciones sobre los objetivos. Son los resultados parciales a totales de la misión sobre los activos como: perturbar, destruir, desinformar, modificar, bloquear acceso, contaminar, matar, degradar reputación, etc.

El ciclo de vida de los ciber-ataques malware consta de las siguientes tácticas:

(1) Reconocimiento. Inicialmente el malware realiza algún tipo de sondeo o reconocimiento para ver lo que puede intentar hacer. Monitoriza foros de la Deep Web y de la Dark-Web e Internet. Los indicadores de que un malware está sondeando un objetivo son registrarse en los mismos dominios o escanear activamente la infraestructura víctima o terceras partes con las que trabaja el objetivo a ciber-atacar. Las evidencias de estas actividades permiten identificar que se debería preparar para un ciber-ataque malware y se debería disparar las alarmas internas o neutralización de las actividades maliciosas.

(2) Explotación inicial. Una vez que el malware ha identificado el objetivo a ciberatacar y entendido como puede manipularlo o explotarlo, pasa a esta segunda etapa. Frecuentemente empieza utilizando vectores como phishing a través de correos electrónicos, redes sociales, mensajería instantánea, etc. donde se engaña a las víctimas/usuarios a descargar-ejecutar malware, hacer clic en links, botones, iconos o visitar sitios infectados incluso se implica a terceras partes con los que se hace negocios. Así mismo, se usan exploits a vulnerabilidades (como Eternal-Blue) o técnicas como LotL (Living off the Land)). En este punto el usuario no será consciente de que ya está en estado ‘comprometido’.

(3) Establecimiento de posiciones. Una vez que el malware tiene posiciones en el objetivo a ciber-atacar utiliza una interfaz del sistema vulnerable, un desktop remoto, etc. Su siguiente etapa es establecer medios para C&C utilizando canales subliminares, esteganografía, RDP expuesta, acceso VPN, etc. El malware puede entrar al sistema como un usuario sin privilegios o asume la identidad de un usuario víctima no sospechosa.

(4) Escalado de privilegios. El entrar el malware al sistema como un usuario sin privilegios o con privilegios muy reducidos impide al malware acceso a lo que necesita para realizar su misión o permitirle identificar donde reside la información buscada. Para ganar el acceso necesario el malware puede arrancar en el sistema herramientas ‘dropping’ como ‘credential dumpers’ o ‘keyloggers’. Dichas herramientas modulares pueden manipular datos y recoger otras credenciales para ganar los privilegios necesitados para moverse lateralmente o realizar reconocimientos internos. A veces, el malware las disfraza como propietario del dominio o propietario del sistema de interés, por ejemplo, un servidor de base de datos (BD) para ganar confianza y obtener un paso para realizar su misión.

(5) Reconocimiento interno. El malware necesita obtener su comportamiento después de comprometer un sistema dentro de una organización objetivo incluso después de realizar un reconocimiento extensivo de la organización desde fuera. Normalmente el ‘infectado cero’ en una red comprometida tiene aún oportunidad de ciberatacar. El malware puede enviar spearphishing pero no puede anticiparse quién abrirá el correo y a que sistema tendrá acceso. Siguiendo un compromiso con éxito el malware necesita enumerar cuentas, sistemas y procesos de negocio/industriales para encontrar el mejor camino para el éxito de la misión.

(6) Movimientos laterales y pivotado. Una vez que el malware ha establecido que sistemas contienen los datos necesarios para llevar a cabo su misión, necesitará moverse lateralmente desde el sistema comprometido a otros de la red. El malware utilizará capacidades del sistema operativo para realizar movimientos laterales: RDP, SSH, SMB, phishing interno, etc. La identificación del movimiento lateral es un desafío debido a que muchos malware utilizan cuentas válidas y caminos que están abiertos para posibilitar las operaciones industriales o de negocio del día a día.

(7) Persistencia. El malware reconoce que necesita realizar una dinámica que puede accionar alarmas durante sus operaciones. Para disminuir la probabilidad de pérdida de acceso el malware desplegará medios adicionales de acceso como crear nuevas cuentas, desplegar backdoors, crear nuevas infraestructuras C&C, etc. El malware desea que todos sus medios de acceso sean ciber-resilentes (sobrevivan a re-arranques, cambios de red, modificaciones de configuración, medidas de defensa, etc.). La persistencia toma muchas formas como ASEPs (Auto-Sart-Execution Points) nativos a los sistemas operativos comunes para mantener el acceso a los sistemas comprometidos.

(8) Actuaciones maliciosas: destrucción, degradación, manipulación, trastornos, sabotajes, robos de datos, secuestros de información, dañar el medio ambiente y los seres vivos, etc. Esta etapa en principio final del ciclo de vida puede ser muy variada: robar datos, exfiltración de información (datos sensibles, contraseñas, tokens, claves privadas, de propiedad intelectual, inteligencia militar, registros financieros, PII, etc.), destruir o secuestrar datos (DoS, ransomware, etc.), extraer sigilosamente datos privados y pedir rescate, en caso negativo se publican dichos datos (doxware), sabotajes (accidentar vehículos, procesos de fabricación, operaciones financieras, etc.). El objetivo final del malware no siempre es claro, una vez robados los datos es difícil entender cómo puede hacer uso de ellos.

En esta etapa el malware ha identificado el objetivo y puede establecer una posición firme para futuras misiones. Una UKC (Unified Kill Chain) está compuesta por las siguientes tácticas:

1. Reconocimiento. Se identifican, investigan y seleccionan los objetivos utilizando el reconocimiento activo y pasivo.
2. Armado. Engloban las actividades preparatorias para establecer la infraestructura necesaria para el ciberataque.
3. Entrega. Integra las técnicas que permiten la transmisión de los objetos de armamento al entorno del objetivo.
4. Ingeniería social. Engloba las técnicas que permiten la manipulación de personas para que realicen acciones peligrosas, inseguras, etc.
5. Explotación. Engloba las técnicas que permiten explotar las vulnerabilidades en los sistemas que pueden, entre otros, dar lugar a la ejecución del código.
6. Persistencia. Engloba cualquier acceso, acción o cambio a un sistema que proporciona presencia persistente al malware en el sistema.
7. Evasión de defensas. Integra las técnicas para que el malware pueda específicamente evadirse de la detección y/o evitar otras defensas de ciberseguridad.
8. C&C (Command & Control). Engloba las técnicas que permiten al malware comunicarse con sistemas por él controlados dentro de una red objetivo. También permite recibir mejoras, ganancia de funciones y exfiltrar datos sensibles a sitios propiedad del malware.
9. Pivotado. Engloba las técnicas que posibilitan el tunelizado de tráfico a través de un sistema controlado o a otros sistemas que no son directamente accesibles.
10. Descubrimiento. Engloba las técnicas que permiten a un malware obtener conocimiento sobre un dispositivo, sistema y su entorno de red.
11. Escalado de privilegios. Integra las técnicas que proporcionan a un malware permisos más elevados sobre un dispositivo, sistema o red.
12. Ejecución. Engloba las técnicas que dan lugar a la ejecución de un código controlado por el malware sobre un dispositivo o sistema local o remoto.
13. Acceso a credenciales. Integra las técnicas que posibilitan el acceso o control sobre las credenciales de un dispositivo, sistema, servicio o dominio.
14. Movimiento lateral. Engloba las técnicas que permiten a un malware acceder y controlar horizontalmente otros dispositivos o sistemas remotos.
15. Recogida. Integra las técnicas utilizadas para identificar y recoger datos de una red/dispositivo/sistema objetivo antes de la exfiltración.
16. Exfiltración. Engloba las técnicas que permiten y/o ayudan a un malware a extraer datos de una red/dispositivo/sistema objetivo.
17. Impacto. Integra las técnicas que permiten a un malware manipular, interrumpir o destruir la red, sistema, dispositivo o datos del objetivo.
18. Objetivos. Los objetivos socio-técnicos de un ciberataque son planeados para llevar a cabo un objetivo estratégico. Así mismo pueden existir objetivos geopolíticos (de falsa bandera para guerras y ciberguerras, etc.), objetivos económicos (creando ciberpandemias, blackout/apagones de servicios como la luz, RRSS, etc.), objetivos de sumisión, intimidación, daño de reputación, contra la vida, medio ambiente, etc., de los objetivos.

La estrategia 3TU utilizada por el malware, está compuesta por las siguientes tácticas:

1. Penetrar. Integra el conjunto de técnicas que permiten al malware infectar un dispositivo. sistema, red (utilizando mecanismos de spreadind o propagación y de dropper o lanzamiento). Para ello utiliza un ciber-ataque dirigido como un pendrive USB infectado (caso de la ciber-arma Stuxnet), actualizar de forma maliciosa o mal gestionada una reunión en una agenda, actualizar con una ‘update infectada’ el software de un vehículo conectado, enviar un correo electrónico (spearphishing) con un adjunto infectado, convencer a utilizar códigos QR, sin saberlo le dirigen a un sitio infectado, etc.
2. Instalarse. Engloba las técnicas que permiten al malware encontrar silenciosamente el objetivo correcto, así mismo posibilita comunicarse (de forma subliminar) con un sistema C&C externo para recibir las instrucciones y actualizar su código (ganancia de funciones).
3. Actuar. Integra el conjunto de técnicas que permiten al malware transferir información confidencial al sistema C&C o cambiar datos, etc.
4. En caso de que se detecte el malware. Integra el conjunto de técnicas que permiten al malware poner semillas y desaparecer. Estas semillas, bien ocultas (en vida latente) harán reaparecer al malware (normalmente con ganancia de funciones) cierto tiempo después. Por tanto, nunca se fíe de poder utilizar con ciberseguridad dispositivos, sistemas, redes, objetos, etc. que hayan sido comprometidos en el pasado.

Las TTPs ATT&CK (Adversary Tactics and Techniques & Common Knowledge) utilizadas por el malware para sus ciber-ataques integran las siguientes tácticas:

(1) Reconocimiento. Integra las técnicas que permiten al malware recoger información que puede utilizar para las operaciones futuras.

(2) Desarrollo de recursos. Engloba las técnicas que posibilitan al malware establecer recursos que se pueden utilizar para soportar las operaciones.

(3) Acceso inicial. Engloba el conjunto de técnicas y vectores de infección utilizados por el malware para entrar y obtener una posición inicial dentro de la red, sistema, dispositivo, etc. El malware puede enviar spear-phishing a la víctima y obtener credenciales para AWS (Amazon Web Services). Otras técnicas utilizadas pueden ser drive-by-compromise, cuentas válidas, etc.

(4) Ejecución. Integra las técnicas que dan lugar a la ejecución del código malicioso en un sistema, dispositivo, red local o remoto.

(5) Persistencia. Engloba las técnicas que el malware utiliza para mantener sus posiciones. Es decir, para posibilitar cualquier acceso, acción o cambio de configuración a un sistema, dispositivo, red que proporciona al malware presencia persistente en dicho sistema, dispositivo, red. Se suelen utilizar credenciales robadas para crear una cuenta nueva.

(6) Escalado de privilegios. Integra las técnicas que generan las acciones que permiten a un malware obtener niveles más altos de permisos y autorizaciones en un sistema, dispositivo, red. Puede emplear una cuenta válida para cambiar permisos de acceso.

(7) Evasión de defensas. Integra las técnicas que el malware usa para evadir la detección o evitar otras defensas. Puede crear una nueva instancia de máquina virtual para saltarse las reglas del firewall.

(8) Acceso a las credenciales. Engloba las técnicas que permiten al malware robar nombres de cuentas, contraseñas, tokens, claves privadas u otros secretos que le permiten el acceso a los recursos. Es decir, integra las técnicas que permiten el acceso o control del sistema, dominio o servicio que se utiliza dentro del entorno donde se intenta ciber-atacar (por ejemplo, acceso por fuerza bruta, robo de cookies de sesión Web, robo de token de acceso a aplicación, credenciales no seguras, etc.). Puede robar token de acceso a una base de datos.

(9) Descubrimiento. Integra las técnicas que permiten al malware entender su entorno y obtener conocimiento del sistema, dispositivo y red interna. Por ejemplo, se puede localizar la base de datos objetivo.

(10) Movimiento lateral. Consta de las técnicas que permiten al malware moverse a través de su entorno, acceder y controlar sistemas remotos en la red y las nubes (edge, fog, cloud con containers o hipervisores). Por ejemplo, se puede utilizar un token de acceso a la aplicación para acceder a una base de datos.

(11) Recogida. Engloba las técnicas utilizadas para recoger e identificar datos de interés e información (como ficheros sensibles de un sistema, dispositivo, red objetivo antes de la exfiltración) para sus objetivos. Por ejemplo, se puede minar información de una base de datos.

(12) Exfiltración. Integra las técnicas y atributos que permiten o ayudan al malware a robar/extraer ficheros, datos/metadatos e información de un sistema, dispositivo, red objetivo. Puede exfiltrar a la cuenta del malware en AWS.

(13) C&C (Command & Control). Integra las técnicas utilizadas por el malware para comunicarse con dispositivo y sistemas comprometidos para controlarlos dentro de una red, dispositivo o sistema objetivo. También le permite ganancia de funciones y entregar datos robados.

(14) Impacto. Integra las técnicas cuya finalidad primaria es ciber-atacar la disponibilidad, integridad, autenticación, confidencialidad, no repudio, etc. En esta táctica el malware trata de manipular, interrumpir o destruir los dispositivos, sistemas y datos. Pueden representar uno de los objetivos últimos del malware.

Algunas tácticas incluidas en esta táctica global son:

• Degradación (objetivo reducir la efectividad y eficiencia de sistemas OT y IT). Se implementa utilizando diversas técnicas como: (I) Reducción [es la degradación de un elemento cuyo trabajo es obligatorio para proporcionar un servicio. Existen cuatro subtécnicas asociadas a la reducción: (i) Inundación. Degrada servicios enviando grandes cantidades de peticiones de servicio válidas. (ii) Amplificación. Se trata de enviar pequeño número de peticiones a servicios que producen respuestas de órdenes de magnitud muy elevadas, de modo que un malware puede saturar un servicio. (iii) Reflexión. El malware envía peticiones, suplantando su dirección origen pretendiendo ser la víctima a un servidor reflector. Este reflector no puede distinguir las peticiones legítimas de las falsificadas, respondiendo directamente a la víctima, degradando su ancho de banda. (iv) Explotación. Consiste en explotar una o varias vulnerabilidades en una política o en el mecanismo-protocolo que ejecuta la política o explotar vulnerabilidades en el software que implementa el sistema objetivo y provocar que se consuman cantidades excesivas de recursos del objetivo enviando unas pocas peticiones fabricadas cuidadosamente. (II) Interferencia. Se trata de introducir ruido o inyectar datos falsos para degradar los servicios del objetivo. Existen tres subtécnicas asociadas a la interferencia: (i) Jamming. Utilizando señales de saturación o inhibición. Similar a los inhibidores de RF y a los generadores EMP (Electro-Magnetic-Pulse). (ii) Packet dropping. Se trata de que el emisor y receptor perciban desconexión o degradación de la calidad del camino. (ii) Misrouting. Se trata de un ciberataque de routing, modificando las rutas que conectan al emisor con el receptor (por ejemplo, con envenenamiento, black-holing, etc.). (III) Alteración. De los componentes del sistema. Existen dos subtécnicas asociadas a la alteración: (i) Incapacitación. El malware inhabilita uno o varios componentes y cambia cuando el malware modifica las funciones o datos clave del objetivo (cualquier punto de la entrega de servicio, una infraestructura concreta, etc.). (ii) Corrupción. Del sistema de memoria volátil y el rearranque del sistema normalmente recupera la funcionalidad perdida o degradada].
• Destrucción. Esta táctica integra un conjunto de técnicas como: (1) Borrado. De firmware, software, datos. Permite eliminar ficheros para interrumpir la disponibilidad de los servicios del sistema objetivo. Emplea dos subtécnicas: (i) Clearing. Se realiza utilizando comandos o métodos del sistema que no destruyen realmente la información (como ‘delete’ o ‘format’). (ii) Purging. Permite eliminar la información de modo que no se pueda ya recuperar/leer (por ejemplo, sobreescribiendo y borrando N veces el espacio usado por el objeto con patrones aleatorios). Si es un disco duro se denomina disk-wiping y si se realiza contra carpetas, ficheros se denomina shredding. (2) Cifrado perverso. Puede ser reversible si se facilita la clave de descifrado e irreversible en caso contrario. En algunos casos se puede recuperar el fichero cifrado por criptoanálisis utilizando las vulnerabilidades en el algoritmo o en su implementación. (3) Corrupción. Es una modificación deliberada de información (por ejemplo, reemplazar el código ‘boot-time’ en una BIOS con datos basura). Una subtécnica es el ‘decaying’ o corrupción gradual de los datos causada por fallos del sistema motivados por el malware ofensivo.
• Trastorno. Consiste en una disrupción de la red, sistema, dispositivo, etc.
• Manipulación. Esta táctica engloba los siguientes grupos de técnicas para ciberatacar a la integridad: (i) Fabricación. Consiste en la inyección/inclusión de datos espúreos en elementos clave para causar un malfuncionamiento del sistema ciber-atacado (un parámetro en un fichero de configuración, un malware, etc.). (ii) Modificación. Consiste en reemplazar datos legítimos por datos maliciosos para conducir a un malfuncionamiento. Pensemos en un detector de nivel de un fluido nocivo/radiactivo/tóxico cuyo valor de display se modifique y muestre un valor muy bajo cuando de hecho sea muy elevado y se produzca un escape peligroso-nocivo. La técnica ‘poltergeist’ modifica los datos de los sensores de un CPS-vehículo conectado/autónomo para que detecte obstáculos donde no los hay (‘ver fantasmas’) y no vea obstáculos donde si los hay. (iii) Cancelación. Consiste en eliminar datos clave en el objetivo a ciberatacar con el propósito de generar un malfuncionamiento. La manipulación de datos afecta a todo tipo: metadatos en fotos/videos, datos de geolocalización, datos runtime, datos almacenados, datos transmitidos, estructuras de datos, recursos del sistema, datos de timing y de estado, etc. (iv) DoS/DDoS (Consiste en una denegación de servicios simple o distribuida dirigida a un objetivo como red, servidor, dispositivo, sistema, servicio, objeto IoT/Internet-of-Thing, sistema operativo, aplicación/APP, etc. Para ello se utiliza inundación, inhibición de RF, saturación del ancho de banda, jamming, perturbación-degradación de la QoS, EMP (Electro Magnetic Pulse), etc.). etc.

(15) Efectos en la red. Engloba todas las técnicas que permiten al malware intentar interceptar o manipular el tráfico de red hacia o desde un dispositivo o sistema.

(16) Efectos en los servicios remotos. Engloba todas las técnicas que permiten al malware intentar controlar o monitorizar el dispositivo o sistema utilizando servicios remotos.

El malware inteligente avanzado defensivo realiza con anticipación todo tipo de operaciones, acciones, conductas y comportamientos en todos los frentes: bloqueo, inactivación, neutralización, limitación, inhabilitación, esterilización, recuperación, mitigación, etc. de vulnerabilidades, de exploits (como EternalBlue), de estrategias y TTPs utilizadas por el malware ofensivo para ciberatacar. El malware defensivo opera en todas las direcciones (longitudinal, transversal, x, y, z, ict), niveles, dominios, dimensiones, espectros, etc.

Por ejemplo:

Bloquea líneas de comando ofuscadas/maliciosas cmd.exe. Neutraliza vectores de ejecución sin ficheros maliciosos WMI y PowerShell. Impide la ejecución maliciosa a través de APIs y ‘service-execution’ comprometidos. Inactiva APPs Web con vulnerabilidades de caché DNS que utilizan la característica ‘password reset’. Bloquea el acceso a vulnerabilidades ‘chained zimbra’ que dan acceso a servidores de correo electrónico. Bloquea código heurístico insidioso. Bloquea la vulnerabilidad ‘node.js’ que permite secuestrar dominio remoto. Bloquea la vulnerabilidad les.js que causa que el sitio Web fugue claves secretas AWS (Amazon Web Services). Bloquea DoS, contra sistemas ‘machine-learning’. Bloquea vulnerabilidades ‘PHP Package Manager’ que deja las APP Web abiertas a abusos. Bloquea vulnerabilidades ‘xss universal’ de Microsoft Edge explotable en cualquier página Web. Bloquea e impide el acceso malicioso con éxito a credenciales. Bloquea la ejecución de código utilizando maliciosamente el control de aplicaciones. Bloquea scripts maliciosos. Impide el acceso a software innecesario y vulnerable para impedir posibles abusos. Bloquea ‘credential dumping’ malicioso. Impide abusos de los mecanismos de carga de librerías del sistema operativo y del software para cargar código comprometido. Restringe-bloquea la capacidad de modificar ciertos ‘hives’ o claves en el Registro de Windows. Bloquea descargas de ficheros adjuntos de correos electrónicos infectados. Bloquea Javascript maliciosas. Restringe-bloquea extensiones maliciosas del navegador Web. Inspecciona y en su caso bloquea sesiones SSL/TLS con tráfico Web cifrado con actividad maliciosa. Cierra todas las sesiones del navegador cuando se finalizan para impedir actuaciones maliciosas encadenadas. Bloquea el acceso al interfaz BITS (Background Intelligent Transfer Service) de Windows a usuarios o grupos maliciosos. Inactiva-bloquea despliegues maliciosos de ‘containers’ en entornos para facilitar la ejecución o evadir posibles defensas, el malware despliega un nuevo ‘container’ para ejecutar procesos asociados con una imagen o despliegue concreto como procesos que ejecutan o descargan malware. Bloquea la creación de certificados de código autofirmado maliciosos (la firma de código es el proceso de firmar digitalmente ejecutables y scripts para conformar el autor del software y garantizar que el código no ha sido alterado o es corrupto). Bloquea modificaciones maliciosas de GPOs (Group Policy Objects) que tratan de saltarse los controles de acceso discrecional para un dominio, normalmente con la intención de escalado de privilegios en el dominio. Bloquea todo tipo de cambios de valores, tags y otros parámetros que el malware intenta manipular. Impide conexiones no autorizadas de dispositivos a la red, bloquea exfiltraciones maliciosas de datos. Bloquea intentos maliciosos de pérdida de visión al entorno de la víctima (donde existe información sobre cada activo, cuando el activo se vio por última vez en la red, todas las conexiones de dispositivos, etc.). Impide el establecimiento de conexiones de acceso remoto maliciosas. Bloquea comportamientos anómalos de dispositivos. Bloquea conexiones maliciosas que indican intentos de explotación de aplicaciones/APPs y ciberataques de fuerza bruta. Bloquea servicios remotos externos no autorizados, conexiones anormales de un origen desconocido y conexiones entrantes anómalas de Internet. Bloquea transferencias de código malicioso de o hacia medios removibles. Bloquea cualquier compromiso-infección potencial en la cadena de suministro. Bloquea conexiones maliciosas (cableadas o inalámbricas) de dispositivos no autorizados. Bloquea la ejecución a través de APIs cuya actividad es anómala. Bloquea vulnerabilidades en elementos NOP/NULL. Bloquea ciber-ataques MITM en base a las comunicaciones como el tráfico ARP, las opciones TCP, los resets TCP anómalos, etc. Bloquea todo tipo de intentos de intrusiones maliciosas. Neutraliza toda actividad anómala en cuanto a intentos de conexión por fuerza bruta, así como comunicaciones anómalas vía SSH, Telnet, RDP, etc. utilizando el interfaz CLI (Command Line Interface). Bloquea comunicaciones anómalas dispositivo a dispositivo con protocolos como VNC y RDP que utilizan el interfaz GUI (Graphical User Interface), así mismo impide intentos de explotación de RDP tales como BlueKeep y DejaBlue. Bloquea en los rearranques la activación de código malicioso. Bloquea el acceso malicioso a datos de proceso y subproceso. Bloquea accesos insidiosos al Registro de Windows. Bloquea todo tipo de operaciones maliciosas subliminares o no. Bloquea peticiones de dominio maliciosas. Bloquea la creación maliciosa de ficheros. Bloquea-neutraliza procesos de degeneración (maliciosos) de obsolescencia programada. Recupera actos no deseados previos a la inyección del malware defensivo. Bloquea corrupciones de memoria en glib. Bloquea acciones de desbordamiento de buffer en gcc. Bloquea pop-ups maliciosas. Bloquea ejecución de rutinas maliciosas en capa Shell. Busca y cierra puertos abiertos que puedan inducir acciones maliciosas. Bloquea procesos insidiosos con pocos privilegios que pretenden insertar datos en procesos Windows con mayores privilegios. Bloquea ciberataques por fuerza bruta para robar credenciales. Bloquea el descubrimiento malicioso de cuentas. Boquea el robo de tokens de acceso a las aplicaciones. Bloquea el robo de cookies se sesión Web. Bloquea la manipulación maliciosa de cuentas. Bloquea el descubrimiento malicioso de grupos de permisos. Bloquea el secuestro de recursos. Bloquea exploits de aplicaciones de cara al público. Bloquea implantes maliciosos de imagen de ‘containers’. Bloquea la creación maliciosa de cuentas. Bloquea intentos de utilización de técnicas maliciosas LotL. Bloquea intentos de cambios maliciosos en programas, aplicaciones/APPs, APIs. Parchea de forma proactiva aplicaciones/APPs, sistemas operativos, navegadores, etc. Bloquea de forma proactiva todo tipo de comportamientos, patrones y conductas maliciosas. Limpia de forma continua y segura restos maliciosos y semillas de malware ofensivo en los sistemas. Bloquea intentos de descargas de software/firmware con checksums maliciosos o erróneos.

El malware ofensivo ciberataca a todo tipo de entidades: software (aplicaciones, sistemas operativos, etc.), firmware, hardware (smartphones, periféricos, routers, computadores digitales y cuánticos como el Sycamore de 54 qbits de Google, etc.), personas, infraestructuras, medio ambiente, seres vivos (confundir al sistema de geolocalización para impedir encontrar a la mascota), dispositivos, gadgets, dinero/e-cash (ciberataca a todo tipo de enfoques como Paypal, bancos /ATMs, billeteras de cripto-monedas como bitcoins, pagos electrónicos, APPs en smartphones vinculadas a bancos, etc.), etc.

Por ejemplo, ciberataca a todos los protocolos (TCP, IP, UDP, SMTP, FTP, Telnet, DNS, SNMP, HTTP/S, etc. Por ejemplo, en DNS cambia/envenena la correspondencia entre direcciones URL/L5 y direcciones IP/L3. Modifica maliciosamente los registros DNS como: registro A (se usa para traducir nombres de dispositivos a direcciones IP), registro PTR (traduce direcciones IP en nombres de dominio), registro LOC (indica las coordenadas del dominio), registro SPF (se especifica cual o cuales dispositivos están autorizados a enviar correo desde el dominio dado), registro CNAME (se usa para crear nombre de hosts adicionales o alias para los hosts de un dominio. También se usa cuando se ejecutan múltiples servidores http con diferentes nombres sobre el mismo dispositivo-host), etc.

El malware ciberataca a todo tipo de infraestructuras (aeropuertos, centrales de electricidad, puertos marítimos, etc.), robots (sociales, para fabricación, militares, de desactivación de bombas, sexuales, submarinos, etc. Por ejemplo, el robot de cuatro patas ‘Spot’ de Boston Dynamics, con la participación de Hyundai, posee IA, visión artificial, etc. opera en la planta de Kia Motors en Corea del Sur, para vigilar y prevenir accidentes en la fábrica.

A este tipo de robot se la pueden acoplar armas convencionales, sónicas y electromagnéticas como LRAD (Long Range Acoustic Device), ‘drone jammers’ (para derribar drones maliciosos), armas de energía electromagnética dirigida, fusiles de muy largo alcance con visión nocturna, armas sónicas para aturdir, taser, etc.), satélites [(de geolocalización-geoposicionamiento como GPS, Glonass, BeiDou, Galileo, GNSS, etc.), de telecomunicaciones (multimedia y enlace a Internet, como Hispasat/conexión a Internet, Iridium/telefonía satelital, Inmarsat, Eutelsat, Globalstar, SES, Intelsat, Thuraya, Terrestar, Indium, Astra, STSAT-2C, SatMex, Telstar, Arsat, Hylas, Embratel-Star-One, etc.), metereológicos (Meteosat-8, GOES-12, MTSAT-1R, MSG-3, TIROS-1, GOMS, Resurs, Meteor, NOAA-18, Fengyun/FY-2D, etc.), de observación, vigilancia, reconocimiento, cartografía y satélites espías (Earth Observing EO-1 (NASA), Discover, Corona (USA), Spainsat, Yantar, Cartosat-1, Kosmos 2542 (Rusia), USA-245/NROL-65, Ofeq, Paz, Helios 2B, Vela, IGS, Keyhole-KH, SAR/Lupe, etc.), etc.], etc.

Actualmente, el malware ofensivo no se debe de sufrir, hay que combatirlo con malware defensivo (potente ciberarma de protección).

Las técnicas sigilosas utilizadas por los malware denominadas LotL (Living off the Land) hacen uso de todo lo que ya reside en los dispositivos, sistemas y servidores de la organización u objetivo a ciberatacar, sin necesitar de tener que descargar, ni instalar otras aplicaciones de fuera, son básicamente: ciber-ataques a ficheros no ejecutables como documentos Office con macros, scripts y comandos maliciosos; ciberataques que se ejecutan en memoria; el malware usa herramientas de doble uso como PowerShell o PsExec; ciberataques que utilizan binarios Windows como WMI para ejecutar código malicioso (LOLBins); ciberataques sin ficheros como código VBS en el registro; uso de lenguajes de scripting, etc.

La secuencia de sucesos para infectar utilizando técnicas LotL es:

1. Un usuario hace clic en un link o pulsa un botón infectado en una Red Social o visita directamente o vía un código QR un sitio Web infectado.
2. Este sitio posee una versión vulnerable de un fichero, por ejemplo, Flash.
3. El Flash invoca a PowerShell e introduce líneas de comando operando desde memoria (fileless).
4. PowerShell conecta sigilosamente con un servidor C&C secreto donde se descarga un script PowerShell que busca información confidencial que se envía al servidor posesión del malware.
5. En ningún punto de este ciber-ataque se ha descargado propiamente malware, pero compromete a la organización.

Las etapas que conducen a una infección de malware Emotet son:

1. Llega un correo electrónico.
2. Contiene un documento Word.
3. Que lleva macros maliciosas (VBS Macros).
4. Se provecha de PowerShell.
5. Sistema infectado con Emotet. El PowerShell es un Shell de línea de comandos de Windows que se ubica sobre.NET Framework y que acepta y devuelve objetos.NET. Estas macros ejecutan código PowerShell en el sistema a infectar y este código PowerShell descarga infección malware.

Referencias

• Areitio, J. ‘Seguridad de la Información: Redes, Informática y Sistemas de Información’. Cengage Learning-Paraninfo. 2020.
• Areitio, J. ‘Identificación y exploración de tendencias en el incremento, tipos de impactos y efectos del malware’. Revista Eurofach Electrónica. EF-478. Noviembre 2020.
• Areitio, J. ‘Exploración longitudinal y transversal de las infecciones de malware’. Revista Seguridad. SG-31. Febrero 2021.
• Areitio, J. ‘Matizaciones sobre los efectos de la no anticipación contra el incremento creciente del malware oculto no detectable’. Revista Eurofach Electrónica. EF-481. Interempresas. Abril 2021.
• Areitio, J. ‘Exploración, identificación y detección de malware inteligente para evitar caos ciber-epidemiológicos y ciber-pandemias’. Revista Seguridad. SG-34. Interempresas. Julio 2021.
• Areitio, J. ‘Identificación y exploración del horizonte de sucesos y espacio de observación vinculado al moderno malware’. Revista Seguridad. SG-35. Septiembre 2021.
• Areitio, J. ‘Campos de acción, confluencias e impactos de las vulnerabilidades en la evolución y ciclo de vida del malware inteligente avanzado (ofensivo y defensivo)’. Revista Seguridad. SG-36. Noviembre 2021.
• DiMaggio, J. ‘The Art of Cyberwarfare: An Investigator's Guide to Espionage, Ransomware, and Organized Cybercrime’. No Starch Press. 2021.
• Ryan. M. ‘Ransomware Revolution: The Rise of a Prodigious Cyber Threat’. Springer. 2021.
• Wardle, P. ‘The Art of Mac Malware: The Guide to Analyzing Malicious Software’. No Starch Press. 2021.
• Gupta, B.B. and Dahiya, A. ‘Distributed Denial of Service (DDoS) Attacks: Classification, Attacks, Challenges and Countermeasures’. CRC Press. 2021.
• Yehoshua, N. and Kosayev, U. ‘Antivirus Bypass Techniques: Learn Practical Techniques and Tactics to Combat, Bypass, and Evade Antivirus Software’. Packt Publishing. 2021.
• Chiroma, H., Abdulhamid, S.M., Fournier-Viger, P. and García, N.M. ‘Machine Learning and Data Mining for Emerging Trend in Cyber Dynamics: Theories and Applications’. Springer. 2021.
• Calder, A. ‘The Ransomware Threat Landscape: Prepare for, recognise and survive ransomware attacks’. IT Governance Publishing. 2021.
• Barker, D. ‘Malware Analysis Techniques: Tricks for the Triage of Adversarial Software’. Packt Publishing. 2021.
• Ahmed, A. 'Privilege Escalation Techniques: Learn the Art of Exploiting Windows and Linux Systems'. Packt Publishing. 2021.
• Karbab, E.B., Debbabi, M., Derhab, A. and Mouheb, D. 'Android Malware Detection using Machine Learning: Data-Driven Fingerprinting and Threat Intelligence'. Springer. 2021.
• Sarwar, F.A. 'Python Ethical Hacking from Scratch: Think like an Ethical Hacker, Avoid Detection, and Successfully Develop, Deploy, Detect, and Avoid Malware'. Packt Publishing. 2021.
• Liska, A. 'Ransomware: Understand. Prevent. Recover'. ActualTech Media. 2021.