Empoderamiento de las capacidades del malware inteligente avanzado defensivo

Actualmente el malware inteligente avanzado puede contemplarse bajo dos prismas: ofensivo (o malicioso) y defensivo o de protección (MIAD) contra el malware ofensivo. El MIAD (Malware Inteligente Avanzado Defensivo) presenta muchas dimensiones: es autónomo con autocontrol, adaptativo, ciberresiliente, invisible, no detectable, escalable, auto-actualizable, de elevadísima potencia, basado en IA/ID/IV/DevSecOps/TH/ZT/ZK/BCs, etc., con posibilidad de comunicación con entidades de respaldo internas y externas (humanas o basadas en IA), con control múltiple (centralizado, descentralizado, colaborativo), poli-meta-oligo-mórfico, etc. El malware inteligente avanzado es en esencia una ciberarma (ofensiva o defensiva para ciberguerras desconocidas), una herramienta sofisticada de ciberataque (con fines perversos o para defenderse del malware ofensivo) y una ciber-amenaza (contra el malware ofensivo, caso del malware defensivo o contra todo nuestro mundo caso del malware ofensivo).

Hoy en día el malware inteligente avanzado ofensivo lo ciberataca todo, no deja a nada ni a nadie: OT, IT, transportes, robots, bancos, logística, bolsa, sistema financiero, telecomunicaciones, personas (dañar la reputación, permite realizar coacciones y delitos contra la libertad, contra la integridad moral, trato degradante, de falsedad/falsificación, de discriminación, contra el patrimonio y el orden socio económico, estafas, calumnias contra el honor, contra la intimidad, revelación de secretos, contra la libertad sexual, realiza acoso, etc.), paraliza hospitales (ya en el 2014 en un informe de Raytheon Websense se detectaba un aumento del 600% de ciberataques malware contra hospitales), sabotea comisarías, backout en electricidad, gas, agua, ciber-ataca a vehículos conectados y autónomos, aeropuertos, aviones, puertos de embarque/desembarque, cadena de suministros, barcos, submarinos, infraestructuras, contadores de agua/gas/electricidad leídos y gestionados a distancia, perturba señalización de semáforos, medios de comunicación como prensa, TV, radio, Internet IoE/Internet-of-Everythings (y todos sus subconjuntos IoT, IIoT, IoMT, AIoT, etc. Por ejemplo, los objetos de la IoMT son dispositivos médicos que se introducen en el cuerpo humano como marca pasos, desfibriladores, cápsulas endoscópicas, dispensadores de insulina, administradores automáticos de medicamentos etc.), todo tipo de satélites (se ha constatado un incremento de exploits en redes de satélites y proveedores de Internet por satélite):

1. Satélites que son radiotelescopios como: James Webb lanzado el 25-12-21 de la ESA utiliza sensores infrarrojos refrigerados de forma criogénica, Huble, etc.
2. Satélites de geolocalización-geoposicionamiento como: GPS, Glonass, BeiDou, Galileo, GNSS, etc.
3. Satélites de telecomunicaciones (multimedia y enlace a Internet), como: Hispasat/conexión a Internet, Iridium/telefonía satelital, Inmarsat, Eutelsat, Amazonas Nexus, Globalstar, SES, Intelsat, Thuraya, Terrestar, Amazonas-2, Indium, Astra, STSAT-2C, SatMex, Telstar, Arsat, Hylas, Embratel-Star-One, etc.
4. Satélites metereológicos como: Meteosat-8, GOES-12, MTSAT-1R, MSG-3, TIROS-1, GOMS, RESURS, METEOR, NOAA-18, FENGYUN/FY-2D, etc.
5. Satélites de observación, vigilancia, reconocimiento, cartografía y satélites espías como: Earth Observing EO-1 (NASA), NROL-32, Discover, Vela Hotel, Corona (USA), Spainsat/PNOTS (España), Yantar, Cartosat-1, Kosmos 2542 (Rusia), USA-245/NROL-65, Ofeq7 (Israel), UNISAT-7, USA 271, SJ-20 (Shijian-20 China), Paz, Sicral (Italia), Helios 2B, Vela Sierra (113000Km), IGS, Keyhole-KH, SAR/Lupe1-5 (Alemania), Zircon (UK), Zenit (Rusia), RORSAT-3 (Ucrania), etc., drones, alarmas de edificios, etc. Puede espiar, robar datos-información sensible (la información es el petróleo de nuestros días), modificar información crítica, realizar sabotajes, puede degradar servicios, puede realizar apagones (o blackout), puede generar señales e información falsa (desinformación multimedia), puede crear caos, etc., de forma sigilosa o con falsa bandera. Las vulnerabilidades son el elemento facilitador del malware ofensivo (la vulnerabilidad CVE-2014-0160/’heartbleed’ permite a un malware manipulando el tráfico SSL obtener volcados de segmentos de la memoria RAM de un servidor remoto que podrían contener datos sensibles y que fue causado por fallos de programación en las librerías OpenSSL.

La ‘búsqueda y extracción de datos confidenciales de la memoria RAM’ o ‘RAM Scraper’ o ‘Memory-parsing’ lo utilizan los malware como POSeidon, JackPOS, etc. contra cajeros electrónicos, POS (Point-Of-Sale) o TPV (Terminales de Punto de Venta) (en tiendas, supermercados, hoteles, etc.), la comunicación entre TPV y el centro autorizador está cifrada, sin embargo, durante el proceso de datos de la tarjeta se almacenan temporalmente en RAM en texto en claro y el malware busca y extrae esos datos de la tarjeta evitando el cifrado, esto se denomina ‘RAM-Scraper’).

Las vulnerabilidades (que pueden ser conocidas, desconocidas o 0-day y creadas por el malware) son debilidades, confianzas, fallos, errores, bugs, flaws, deficiencias, malas configuraciones, etc., a todos los niveles (software, firmware, hardware, en todo tipo de protocolos, reglas (NGFW/WAF), configuraciones de todo tipo, personas, gobiernos, organizaciones, sistemas operativos, infraestructuras de containers y servicios (docker daemon), hipervisores, APPs, APIs, juegos de computador, metaversos o universos virtuales, vehículos conectados o autónomos, elementos OT (como SCADA, PLCs, IPCs, MES, CPS, ICS, HMI, etc.), blockchain, elementos IT (como PCs, BDs, tablet, smartphones, CRM, ERP, etc.), cripto-divisas/criptomonedas (como bitcoins) y sus billeteras, cajeros/ATM, ‘exchanges’ para cambiar de monedas ($, €, etc.) a bitcoins y viceversa, etc. Así mismo los malware ofensivos utilizan exploits (como Eternal-Blue), vectores de ciberataque (como MDM/Mobile Device Manager corporativo que opera como sistema de control central para toda una red móvil corporativa).

El número de variantes malware es elevadísimo: Stuxnet tipo APT (para sabotajes), Wannacry (tipo ransomware), Shamoon, Snifula, Sword, Flame (espionaje), Nymaim, Lucifer (cripto-minería no autorizada), Robbinhood, Duqu (su dropper espera un periodo de inactividad del teclado para iniciar sus perversas operaciones), Chernobyl, Spora, Rozena, DoNot, KPOT (troyano), Ryuk (tipo ransomwae), PsycoBot y BrickerBot (Bot), Remcos (tipo RAT), Hamas, MalLocker.B, Zeus (troyano), Wiper, WebC2, Babar, Glupteba (tipo backdoor), Lucy (es MaaS y dropper), LokiBot (tipo infostaler), Clop (ransomware), Remcos, Betabot, AgentTesla (RAT), EquationGroup, Ramnit, Gauss (robo credenciales), Cerberus (captura datos sensibles y los envía a un servidor remoto C&C), Marble-Framework (ofusca-scrambling el malware y pone falsa bandera), etc.

El malware inteligente avanzado puede realizar ciberataques de muy diferentes tipos: visibles o invisibles/ocultos, detectables o no detectables, persistentes (APT) o no persistentes, globales, dirigidos, simultáneos, tipo campañas, con actuación retardada, en vida latente (uso de módulos durmientes), con y sin desinformación, etc. Algunas características del malware ofensivo son: nivel de dispersión geográfica, número de funcionalidades que integra (worm, virus, backdoor, etc.), frecuencia (número de infecciones por unidad de tiempo), capacidad de ganancia de funciones, capacidad de comunicarse con servidores C&C (se pueden identificar distintas opciones de organización C&C: totalmente centralizado, totalmente descentralizado (auto-sincronización), colaborativa-descentralizada, centralizada para control y descentralizada para ejecución, etc.), etc.

El malware inteligente avanzado defensivo (MIAD) actúa vigilando, descubriendo y neutralizando/bloqueando todo tipo de exploits, vulnerabilidades como intentos de inyección, CSS, SSRF (Server Side Request Forgery), controles de acceso rotos o deficientes, fallos de integridad en software/datos, fallos en identificación/autenticación/autorización, deficiente configuraciones de seguridad, fallos criptográficos, componentes desactualizados/vulnerables, fallos en monitorización y logging de seguridad, diseño inseguro, etc. Así mismo bloquea cualquier intento de intrusión, de crear archivos no autorizados, de acceder de forma maliciosa a datos de procesos y subprocesos, de crear problemas en el registro (claves de software sin usar, referencias COM no válidas, asociación del tipo de fichero no válido, servicios y controladores de dispositivos no válidos, fuentes no válidas, etc.), acceso a ficheros no deseados de Internet (por ejemplo, ficheros caché del navegador Web), etc.

Actualmente el MIAD o brevemente malware defensivo es una oportunidad a tener en cuenta contra los ciberataques cada vez más sofisticados del malware ofensivo. Según Netskope el 97% de las aplicaciones y servicios en la nube son ‘Shadow IT’, es decir, no han sido autorizadas ni están cubiertas y protegidas por los equipos de IT corporativos, por tanto, son un excelente vector de malware, así mismo, en la actualidad, un 35% de todas las cargas de trabajo en AWS (Amazon Web Services), Azure y GCP (Google Cloud Platform) son ‘no restringidas’, es decir, están abiertas a la visión pública de cualquier persona/entidad en Internet. IBM y Ponemon Institute ya en 2015 ponían de manifiesto que el 40% de las empresas de todo el mundo no revisan el código de sus APPs en busca de vulnerabilidades y que el 50% de las empresas a nivel mundial no dedican presupuesto a la ciberseguridad de sus aplicaciones móviles.

Actualmente, según Noname Security, las llamadas API representan el 83% del tráfico Web y proporcionan el acceso directo a servicios críticos y a datos, lo que supone un objetivo importante para ciberataques malware. Las aplicaciones/APPs modernas interoperan a través de APIs (Application Programmable Interfaces) codificadas para abrir sus funciones y datos a otras aplicaciones.

La variabilidad de posibles entidades que pueden inyectar malware ofensivo es muy elevada, son entre otras:

1. Entidades que efectúan extorsión y ganancias delictivas. Una entidad/individuo o un grupo organizado puede lanzar un malware para realizar un ciber-ataque DDoS/DoS de modo que organizaciones de comercio electrónico víctimas puedan ser amenazadas a quedar bloqueadas menos que paguen. Otros malware pueden buscar información de tarjetas de crédito para acciones delictivas. El troyano y gusano Sobig se ha utilizado en actividades ilegales ya que permite crear retransmisores y proxies Web utilizados para spamming, phishing y servir material pornográfico.
2. Entidades que realizan experimentos e investigan. El gusano de Morris fue uno de los pioneros experimentos que se escapó. El gusano I-Love-You se generó en una Universidad. Posteriormente se han lanzado infinidad de experimentos malware secretos para evaluar y predecir posibles efectos ciber-epidemiológicos, ciber-endémicos y ciberpandemias.
3. Entidades que realizan protestas aleatorias. Son entidades/personas perturbadas que desean crear daños en redes e infraestructuras. Estas entidades utilizan malware que busca ‘0-day-expoits’ (desconocidos para la comunidad científica) en aplicaciones/APPs/APIs, satélites, aviones, barcos, vehículos, ICS, CPS, BD, CRM, ERP, etc. para ciber-atacarlas/infectarlas. A nivel de la cultura de ciberseguridad de los individuos es clave identificar su actitud (evaluar su perfil, satisfacción, clima, profesionalidad, perturbación mental, etc. de los empleados).
4. Entidades implicadas en procesos y protestas geopolíticas. Ciertos grupos utilizan Internet para dar a conocer mensajes específicos e impedir que otros publiciten los suyos. Pueden estar implicadas organizaciones o individuos con presencia local, nacional o internacional. Las víctimas-objetivos son organizaciones de la competencia, gobiernos, partidos políticos, etc. (se utiliza malware con falsa bandera). Un ejemplo es el malware Yaha Mail con funcionalidad de gusano escrito como herramienta de protesta política que lanzó ciberataques DoS contra sitios Web del gobierno de Pakistán.
5. Entidades de la competencia para obtener ventajas comerciales. Debido a que la economía mundial crece dependiendo de las operaciones diarias de los computadores, un ciberataque contra un dominio puede dañar muchas empresas que dependan sus transacciones de Internet. Dichas actuaciones insidiosas pueden utilizarse para manipular mercados financieros en base a un desastre económico sintetizado o por competidores que desean limitar el acceso de los compradores a los bienes del vendedor. Los miembros del crimen organizado o de compañías internacionales pueden participar en estos tipos de ciber-ataques por malware y los objetivos son desde compañías específicas a infraestructuras económicas.
6. Entidades implicadas en obtener poder. Algunos ciberataques malware están motivados por el deseo de adquirir notoriedad, poder ilimitado y muestran sus capacidades para dañar a otros. Las entidades que hacen esto, normalmente son desorganizadas o pequeños grupos con objetivos aleatorios. Tratan de descubrir sistemas vulnerables para ejecutar dichos ciber-ataques malware.
7. Entidades del tipo redes de bots con inteligencia artificial redundante y distribuida comandada por personas o máquinas como robots, avatares, chatbots, callbots, etc.
8. Grupos terroristas. Para satisfacer objetivos de ciber-ataques malware de falsa bandera a infraestructuras críticas y computadores en general.
9. MaaS (Malware as a Service). Existen innumerables repositorios cloud-fog-edge-computing cuyo contenido malicioso se desplaza constantemente de servidor a servidor controlado por inteligencia artificial que permite acceder (Dark-Web, Deep-Web) o distribuir malware sofisticado (RaaS/Ransomware-as-a-Service, TaaS, BaaS, etc.), no detectable muy persistente, ciberresistente/resiliente, etc., de la última generación para ciberguerras, generación de ciberpandemias a nivel de un conjunto de países o a nivel mundial con vistas a controlar finanzas, ganar poder geopolítico, dinero, etc. La IDSA (Identity Defined Security Alliance) cuantifica las pérdidas mundiales por ciberataques contra la identidad en más de 4.200 millones de euros para el 2024. Se pueden realizar ciberataques malware de suplantación de identidad de personas a través de tecnologías como machine-learning, synthetic media, deep-fakes, SIF (Synthetic Identity Fraud), etc. sobre correos electrónicos, mensajería instantánea, SMS, redes sociales, fotografías, videos, audios, biometría, móviles, controles de acceso, mecanismos de identificación, autenticación, autorización, etc.

El malware inteligente avanzado defensivo (o MIAD) está capacitado para proactivamente vigilar, descubrir (antes que alcancen sus objetivos), cazar, actuar, bloqueando, neutralizando, deteniendo, mitigando, esterilizando, inactivando, inhabilitando, etc., todo tipo de intento de acción, conducta, operación, actuación, etc. del malware ofensivo de forma automatizada y con predicción (basándose en IA, ID, IV, TH, ZT, IT, ZK, playbooks multidimensionales, grafos y árboles de ciber-ataque y ciberdefensa malware, bases de conocimiento de ciberataques malware, incluso creadas con IA, etc.). Así mismo, para la predicción de cibeataques de malware ofensivo se utilizan asociaciones/cluster de grano fino y grueso. Los ‘playbooks’ son “libros dinámicos actualizados en tiempo real de jugadas maestras”, en este caso, de formas de defensa, bloqueo y neutralización de infecciones/ciberataques malware.

Para ello el malware defensivo opera de arriba hacia abajo neutralizando todo tipo de campañas, estrategias, planes, proyectos, operaciones, tácticas (y todos sus componentes internos como técnicas, subtécnicas, procedimientos, mecanismos, funciones, etc.), vulnerabilidades, exploits, etc., utilizando bases de conocimiento públicas y privadas, así como creadas con anticipación y sobre la marcha por inteligencia artificial redundante y distribuida (machine-learning, deep-learning, redes neuronales profundas y convolucionales, sistemas expertos, motores de inferencia y predicción, NLP, aprendizaje del entorno, etc.), inteligencia de datos (con Big-data y Data-analytics), inteligencia de vulnerabilidades, OSINT (Open Source INTelligence) y sus herramientas: Maltego, Mitaka, Spiderfoot, Spyse, BuiltWith, Shodan, Intelligence X, Grep.app, etc.

El edge-computing nos permite obtener análisis de datos en tiempo real reduciendo latencias y evitando cuellos de botella en el tráfico de datos. El malware defensivo vigila todas las entradas implicadas en infecciones y ciberataques malware para neutralizarlas. El malware defensivo cada paso que da representa una meta sin dejar de ser un paso.

Algunas de las actividades del malware defensivo son: bloquear todo tipo de intentos de saltarse los mecanismos de autorización y control de elevación de privilegios para ganar mayores niveles de permisos; bloquear todo tipo de intentos de acceso no autorizado de creación maliciosa de ficheros; bloqueo de todo tipo de intentos de acceso no autorizado a datos de procesos y subprocesos; bloquear todo tipo de intento de acceso no autorizado de cambiar el nombre de ficheros; bloquear todo tipo de intentos de ‘shell escapes’ o explotar vulnerabilidades en APPs/APIs sobre todo en un contexto de usuario diferente; bloquear todo tipo de intentos de saltarse mecanismos UAC (User Account Control) para elevar privilegios de procesos en un sistema; bloquear todo tipo de intentos de ejecución de escaneos sobre la víctima para encontrar vulnerabilidades (como configuración de un dispositivo/APP, versión, tipo de software, etc.); bloquear todo tipo de intentos de modificar el kernel para ejecutar automáticamente programas en el arranque del sistema; bloquear todo tipo de intentos de abuso malicioso de intérpretes de script y de comandos para ejecutar comandos, scripts o binarios; bloquear todo tipo de intentos de modificaciones maliciosas de binarios de software del cliente para establecer acceso a los sistemas; bloquear todo tipo de intentos de suplantar protocolos legítimos o tráfico de servicio Web para ocultar actividades C&C ilegales; neutraliza y bloquea todo tipo de funciones de escalado de privilegios que se aprovechan del ‘hooking’ y de la inyección de procesos (según el informe global de amenazas de Fortinet el 55% de las funciones de escalado de privilegios observadas se aprovechan del ‘hooking’ y el 40% utilizan la ‘inyección de procesos’).

El malware inteligente defensivo bloquea todo tipo de intentos de ejecución de técnicas de evasión de defensas y de escalado de privilegios utilizadas por el malware ofensivo. Así mismo bloquea todo intento de ‘port-knocking’ al objeto de impedir que el malware ofensivo pueda transmitir información maliciosa sondeando los puertos de red en una cierta secuencia. El malware defensivo bloquea todo tipo de intento de actualizar el firmware con código malicioso para tomar el control de dicho dispositivo (conducta maliciosa utilizada por el malware PsycoBot). El malware defensivo bloquea todo tipo de intento de acceso a la información ‘side-channel’ del dispositivo para descubrir claves secretas. El malware defensivo bloquea todo tipo de intento de escalado de privilegios para acceder a datos y funcionalidades no autorizadas para impedir que todo el sistema se vea afectado (conducta maliciosa utilizada por el malware BrickerBot).

El malware inteligente avanzado defensivo proactivamente vigila, descubre, caza y actúa, en continua preparación, en base a conocimientos dinámicamente obtenidos (indicios, anomalías, evidencias, pistas, comportamientos, conductas, hipótesis, datos retrospectivos, actividades (quién, cómo, dónde, por qué, qué, etc.), etc. El malware defensivo se basa en un conjunto de estrategias, planes, proyectos, operaciones, etc. organizadas en infinidad de tácticas (y estas a su vez compuestas por técnicas, subtécnicas, procedimientos, funciones, métodos, etc.), utilizadas por el malware ofensivo. Las tácticas proceden de un conjunto de bases de conocimiento, ‘playbooks’, árboles de ciberataques malware (públicas, privadas, sintetizadas por IA, etc.).

En este colectivo de tácticas, se encuentran entre otras: Reconocimiento global e interno, Armado, Entrega, Explotación, Establecimiento de posiciones, Persistencia, Evasión de defensas, C&C (Command & Control), Pivotado, Descubrimiento, Escalado de privilegios, Ejecución, Acceso a credenciales, Movimiento lateral, Recogida, Exfiltración, Impactos, Objetivos, Desarrollo de recursos, Acceso inicial, Degradación (integra técnicas como alteración, interferencia, reflexión, amplificación, etc.), Destrucción (engloba técnicas como cifrado, borrado, corrupción, etc.), Robo de datos, Manipulación (integra técnicas como fabricación, modificación, cancelación), Efectos en la red, Efectos en los servicios remotos, etc.

Por ejemplo, la táctica ‘ejecución’ (que permite a un malware ofensivo ejecutar código malicioso en un objetivo) se compone de infinidad de técnicas como, por ejemplo, ‘ejecución utilizando APIs’ (que posibilita lanzar procesos llamando a la API Windows de función ‘createprocessA’. En este caso el malware defensivo bloqueará cualquier intento de realizar llamadas maliciosas. Otra técnica que el malware de defensa neutralizará es cualquier intento malicioso de ejecutar dll (dynamic-link-library) vía rundll32.exe.

Otra técnica que el malware de defensa se encarga de bloquear es cualquier intento malicioso de interactuar con el dispositivo utilizando ‘command-line-interface’ cmd.exe para la ejecución no autorizada de módulos. Otra técnica que el malware de defensa neutralizará es ‘powershell’, es decir, bloqueará cualquier intento malicioso de ejecutar powershell y llamar a ‘createobject’ para crear un objeto shell para descargar y a continuación ejecutar el malware en segundo plano. Otra técnica que el malware de defensa neutralizará es ‘wmi (windows management instrumentation)’, es decir bloqueará cualquier intento malicioso de acceder a wmi, por ejemplo, para extraer información sobre el sistema operativo o software anti-malware instalado, así mismo, bloqueará cualquier intento de uso de wmic (wmi command-line) para la ejecución de código malware y crear procesos.

Por ejemplo, la táctica ‘persistencia’ (que permite a un malware ofensivo mantener su presencia en un objetivo) se compone de infinidad de técnicas como, por ejemplo: ‘registry run keys’ / ‘start folder’ (que posibilita añadir una clave de autoarranque al registro Windows o al startup-folder). El malware defensivo bloqueará cualquier intento de añadir una clave de autoarranque o directamente lanzar ficheros pe (portable executable) al statup-folder.

Otra técnica que el malware de defensa neutralizará es cualquier intento de usar la función ‘createserviceA’ y añadir dlls maliciosas. Otra técnica que el malware de defensa neutralizará es ‘modify-existing-service’ bloqueando cualquier intento de modificar las claves de registro utilizando reg.exe en HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\ControlSet001\services\ o utilizando sc.exe para modificar los servicios Windows de status como Windows Update.

Otra técnica que el malware de defensa neutralizará es ‘hooking’ para ello bloqueará cualquier intento de interceptación de diversas funciones software como por ejemplo las funciones específicas del navegador. Otra táctica (destrucción) que el malware bloqueará es cualquier intento malicioso de borrado de firmware, software o datos.

Otra táctica (manipulación) que el malware neutralizará es cualquier intento de añadir de forma no autorizada datos en un sistema (un parámetro en un fichero de configuración, etc.) o bloqueará cualquier modificación maliciosa a datos legítimos, cambiar entradas, salidas, que causen un malfuncionamiento del objetivo, por ejemplo, dispositivos, sistemas, ICS, CPS, etc. Otra táctica (‘persistencia’, se compone de muchas técnicas como, por ejemplo, ‘sheduled task’, ‘image file execution options injection’, etc.). El malware defensivo neutralizará ‘sheduled task’, bloqueando cualquier intento malicioso de usar at.exe y schtasks.exe para disparar la ejecución de código malicioso en cada rearranque o cada cierto tiempo. El malware defensivo neutralizará la técnica ‘image file execution options injection’, bloqueando cualquier intento malicioso de realizar la ‘image file execution options injection’ para lanzar un nuevo proceso adjuntando un debugger a un proceso corriente o utilizando ‘Registry Run Keys / Start Folder’.

Otra táctica (‘acceso inicial’, se compone de muchas técnicas como, por ejemplo, ‘wireless comproise’, ‘supply chain compromise’, ‘spear-phishing attachment’, ‘replication through removoble media’, ‘Internet accesible device’, etc.). El malware defensivo neutralizará “wireless compromise”, bloqueando dispositivos no autorizados que intenten conectarse a la red o realizar actividad maliciosa inalámbrica o cableada. El malware defensivo, tras vigilar todas las comunicaciones dispositivo a dispositivo de red, neutralizará ‘supply chain compromise’, bloqueando todo tipo de intentos de comportamiento anómalo y sospechoso de compromiso de la cadena de suministro.

El malware defensivo neutralizará ‘Internet accesible device’, bloqueando cualquier tipo de intento de conexión maliciosa a Internet. El malware defensivo neutralizará la técnica ‘replication through removoble media’, bloqueando cualquier tipo de intento de replicación de malware transferido por medios removibles (pendrive USB, DVD, etc.).

El malware defensivo neutralizará la técnica ‘spear-phishing attachment’, bloqueando cualquier tipo de intento de acceso a servidores C&C maliciosos, así mismo bloquea todo intento de comportamiento malicioso de red causado por malware empaquetado en ciber-ataques tipo campañas spear-phising. El malware defensivo posee una extensísima base de conocimiento en continua actualización sobre conductas perversas, maliciosas, insidiosas, etc. que bloqueará.

Los vectores de ciberataque/infección malware son secuencias de pasos realizadas por un malware ofensivo en el curso de la realización de un ciberataque; pueden verse también como conexiones, servicios, funciones, herramientas, vulnerabilidades, plataformas, entidades, características de ciberseguridad que pueden introducirse o exportarse para lanzar ciberataques malware ofensivos persistentes; pueden verse también como puntos y canales a través de los cuales los ciberataques malware progresan-viajan, por ejemplo: navegador Web del cliente, campos de formularios, proxy de red, lectores de tarjetas, etc.

Los vectores de ciberataque malware pueden ser internos (de dentro de una organización/entorno), externos (procedentes de fuera de una organización/entorno/ecosistema) o bien ubicados en la cadena de suministro, suministrador, mantenimiento. Existe un elevadísimo número de vectores de ciberataque malware, son, por ejemplo: APIs (según Gartner estimó que en 2021 las APIs representaron el 90% de la superficie de ciberataque para las aplicaciones vinculadas a Web, así mismo, estima que el abuso de APIs será el vector de ciberataque más frecuente para el 2022).

Las principales causas de fallos de ciberseguridad de las APIs son: Errores en el ciclo de vida de la API (errores humanos, APIs vulnerables por no aplicar DevSecOps, malas configuraciones, muchas versiones de una API, etc.). Exploits deliberados de la API para exfiltrar datos o trastornar. Desafortunada secuencia de sucesos que exponen la API a una Web abierta o permiten accesos no autorizados. Buffer-overflow operando en navegadores Web, bases de datos, servidores Web, APPs/APIs, correo electrónico, etc. Acceso, interceptación y modificación de cookies HTTP, desplegados en navegadores Web, etc. Usar conexiones de red con socios, así como servicios, infraestructuras compartidas interna o externamente. Vinculación de un smartphone/tablet infectado a un vehículo conectado o autónomo o viceversa de un vehículo infectado a un smatphone/tablet limpio. Infección en la cadena de suministro o entorno de mantenimiento comprometido. Acciones autorizadas de usuario con o sin privilegios (visitar unos segundos una Web infectada (drive-by-download) viendo su URL o a ciegas utilizando el escaneo de un código QR o haciendo clic en una URL corta (que esconde sitios Web maliciosos), descargar software gratuito infectado, ficheros adjuntos de correo electrónico, hacer clic en un link, botón, icono existente en cualquier sitio malicioso: correo electrónico, Red Social, pop-ups Web maliciosos, incluso en anuncios lo que da lugar a la descarga de adware malicioso). Usar proxies de Internet infectados/comprometidos. Forzado de un integer overflow, por ejemplo, en bases de datos. Forzado de un array overflow en SOAP, por ejemplo, en servidores Web. Inducir un buffer overflow para inhabilitar una validación de una entrada. Ciberatacar utilizando datos compartidos. Existencia de red externa vía cable o inalámbrica/OTA (vía satélite, WiFi, Bluetooth, LoRaWAN, ZigBee, etc.). Inyección HTTP. Redirección de navegador Web. Robo de credenciales. Saltarse la autenticación, por ejemplo, utilizando mascaras digitales, SIF (Synthetic Identity Fraud), etc.

Una superficie de ciberataque malware es bien un área lógica (pila del navegador Web, componentes de infraestructuras, etc.) o bien un área física (kiosko de un hotel). El impacto de un ciberataque malware ofensivo es el valor del daño (financiero, de salud a las personas, al medio ambiente, a la sociedad, a la sostenibilidad, a la reputación, etc.), debido al ciberataque malware.

Los ‘componentes droppers’ (o vectores de entrega inicial) se utilizan para entregar malware ofensivo a sistemas objetivo (por ejemplo, Necro es un dropper de tipo troyano para el sistema operativo Android). Un dropper posibilita empaquetar el resto del software en un correo electrónico/spam, página Web, actualización de software, fichero auto-ejecutable colocado en un pendrive USB, etc. Cuando se activa un droppper instala el malware en el sistema objetivo (IT/OT).

La ingeniería social (conjunto de técnicas psicológicas y habilidades sociales) posibilita que el ser humano sea engañado para que realice una acción conducente a un ciber-ataque malware (phishing/spearphising/smishing/whaling). Un ciberataque malware que utilice ingeniería social puede ser de dos tipos: hunting (cuya finalidad es extraer información a través de una interacción mínima con el objetivo/víctima) y farming (cuando el fin pasa por establecer una relación continuada en el tiempo para exprimir al máximo al usuario/víctima y extraer gran cantidad de información). Por su parte el malware defensivo se encarga de bloquear/neutralizar todo tipo de intentos de utilizar dichos vectores y cualquier conducta maliciosa.

La caracterización y enumeración de acciones maliciosas del malware ofensivo (con vistas a las conductas de bloqueo, esterilización y neutralización por parte del malware defensivo) se puede estructurar y clasificar en numerosos modelos:

(1) DESIST (Dispute, Elevation of privilege, Spoofing, Information disclosure, Service denial, Tampering):

(D) La disputa representa el repudio. Negar que algo haya sucedido.

(E) La elevación de privilegios. Capacidad para poder operar con mayores permisos y privilegios (el máximo es root).

(S) El spoofing. Suplantar algo o alguien legítimo por otra cosa maliciosa, por ejemplo, SIF.

(I) La revelación de información. Fugar o exfiltrar secretos, claves criptográficas, datos, etc.

(S) La denegación de servicios. Es similar a la DoS, impide el acceso a un servicio (dispositivo, sistema, red, aplicación, datos, etc.) total o parcialmente.

(T) La alteración. Es la modificación o cambio de algo en cualquier parte firmware, software, hardware, datos, etc. Es diferente borrar o formatear un disco que se puede recuperar, que realizar un ‘disk-wipe’ que consiste en borrar el disco de forma irrecuperable (por ejemplo, sobre escribiendo y borrando un número muy elevado de veces).

(2) STRIDE (Spoofing identity, Tampering with data, Repudiation, Information disclosure, Denial of service, Elevation privilege):

(S) La suplantación de identidad. Viola el servicio de ciberseguridad de la autenticación que permite a un malware pretender ser algo o alguien diferente al que realmente es; es decir, suplanta a algo o alguien conocido y confiable.

(T) La alteración de datos. Viola el servicio de ciberseguridad de la integridad. En este caso el malware modifica/cambia algo en algún sitio: datos en discos, red, memoria, etc. Un ejemplo sería utilizar un drone para entregar código malicioso a un dispositivo de computación víctima utilizando la proximidad para acceder a una red inalámbrica no segura.

(R) El repudio. Viola el servicio de ciberseguridad del no-repudio. En este caso el malware o una entidad subordinada afirma que no ha hecho algo o no fue responsable de algo; puede ser honesto o falso; es decir afirma que no es responsable de una acción. Por ejemplo, negar que haya recibido algo o negar que haya enviado algo, o negar que haya borrado o ejecutado algo, etc.

(I) La revelación de información. Viola el servicio de ciberseguridad de la confidencialidad. En este caso el malware o un agente subordinado proporciona información a alguien no autorizado (sin credenciales apropiadas) para que acceda a dicha información (datos, metadatos, secretos, tokens, claves privadas, etc.). Un ejemplo sería un sistema de datos de sensor que accede a todo tipo de datos audio, video, etc., infectado con malware que revela información y después utiliza el repudio para negar la responsabilidad de dicha acción.

(D) La denegación de servicios. Viola el servicio de ciberseguridad de la disponibilidad de un recurso que necesita el sistema ciber-atacado por malware para acceder a una función de forma adecuada. Un ejemplo de denegación de servicios es impedir que responda un servicio, impresora, etc.

(E) La elevación de privilegios. Viola el servicio de ciberseguridad de la autorización para realizar una acción/operación. El malware consigue tener el permiso necesario para poder hacer algo para lo que no está autorizado hacer.

(3) DREAD (Damage potential, Reproducibility, Explotability, Affected users, Discoverability):

(D) El daño representa el impacto de un ciberataque malware, es decir el grado de maldad que produce el ciberataque malware.

(R) La reproducibilidad significa lo fácil que puede ser repetirlo o reproducirlo dicho ciberataque malware (infección).

(E) La explotabilidad representa el cómo de fácil (es decir, cuanto trabajo se necesita) para lanzar dicho ciberataque malware.

(A) Los usuarios afectados representan cuantos objetivos/personas-usuarios-víctima serán impactados.

(D) La capacidad de descubrimiento representa lo fácil que puede ser descubrir-encontrar el malware ofensivo con sus acciones maliciosas, exploits, vulnerabilidades, etc. que conlleva. DREAD permite valorar, analizar y encontrar la probabilidad de ciber-riesgo en base a las ciber acciones maliciosas descritas.

(4) LINDDUN (Linkability, Identifiability, Non repudiation, Detectability, Disclosure of información, content Unawareness, policy and consent Noncompliance este último está correlacionado con GDPR o General Data Protection Regulación). Es adecuado para acciones maliciosas contra la privacidad.

Algunas capacidades de ciberataque utilizadas por los malware ofensivos se soportan en: mensajería instantánea, SMS, correo electrónico, instalar backdoors, robo de certificados digitales, captura de teclas (keylogger), captura de pantallas, captura de video y audio, saltarse los mecanismos de autenticación mutifactor, robo de credenciales, redirigir el navegador Web, inyección http, etc.

La superficie de ciberataque malware de un objetivo (sistema, dispositivo, objeto, aplicación, red, etc.), incluye todos aquellos ciberataques elementales que son los puntos de arranque de ciberataques malware complejos, los ciberataques elementales que permiten empezar uno más complejo. Un ciberataque elemental que no está en la superficie puede detenerse impidiendo la ejecución de algunos ciberataques de la superficie. La tasa Q entre el número de ciberataques malware en la superficie y el número total de ciberataques malware en un plan de ciberataque puede permitir evaluar el nivel de ciberseguridad del objetivo (sistema, dispositivo, red, BD, etc.). Si Q tiende a uno existen varias formas de componer los ciberataques en los planes de modo que el nivel de ciberseguridad global es bajo. Si Q tiende a cero significa que pocos ciberataques de la superficie se detienen y todos los planes se paran lo que implica un nivel de ciberseguridad global elevado.

El malware inteligente defensivo es capaz de bloquear cualquier intento (incluso sigiloso) de aplicar las técnicas ofensivas como: ‘process injection’ utilizado por las tácticas ofensivas (evasión de defensas, escalada de privilegios, etc.), ‘powershell’ utilizado por las tácticas ofensivas (ejecución, etc.), ‘credential dumping’ utilizado por las tácticas ofensivas (acceso a credenciales, etc.), ‘masquerading’ utilizado por las tácticas ofensivas (evasión de defensas, etc.), ‘command-line interface’ utilizado por las tácticas ofensivas (ejecución, etc.), ‘scripting’ utilizado por las tácticas ofensivas (evasión de defensas, ejecución, etc.), ‘scheduled task’ utilizado por las tácticas ofensivas (persistencia, ejecución, escalado de privilegios, etc.), ‘registry run keys – startup folder’ utilizado por las tácticas ofensivas (persistencia, etc.), ‘system information discovery’ utilizado por las tácticas ofensivas (descubrimiento, etc.), ‘disabling security tools’ utilizado por las tácticas ofensivas (evasión de defensas, etc.), etc.

Según el estudio ‘Internet Security Report’ del WatchGuard Threat Lab, durante los últimos seis meses del 2021 el 91,5% del malware que se ha propagado llegó a través de conexiones cifradas (vía HTTPS), así mismo, en los seis primeros meses del 2021 se detectó malware originado en motores de scripting como PowerShell, alcanzando el 80% del volumen de ciberataques malware iniciados por scripts del año pasado. La ciberseguridad es un catalizador, acelerador y consolidador de la protección, innovación y evolución humana, genera dinamismo, sostenibilidad y progreso.

Actualmente debe potenciarse la ciberseguridad en todo nuestro mundo/sociedad a todos los niveles utilizando todo tipo de proyectos, experiencias, planes, estrategias, etc., pedagógicas de concienciación que interpelen, sensibilicen, generen empatía, etc., a toda persona desde las máximas jerarquías a las mínimas, haciendo ver que es clave realizar ciertas reglas y tareas y evaluando sus resultados.

Es un hecho que la ciberseguridad es vital hoy en día por toda clase de motivos: proteger nuestras vidas, proteger los animales y el medio ambiente, impedir impactos financieros en los consumidores, generar mayor confianza (ante los demás, socios, colaboradores, etc.), aumentar la fortaleza y producir mayores beneficios y ventajas competitivas, impedir impactos en los mercados financieros, evitar pérdidas financieras, evitar daños de reputación, mejorar la imagen, evitar impactos en los sistemas de información, servicios, equipos de fabricación, vehículos conectados y autónomos, etc., evitar pérdidas de datos personales e información confidencial, impedir la propagación geográfica como ciberpandemias, crisis ciberepidemiológicas, etc., evitar impactos legales y regulatorios (como SOX, GDPR, ENS, PCI-DSS, etc.), impedir inestabilidad financiera, energética, etc., generar responsabilidad y sostenibilidad, crear solidaridad frente a otros, ayudar a que se apliquen las reglas porque se entienden no por obediencia ciega o miedo al castigo, permitir ahorro de dinero, evitar el peligro y miedo de los objetivos del malware ofensivo con datos y hechos concretos y conocidos, generar mayor productividad, permitir un mayor respecto con el medio ambiente impidiendo escapes de tóxicos, etc., generar un mayor futuro para evolucionar responsablemente.

Sería bueno en todos los medios de comunicación públicos, privados, autonómicos, como TV, radio, Internet (RRSS, chats, etc.), etc., y en los distintos organismos ayuntamientos, gobierno, etc., se establezca una cuota mínima de tiempo y volumen de pedagogía y cultura sobre ciberseguridad. Se dice que en algunos casos la ‘discriminación positiva’ es necesaria, pues este es el caso de la ‘ciberseguridad’ que debe colocarse por delante de muchas otras cuestiones si realmente queremos avanzar tecnológicamente y evolucionar como Sociedad global, sostenible, de bienestar y con futuro. Las ‘sneaky cookies’ o ‘flash LSOs (Local Shared Objects)’ o ‘cookies flash’ son un tipo de cookies poco conocidas, difíciles de borrar, nunca expiran y de gran capacidad.

El mecanismo OTA (Over-The-Air), es vulnerable (foco de preocupación y gran peligro) y el malware ofensivo puede utilizarlo. Se utiliza cada vez más, para más y más tareas como, por ejemplo, para transmitir actualizaciones, parches (podrían estar infectados), sincronizar señales de satélites (GPS, Galileo, Glonass, Beidou, GNSS, etc.), avisar, comunicarse, transferir ganancia de funciones, instalar/desinstalar, configurar/desconfigurar, C&C, etc.

Para inyectar malware de vigilancia se adjuntan en coreos electrónicos y para evitar que la víctima se dé cuenta de que el adjunto es un ejecutable se le nombra, por ejemplo, el fichero gpj.8ulaZ.exe, con un carácter invisible Unicode (tipo ‘right-to-left overrride’ de valor U+202E) como primer carácter lo que causa que el nombre del fichero que se visualice sea exe.Zalu8.jpg. Según el informe de Proofpoint y el Instituto Ponemon los ciberataques malware BEC (Business Email Compromise) y por ransomware son los más costosos para las empresas

Actualmente es crítico implementar DevSecOps (acrónimo de unificación de desarrollo, seguridad y operaciones) surge por la necesidad de tener en cuenta la seguridad en DevOps y pasa a ser uno de los pilares que promueven las buenas prácticas y la colaboración entre desarrolladores, administradores de sistemas y expertos en ciberseguridad en todo el ciclo de desarrollo del software. DevSecOps es la integración de procesos y prácticas de ciberseguridad en entornos obsoletos y antiguos DevOps. DevSecOps integra la seguridad en las aplicaciones, proyectos, herramientas, etc. Se esfuerza por la seguridad por defecto. Crea la seguridad como cultura del código. Promueve las técnicas y habilidades cruzadas. DevSecOps ocupa el centro de DevOps.

La ciberseguridad pretende proteger la: confidencialidad (impedir que se revele información secreta. Posibles ciberataques son: captura de paquetes, MITM (los datos fluyen a través de una entidad malware donde los intercepta/modifica), spyware, wiretapping, ping-sweep/port-scan, interceptación inalámbrica, ingeniería social, time-attack (explorar los contenidos de la caché del navegador Web donde existen passwords, claves, etc.), dumpster diving, etc.), integridad (impedir que se modifique ilegalmente la información.

Posibles ciberataques son: MITM, secuestro de sesiones, data-diddling (cambiar datos antes de almacenarlos), ciberataque salami (junta muchos ciberataques pequeños para formar un gran ciberataque), ciberataque a las contraseñas (fuerza bruta, keyloggers, captura de paquetes, ciberataque de diccionario, troyano-spyware), explotar relaciones de confianza, etc.), disponibilidad (impedir que se impida acceder a recursos.

Posibles ciberataques son: DoS (por ejemplo: TCP SYN flood), DDoS, Ping of Dead (el malware crea y envía un paquete ICMP mayor de 65535 bytes, se fragmenta y al llegar al destino no puede manipular el exceso de tamaño y el sistema casca y se para), smurf (se inunda el sistema víctima con tráfico ICMP procedente de una subred; previamente el malware envía un ping a la dirección de difusión de la subred y los dispositivos existentes responderán a la dirección IP falsificada (la del sistema objetivo/víctima), lo que agota el ancho de banda y los recursos de procesamiento del sistema víctima), buffer-overflow, fraggle (ciberataques UDP), perturbaciones eléctricas (como blackout, power-spikes, power-sag, brownout, electrical-surges, etc.

Se combaten con UPS/SAI, acondicionadores de línea, generadores de respaldo/grupos electrógenos), etc.), ataques al entorno físico (temperatura, agua, humedad, polvo, gas, etc.), anonimato (impedir que se conozca la existencia, localización e identidad de las entidades que se comunican), identificación (permitir conocer la identidad de una entidad, es como su ‘user-name’), autenticación (demuestra que una entidad es quién dice ser), trazabilidad (utiliza logs, SIEM, etc., para dejar evidencia de las operaciones realizadas), autorización (asigna a cada entidad las operaciones y privilegios sobre los recursos existente: puede leer, no puede escribir, etc.), no repudio (impide que una entidad pueda negar que haya realizado una operación como escribir, borrar, etc.), impedir repeticiones ilegales de mensajes legales ya realizados, autenticidad (demuestra que un recurso o fichero es el real no es una copia, es auténtico), etc. DevSecOps puede verse como el desarrollo partiendo de un plan siguiendo por código, construcción, test y entrando en operaciones con emisión, despliegue, operación y monitorización y vuelta al plan de desarrollo y todo ello bajo la mirada profunda de la ciberseguridad desde el diseño. Si se ve expuesto el RDP (Remote Desktop Protocol) por el malware ofensivo utiliza el acceso al dispositivo para robar información; en este caso el malware defensivo bloquearía todo tipo de intento de acceso ilegal y todo intento de robo de datos.

Referencias

• Areitio, J. ‘Seguridad de la Información: Redes, Informática y Sistemas de Información’. Cengage Learning-Paraninfo. 2020.
• Areitio, J. ‘Identificación y exploración de tendencias en el incremento, tipos de impactos y efectos del malware’. Revista Eurofach Electrónica. EF-478. Noviembre 2020.
• Areitio, J. ‘Exploración longitudinal y transversal de las infecciones de malware’. Revista Seguridad. SG-31. Febrero 2021.
• Areitio, J. ‘Matizaciones sobre los efectos de la no anticipación contra el incremento creciente del malware oculto no detectable’. Revista Eurofach Electrónica. EF-481. Interempresas. Abril 2021.
• Areitio, J. ‘Exploración, identificación y detección de malware inteligente para evitar caos ciber-epidemiológicos y ciberpandemias’. Revista Seguridad. SG-34. Interempresas. Julio 2021.
• Areitio, J. ‘Identificación y exploración del horizonte de sucesos y espacio de observación vinculado al moderno malware’. Revista Seguridad. SG-35. Septiembre 2021.
• Areitio, J. ‘Campos de acción, confluencias e impactos de las vulnerabilidades en la evolución y ciclo de vida del malware inteligente avanzado (ofensivo y defensivo)’. Revista Seguridad. SG-36. Noviembre 2021.
• Areitio, J. ‘Análisis y predicción de estrategias y tácticas para la creación de malware inteligente avanzado defensivo’. Revista Eurofach Electrónica. EF-485. Interempresas. Diciembre 2021.
• Barker, D. ‘Malware Analysis Techniques: Tricks for the triage of Adversarial Software’. Ed. Packt Publishing. 2021.
• Miller. M. ‘Cyberspies: Inside the World of Hacking, Online Privacy, and Cyberterrorism’. Ed. Twenty-First Century Books. 2021.
• Thompson, E.E. ‘The Insider Threat’. Auerbach. 2021.
• Karbab, E.B., Debbabi, M., Derhab, A. and Mouheb, D. ‘Android Malware Detection using Machine Learning: Data-Driven Fingerprinting and Threat Intelligence’. Springer. 2021.
• Yehoshua, N. and Kosayev, U. ‘Antivirus Bypass Techniques: Learn practical techniques and tactics to combat, bypass, and evade antivirus software’. Ed. Packt Publishing. 2021.
• Perlroth, N. ‘This Is How They Tell Me the World Ends: The Cyberweapons Arms Race’. Ed. Bloomsbury Publishing. 2022.
• Zetter, K. ‘Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon’. Ed. Crown. 2015.
• Ryan, M. ‘Ransomware Revolution: The Rise of a Prodigious Cyber Threat’. Springer. 2021.
• Reynolds, M. ‘The Art of Attack: Attacker Mindset for Security Professionals’. Wiley. 2021.
• Das, R. ‘The 2021 Cybersecurity Mid Year Report: Ransomware’. Ed. AST Cybersecurity. 2021.
• Gupta, B. B. ‘Advances in Malware and Data-Driven Network Security’. Ed. Information Science Reference. 2021.
• Moseley, R. ‘Advanced Cybersecurity Technologies’. CRC Press. 2021.
• Moallem, A. ‘Understanding Cybersecurity Technologies: A Guide to Selecting the Right Cybersecurity Tools (The Human Element in Smart and Intelligent Systems)’. ‎ CRC Press. 2021.
• Grimes, R. A. ‘Ransomware Protection Playbook’. ‎ Wiley. 2021.
• Belous, A. and Saladukha, V. ‘Viruses, Hardware and Software Trojans: Attacks and Countermeasures’. Springer. 2021.
• Stamp, M., Alazab, M. and Shalaginov, A. ‘Malware Analysis Using Artificial Intelligence and Deep Learning’. Springer. 2021.
• Di Pietro, R., Raponi, S., Caprolu, M. and Cresci, S. ‘New Dimensions of Information Warfare’. Springer. 2021.