Su antivirus sigue buscando hashes, cuando hace falta detectar comportamientos: por qué la protección clásica ya no basta
Especialistas piden cambiar la estrategia de protección de datos ante la estandarización de los ataques
Parece que cada nuevo troyano o ladrón de información — es una historia aparte con su «firma». Pero los especialistas del equipo de investigación de amenazas de Splunk examinaron la situación en perspectiva y encontraron una pauta desagradable. Muchos ladrones de información populares y RAT usan casi el mismo conjunto de técnicas, y suelen diferenciarse más por detalles de implementación que por la lógica general del ataque.
El equipo de Splunk estudió alrededor de 18 familias de malware, algunas observadas en ataques reales, otras descritas en detalle en informes públicos. Todo eso lo mapearon en la matriz MITRE ATT&CK, para entender qué tácticas y técnicas se repiten con más frecuencia. El resultado fue casi un «arsenal común» para los ciberdelincuentes. El mismo conjunto de pasos ayuda a afianzarse en el sistema, evadir la protección y extraer datos.
La técnica más extendida fue T1105, es decir, la descarga de componentes adicionales después de la infección. En esencia, es la capacidad de «recuperar» la siguiente etapa del ataque, plugins o archivos auxiliares. A continuación está la recopilación de información del sistema T1082. Los malware determinan el nombre del equipo, la versión de Windows, parámetros del hardware y otros detalles para entender dónde han caído y cómo actuar mejor a continuación. El estudio también destaca la costumbre de comunicarse con la infraestructura de control por protocolos web como HTTP T1071.001. Para los defensores esto significa algo sencillo: si se construye la detección en torno a técnicas persistentes, en lugar de hashes e indicadores puntuales, se puede bloquear de inmediato a muchas familias diferentes.
Después viene lo más interesante, porque en la práctica importa no solo «qué hacen», sino «cómo exactamente». Por ejemplo, algunas familias usan WMI para recopilar información del sistema y envían esos datos al C2 como parte de una «baliza». Otra técnica popular está relacionada con la recopilación de datos de red de la víctima. Varias familias obtienen la IP externa y la geolocalización consultando servicios legítimos de determinación de direcciones IP. Esto ayuda a los operadores a distinguir entre víctimas y a establecer prioridades.
Para permanecer en el sistema a menudo se emplean mecanismos sencillos pero eficaces de Windows. Son las claves de autoinicio en el registro, incluidas Run y a veces RunOnce, así como tareas programadas mediante schtasks.exe. Según Splunk, algunas familias además intentan debilitar la protección añadiendo excepciones en Windows Defender para un directorio o una ruta de archivo, para reducir la probabilidad de detección. También hay un enfoque más «fuerte». Parte del malware habilita privilegios como SeDebugPrivilege y manipula tokens, obteniendo más control sobre los procesos en el sistema.
Un tema importante aparte es el robo de credenciales de los navegadores. El estudio señala que muchas familias pueden extraer y descifrar los inicios de sesión y contraseñas guardados en los almacenes de los navegadores y luego enviarlos a los atacantes. Otro truco recurrente es el abuso de servicios web legítimos como infraestructura. A veces son C2, a veces almacenamiento desde donde los cargadores extraen la carga útil. En los ejemplos aparecen plataformas populares como GitLab y Dropbox.
Aun así, no existe malware «idéntico». Splunk identifica técnicas raras y más características que ayudan a distinguir las familias entre sí. Por ejemplo, una de las variantes de njRAT puede sobrescribir el MBR, convirtiendo la infección en un ataque destructivo. DarkCrystal RAT utiliza una demora inusual de ejecución mediante el comando w32tm con el parámetro stripchart; esa técnica rara vez aparece en entornos legítimos y puede ser una buena pista para la detección. Castle RAT destaca por eludir UAC mediante AppInfo RPC y ejecutar la carga útil apoyándose en un proceso del sistema de confianza. Y RedLine Stealer, según las observaciones de los investigadores, puede desactivar componentes relacionados con Windows Update para permanecer más tiempo en el sistema sin el riesgo de que los parches cierren las vulnerabilidades o actualicen la protección.
La conclusión principal de Splunk es pragmática. El conjunto común de técnicas da a los defensores la oportunidad de crear reglas de detección más universales que sobrevivan a cambios de versiones y compilaciones del malware. Y las técnicas raras y específicas son útiles en las investigaciones cuando hace falta entender con qué familia exactamente se está tratando y qué tan sofisticado es el ataque.