En los últimos años se han realizado diversos esfuerzos por entender mejor la estructura y el enfoque de los ataques avanzados, los cuales son cometidos por adversarios que tienen suficientes recursos y entrenamiento para llevar a cabo campañas de intrusión de largo plazo, utilizando herramientas y técnicas avanzadas, y cuyas principales motivaciones son económicas y políticas.

Se ha identificado que los ataques siguen una secuencia estructurada de pasos, por lo cual se han documentado en diversos modelos con el fin de describir la secuencia de actividades que un atacante debe ejecutar progresiva y exitosamente antes de lograr las metas que se ha planteado. El modelo más conocido es el denominado Cyber Kill Chain, concepto difundido ampliamente por la empresa Lockheed Martin y adoptado por la industria (todo parece indicar que el concepto fue realmente acuñado por Jeffrey Carr del proyecto Grey Goose de inteligencia de fuentes abiertas –OSINT-); otros igualmente conocidos son el Attack Lifecycle de Mandiant y el Lifecycle of an APT de Dell SecureWorks.

En este artículo presento una propuesta de ciclo de vida de un ataque avanzado que pretende, por un lado, consolidar y resumir los conceptos de los tres modelos mencionados  y, por el otro, explicar los pasos ejecutados de una manera sencilla.

.

1. Preparación

Antes de cualquier ataque dirigido, lo primero que surge es la motivación. Algún individuo o grupo decide que una organización tiene algo que quiere y por lo tanto está dispuesto a invertir recursos y tiempo para conseguirlo.

Así pues, la primera acción es la identificación y selección del objetivo a atacar. Posteriormente se hace la investigación, es decir, se recolecta tanta información como sea posible acerca de la víctima, ya sea de forma pasiva o activa.

Se considera recolección pasiva cuando se hace por medios que no pueden ser detectados por la organización objetivo, por ejemplo: obtener información de los dominios utilizados, direcciones de correo electrónico, información de la empresa y sus empleados mediante búsquedas en redes sociales, visitas a las páginas Web, historiales académicos, publicaciones en conferencias, noticias, ingeniería social, etcétera. Por su parte, la recolección activa deja rastros que pueden ser detectados, por ejemplo: escaneos de red, análisis de activos expuestos en Internet, discusiones en grupos de redes sociales, entre otros.

Lo que sigue es la creación o adquisición del arsenal de ciberarmas; esto generalmente significa ensamblar herramientas de acceso remoto, conocidas como remote access trojans o RAT (software que provee al intruso de acceso y control de un equipo comprometido), con mecanismos de explotación de vulnerabilidades (exploits) en un componente del malware (llamado  payload) el cual será enviado a la víctima.

Esta fase concluye con una serie de pruebas para confirmar que el código malicioso puede evadir los controles de seguridad más comunes y garantizar que se logrará el objetivo.

.

2. Obtención de acceso.

Una vez que el ataque se ha preparado, el siguiente paso es obtener acceso a la red de la víctima. Para ello se enviarán las ciberarmas por diversos medios, siendo el correo electrónico (spearphishing), sitios Web infectados y USB los tres más comunes.

Estas ciberarmas buscan explotar vulnerabilidades en el sistema de la víctima y evadir los sistemas de seguridad que tenga, produciéndose así la intrusión inicial. Al activarse el código del intruso se crean accesos remotos ocultos (backdoors), a través de las herramientas tipo RAT, que le permiten utilizar el sistema comprometido para ejecutar sus siguientes pasos.

El control remoto se ejecuta por medio del establecimiento de un canal de comunicación entre el equipo infectado y la infraestructura del atacante, a la cual se le conoce como “comando y control” (C&C).

En este momento se ha creado el primer punto de presencia y control dentro de la red objetivo.

.

3. Creación de persistencia.

Los siguientes pasos serán para afirmar y ampliar la presencia y control del intruso en la red, es decir, lograr la persistencia; para ello realizará el reconocimiento de la red interna y empezará a moverse dentro de ella, a esto último se le llama movimiento lateral. En esta fase la comunicación entre la red interna y la infraestructura de comando y control se intensifica y se vuelve activa.

Uno de los objetivos primordiales en esta fase es conseguir contraseñas con el mayor nivel de privilegios (a esto se le denomina escalamiento de privilegios) que le permitan realizar diferentes tipos de acciones con la intención de cumplir con sus objetivos.

Durante esta fase es común que el código malicioso utilizado sea actualizado y que se  generen nuevos payload de tal forma que la probabilidad de ser detectado sea menor.

.

4. Ejecución de acciones.

Finalmente, a través del reconocimiento interno y movimientos laterales, el atacante llega a los activos tecnológicos que contienen lo que busca, y al contar con los privilegios necesarios podrán seleccionar, recolectar y cifrar la información e iniciar la extracción de la misma (exfiltration).

La extracción de la información puede realizarse por mecanismos tradicionales como un FTP por lo que aquí el malware ya no juega un papel primario ni se requiere forzosamente hacer uso de la comunicación con la infraestructura de comando y control.

.

5. Eliminación de rastros

Una vez logrados sus objetivos, el intruso pretenderá eliminar todos los rastros e indicios que pudieran revelar sus acciones, tácticas, técnicas y procedimientos.

En la siguiente gráfica se aprecia una representación general del ciclo de vida y de las principales acciones que ocurren en cada una de las fases.

Marcos Polanco - Fig 1

 

Conclusiones

Es primordial entender el ciclo de vida de un ataque avanzado ya que esto nos permitirá establecer estrategias integrales que sean más efectivas al considerar controles y actividades para cada una de las fases.

Si bien el malware es un componente muy importante, no es lo único. En ciertas fases hay que buscar otro tipo de indicadores de intrusión. Así mismo, hay que entender mejor las tácticas, técnicas y procedimientos de los atacantes para buscar las contramedidas más adecuadas (aquellas que maximizan la relación entre el costo y la reducción de riesgos).

Entre más temprano en el ciclo de vida detectemos y mitiguemos un ataque será mejor, por lo que crear las capacidades internas para ello se vuelve una estrategia fundamental.

[email protected]

Fuentes:

  • White Paper: Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaings and Intrusion Kill Chains, de Lockheed Martin Corporation.
  • Reporte: APT1, Exposing One of China’s Cyber Espionage Units, de Mandiant.
  • White Paper: Lyfecycle of an Advanced Persistent Threat, Counter Threat Unit research, de Dell SecureWorks.
  • Artículo: The Cyber Exploitation Life Cycle, Infosec Institute