Professional Documents
Culture Documents
Informede
McAfee Labs
sobre amenazas
Septiembre de 2017
TEMAS PRINCIPALES
No ms WannaCry
Caza de amenazas profesional
El auge del malware basado en scripts
Compartir
A mediados de julio, el director de tecnologa de McAfee, A finales de julio, tuvo lugar la conferencia anual sobre
Steve Grobman, public un importante artculo en el ciberseguridad Black Hat USA 2017 en Las Vegas.
que abordaba la asociacin hombre-mquina como un Enese foro, McAfee anunci y public resultados de un
enfoque ms acertado para detener los ciberataques. importante estudio de investigacin en el que participaron
Posteriormente fue entrevistado por Venture Beat sobre ms de 700 profesionales de TI y de seguridad. El objetivo
elmismo tema. Grobman cree que la organizacin de la investigacin era comprender mejor cmo llevan
humana de la inteligencia artificial y el aprendizaje acabo la caza de amenazas las empresas en la actualidad
automtico, en lugar de ser una dependencia exclusiva (incluido el uso de la asociacin hombre-mquina)
de la inteligencia artificial, es necesaria para conseguir los ycmo esperan mejorarla en el futuro. En este informe
mejores resultados en seguridad. Si est interesado en sobre amenazas seguimos el camino iniciado en Cazar al
esta rea endesarrollo, le recomendamos ambos artculos. delincuente: arte o ciencia?, y ofrecemos formas prcticas
en las que los indicadores de peligro, muchos de los
Para apoyar la opinin de Grobman se public en julio cuales han sido descubiertos mediante el aprendizaje
un informe encargado por McAfee de 451 Research automtico, pueden servir a los cazadores de amenazas
llamado Machine Learning Raises Security Teams to the para ofrecer mejor proteccin asus empresas.
Next Level (El aprendizaje automtico lleva a los equipos
de seguridad a un nivel superior). El informe subraya El mes que viene, McAfee organizar la cumbre MPOWER
que el rpido aumento de los volmenes de ataques Cybersecurity Summit en Las Vegas. Los clientes ms
y su constante evolucin precisan tecnologa capaz de antiguos de McAfee conocen nuestra conferencia
detectarlos sin intervencin humana, que proporcione de grupos de usuarios como FOCUS, pero con un
visibilidad y establezca prioridades, permitiendo a las compromiso renovado de capacitar a nuestros clientes,
personas tomar decisiones ms informadas. La prueba el nombre de la conferencia ha cambiado, as como
del xito de la asociacin hombre-tecnologa se traducir nuestro enfoque del evento. A partir de este ao, nuestros
en la capacidad de descartar rpidamente las alertas clientes seleccionarn las ponencias, las demostraciones
ydetener las nuevas amenazas. que ms les interesan y orientarn el programa con
sus aportaciones directas. Si todava no ha asistido a la
conferencia anual de McAfee, le invitamos a que lo haga.
Seguir
Compartir
Compartir
ndice Autores
En la investigacin y redaccin
6 Resumen ejecutivo de este informe han participado:
Christiaan Beek
Diwakar Dinkar
Resumen ejecutivo
No ms WannaCry
A mediados de mayo, el malware WannaCry infect ms de 300000 ordenadores de ms de 150 pases en menos de
24 horas. Varias semanas ms tarde, el malware Petya aprovech el mismo fallo en los sistemas operativos para llevar En nuestro tema principal,
a cabo un ataque similar. Estos ataques pusieron de manifiesto el uso continuado de sistemas operativos antiguos analizamos los recientes
que no reciben soporte en reas crticas y revelaron los descuidados procesos de parches-actualizaciones que aplican
ataques de WannaCry y Petya,
algunas empresas. Este tema principal analiza la cronologa y los antecedentes de los ataques WannaCry y Petya,
su aparente continuacin; las vulnerabilidades que aprovecharon; un anlisis tcnico de sus mtodos de infiltracin los posibles motivos de los
ypropagacin; nuestra opinin sobre los motivos de estos ataques y sus posibles consecuencias. responsables y su impacto
enlas empresas.
Caza de amenazas profesional
La caza de amenazas es una estrategia creciente y en evolucin en el mundo de la ciberseguridad, con una amplia
definicin y un extenso rango de objetivos, aunque por lo general se considera un mtodo proactivo para encontrar En este tema principal
ataques y mquinas comprometidas sin esperar a que se generen alertas. A medida que se gana experiencia y se ofrecemos consejos
analiza la informacin, la caza de amenazas permite que las operaciones de seguridad estudien los comportamientos yrecomendaciones
de los agresores y generen ms visibilidad en las cadenas de los ataques. Esto se traduce en una postura ms
detalladaspara utilizar
proactiva para el centro de operaciones de seguridad, poniendo el punto de mira en una deteccin ms temprana,
tiempos de reaccin ms rpidos y una mitigacin de riesgos mejorada. En mayo, McAfee realiz una encuesta determinados tipos de
entre ms de 700 profesionales de TI y de seguridad de todo el mundo para comprender mejor cmo se utiliza la indicadores de peligro a la
caza de amenazas en las empresas actualmente y cmo piensan mejorar sus capacidades para llevar a cabo esta hora de cazar amenazas.
tarea en el futuro. Encontrar un informe con todos los resultados aqu. En este tema principal ofrecemos consejos
yrecomendaciones para utilizar determinados tipos de indicadores de peligro a la hora de cazar amenazas.
Temas principales
8 No ms WannaCry
No ms
Este (retocado) fragmento de la letra de una cancin
reciente parece una elega que viene a propsito para
describir la batalla continua contra el ransomware y los
WannaCry
ltimos ataques de WannaCry. El 12 de mayo, el malware
WannaCry infect ms de 300000 ordenadores de ms
de 150 pases en menos de 24 horas. Se han sealado
varios responsables potenciales, incluidos exploits de
Christiaan Beek, Raj Samani y Douglas Frosst
tipo zero-day en Microsoft Windows, herramientas de
Attacking, defending, until theres nothing left worth winning. pirateo del Equation Group, y el grupo de hackers The
Shadow Brokers, que publicaron algunas herramientas
There aint no money left, why cant I catch my breath? el 14 de abril. Sin embargo, la historia es compleja y se
remonta a mucho antes.
I dont wanna fight no more.
Este artculo analiza la cronologa y los antecedentes del
I dont wanna cry no more. ataque WannaCry y de Petya, su aparente continuacin;
las vulnerabilidades que aprovecharon; un anlisis
Alabama Shakes. Dont Wanna Fight, en Sound & Color,
tcnico de sus mtodos de infiltracin ypropagacin;
ATO Records, 10 de febrero de 2015.
nuestra opinin sobre los motivos deestos ataques y sus
posibles consecuencias.
Compartir
Seguir
Compartir
12 de abril de 2017: Corea del Sur 14 de abril de 2017: The Shadow Brokers
Hauri, una empresa de seguridad de Corea del Sur, Aparentemente incapaz de vender sus herramientas
comunic la existencia de una nueva muestra de de pirateo, el grupo The Shadow Brokers publica el
ransomware en su foro, incluida una captura de pantalla 14deabril 250MB de herramientas de software que
de la peticin de rescate. El monedero de bitcoins afirma haber robado a la Agencia de Seguridad Nacional
utilizado para los pagos del rescate revela que la (NSA) de Estados Unidos. Estas herramientas aprovechan
actividad comenz el 31 de marzo. La lista de archivos principalmente vulnerabilidades de Windows, para las
que se cifraran incluye .hwp, la extensin de archivo de que en todos o en la mayora de los casos hay parches
Hangul Word Processor, utilizado por la administracin disponibles. En informes anteriores se afirmaba que
ylas instituciones pblicas surcoreanas, y no lo incluyen muchos de los exploits eran vulnerabilidades de tipo
la gran mayora de familias de ransomware. zero-day, pero una investigacin en profundidad
demostr que esto no era cierto.
Seguir
Figura 3: Pgina con la peticin de rescate del ataque de abril de 2017 en Corea del Sur.
Compartir
12 de mayo de 2017: WannaCry salta a los titulares remota de cdigo y la concesin de privilegios de sistema
Empezando por Asia y avanzando hacia el noroeste en un solo paso. Una vez que el malware infecta un
con el sol naciente, empiezan a aparecer noticias ordenador, se propaga rpidamente a travs de la red
de ordenadores infectados y peticiones de rescate. e incluso a travs de enlaces VPN a todas las mquinas
Para finales del da, ms de 300000 ordenadores Windows sin parche. Se trata del primer ataque que
estn infectados en ms de 150 pases. Los afectados combina ransomware con un gusano que se autopropaga,
pertenecen a una gran variedad de sectores y todo razn por la que el ataque se extiende tan rpidamente.
indica que el ataque se llev a cabo con muy poca
intervencin humana. Las vctimas ven una pantalla de Para el medioda del 12 de mayo, los proveedores de
rescate y obtienen un error de pantalla azul si intentan seguridad haban generado inteligencia sobre la amenaza
reiniciar sus ordenadores. Los archivos se cifran con y actualizaciones de firmas de malware con una amplio
lasextensiones .wnry, .wncry y .wncryt. conjunto de indicadores de peligro que detectaban todas
las muestras conocidas de WannaCry. Estos indicadores
La versin de WannaCry utiliz el exploit MS17-010 para incluyen valores hash de archivos, direcciones IP, nombres
distribuirse, conocido tambin como EternalBlue del de dominio, nombres de archivos, cadenas, claves de
Equation Group, un exploit que permite la ejecucin registro y monederos de bitcoins.
Seguir
Figura 4: Pgina de peticin de rescate de WannaCry.
Compartir
Seguir
Compartir
Seguir
Compartir
SMB tambin se
utiliza para recursos
compartidos de red.
Unavez comprometida
la mquina, intenta
infectar todos los recursos
de red montados en
discos locales. Todo
el que acceda a estos
Figura 12: Paquete SMB con la segunda direccin IP codificada.
recursos podra ejecutar
accidentalmente el
malware e infectar su
mquina. Aunque este
vector no es tan rpido
ni eficaz como el exploit
de red, podra tener
un impacto importante
en un entorno de
redempresarial.
Seguir
Compartir
Seguir
Compartir
Es realmente ransomware?
WannaCry afect muy rpidamente a muchas mquinas,
copando titulares y generando un alto grado de ansiedad.
Sin embargo, en contra de muchos informes iniciales,
este ataque no se bas en exploits de tipo zero-day
desconocidos previamente, por lo que se podra haber
evitado. Petya 2017 tuvo un proceso de infeccin
igualmente rpido, aunque se dirigi fundamentalmente
contra equipos ubicados en Ucrania. Cul es el objetivo
de estos ataques? Las pruebas de las capacidades de
comunicacin de WannaCry que realizamos muestran
que los autores pasaron por alto incluir una funcin
que conecte el ID exclusivo de una vctima a su pago en
bitcoins, haciendo que sea tcnicamente muy difcil, si no
imposible, el descifrado completo individual por usuario.
Estos dos ataques parecen dar prioridad al sabotaje el cambio de nombre de las cuentas de usuario
yala destruccin frente al beneficio econmico, y utilizan predeterminadas y la desactivacin de las cuentas
pantallas de rescate para enmascarar su verdadero conprivilegios o sin ellos que no sean necesarias
objetivo. Desafortunadamente, prevemos que se permiteofrecer proteccin adicional.
producirn ms ataques como estos en el futuro. Retirar derechos administrativos locales: impedir
que el ransomware se ejecute en un sistema local
Mejores prcticas y detener su propagacin mediante privilegios
administrativos. La eliminacin de los derechos
McAfee recomienda las siguientes prcticas para administrativos locales tambin bloquea el acceso
protegerse contra WannaCry, Petya y otros tipos atodos los recursos y archivos de sistema crticos
deransomware: queintenta cifrar el ransomware.
Archivos de copia de seguridad: la medida ms Otras prcticas relacionadas con permisos: considere
eficaz contra el ransomware es realizar regularmente limitar las capacidades de escritura de usuarios, impedir
copias de seguridad de los archivos y verificar los la ejecucin desde directorios de usuario, elaborar
procedimientos de restauracin de la red. listas blancas de aplicaciones ylimitar el acceso al
Educar a los usuarios de la red: como en el caso almacenamiento o los recursos compartidos de red.
de otros tipos de malware, el ransomware a menudo Algunos tipos de ransomware requieren acceso de
infecta un sistema a travs de ataques de phishing escritura a determinadas rutas de archivos para instalarse
mediante adjuntos de correo electrnico, descargas o ejecutarse. Limitar el permiso de escritura a un nmero
ysecuencias de comandos entre sitios (cross-scripting) pequeo de directorios (por ejemplo, Misdocumentos
en pginas web. yMis descargas) puede frustrar la accin de las variantes
del ransomware. Los ejecutables del ransomware
Supervisar e inspeccionar el trfico de red: tambin pueden neutralizarse mediante la eliminacin
estepaso ayudar a identificar trfico anormal del permiso de ejecucin en esos directorios. Muchas
asociado acomportamientos de malware. empresas utilizan un nmero reducido de aplicaciones
Utilizar flujos de datos de inteligencia sobre en su actividad comercial. Puede bloquearse la ejecucin
amenazas: esta prctica puede ayudar a detectar de aplicaciones no incluidas en la lista, como por ejemplo
msrpidamente las amenazas. el ransomware, mediante una directiva que determine el
Limitar la ejecucin de cdigo: el ransomware se uso exclusivo de aplicaciones incluidas en la lista blanca.
disea a menudo para ejecutarse en carpetas muy Una ltima prctica relacionada con los permisos es la
conocidas del sistema operativo. Si no puede llegar de requerir un inicio de sesin en recursoscompartidos
a estas carpetas debido al control de acceso, puede como las carpetas de red.
bloquear el cifrado de datos. Mantener y actualizar el software: otra regla bsica
importante para protegerse contra el malware es Seguir
Limitar el acceso administrativo y a sistemas:
algunos tipos de ransomware estn diseados para mantener y actualizar el software, en particular los
parches de sistemas operativos, as como el software Compartir
utilizar cuentas predeterminada para llevar a cabo
sus operaciones. Frente a este tipo de ransomware, antimalware y de seguridad.
El vector de ataque inicial no est claro, pero un agresivo gusano facilita la propagacin del malware. Microsoft
pueden ayudarle
los productos de
distribuy un parche crtico en marzo para eliminar la vulnerabilidad en las versiones compatibles de Windows,
pero muchas empresas an no lo han aplicado.
Los ordenadores que emplean versiones de Windows no compatibles (Windows XP, Windows Server 2003)
no tenan un parche disponible. Microsoft distribuy un parche de seguridad especial para Windows XP
yWindows Server 2003 despus del ataque de WannaCry.
del ransomware,
Compartir
1 Proteccin frente a WannaCry y Petya
hagaclicaqu.
La caza de amenazas es una funcin creciente y en evolucin dentro del mundo de la "La caza de amenazas es como
ciberseguridad, con una amplia definicin y objetivos muy variados. Por lo general se la bsqueda de un tesoro,
considera un enfoque proactivo para detectar ataques y mquinas comprometidas todo lo contrario a la minera.
No hay mapa ni procesos
sin tener que esperar a que se produzcan alertas. Se parte del supuesto de que en
estndar para encontrar lo que
todo momento hay al menos un sistema comprometido en la red, un ataque que ha buscas. Simplemente utilizas
conseguidoeludir las medidas de seguridad preventivas de la empresa. la estrategia que parezca ms
adecuada en cada momento".
Cazador de amenazas
Los responsables de esta tarea se centran en las En mayo, McAfee realiz una encuesta entre ms
amenazas, no en las vulnerabilidades, exploits y malware, de 700 profesionales de TI y de seguridad de todo entrevistado, encuesta
de las que se ocupan las herramientas de seguridad, las el mundo para comprender mejor cmo se utiliza la de McAfee a cazadores de
personas y los procesos. Buscan artefactos o pruebas caza de amenazas en las empresas y cmo piensan amenazas, mayo de 2017
que pudieran indicar la presencia de un adversario en la mejorar sus capacidades de caza de amenazas en el
red, contribuyendo a contener y eliminar un ataque antes futuro. Encontrar el estudio completo en Cazar al
de que generen una alarma o provoquen una fuga de delincuente: arte o ciencia? Descripcin de la funcin de
datos. El objetivo es perturbar la accin de los agresores los cazadores de amenazas y la evolucin continua del SOC
e impedirles que consigan sus objetivos. Amedida que en ciberseguridad. Este tema principal ahonda todava
aumenta el conocimiento y la informacin, la caza de ms en los tipos especficos de indicadores de peligro,
amenazas permite que las operaciones de seguridad tcticas y tcnicas de los agresores y cmo las utilizan
estudien los comportamientos de los agresores y generen losresponsables de la caza de amenazas.
ms visibilidad en las cadenas de los ataques. Esto se
traduce en una postura ms proactiva para el centro de
operaciones de seguridad, poniendo el punto de mira en
una deteccin ms temprana, tiempos de reaccin ms Seguir
rpidos y una mitigacin de riesgos mejorada.
Compartir
Proxy 60%
Servidor 59%
Compartir
Dominio 42%
URL 41%
Aplicacin inesperada
de parches de sistemas 33%
Figura 15: Indicadores de peligro que utilizan normalmente los cazadores de amenazas.
Compartir
Cmo cazar como un profesional Basado en este modelo tenemos la tabla ATT&CK, que
aumenta el nivel de detalle sobre las tcticas e identifica
MITRE las tcnicas especficas que aplica cada una, incluidos
La caza de amenazas se basa en comprender las tcticas ejemplos de dnde se han utilizado y los posibles
y tcnicas de los agresores. Un excelente modelo agresores que las han empleado.
para describir esos procedimientos es el que ofrece
MITRE, una organizacin de investigacin sin nimo El objetivo es detectar la presencia de un adversario,
de lucro. MITRE lleva trabajando en el fortalecimiento ycuanto antes se consiga, mejor. La situacin ideal sera
de las ciberdefensas durante ms de cuatro dcadas. que la deteccin se produjera en las fases de distribucin
Su modelo se denomina ATT&CK, o tcticas, tcnicas o de ataque, cuando se produce la infiltracin en el
yconocimiento del adversario (Adversarial Tactics, sistema, pero esto no es absoluto sencillo ya que estas
Techniques, and Common Knowledge), y presenta tcnicas se adaptan y evolucionan con frecuencia. Enel
unadescripcin exhaustiva del comportamiento de un otro extremo, la deteccin en la fase de filtracin puede
agresor tras el ataque y las tcticas que pueden utilizar ser demasiado tarde, aunque en ocasiones es lo nico
para intentar ampliar su nivel de acceso y alcanzar que pueden conseguir los analistas. La mayora de
susobjetivos. Recomendamos este modelo. las veces, los cazadores suelen encontrar los ataques
durante la fase de mando y control, o cuando el ataque
intenta pasar de la filtracin a la persistencia.
Seguir
Figura 16: El modelo ATT&CK de MITRE y categoras de tcticas.
Compartir
Seguir
Compartir
Conocer sus herramientas Cada ejemplo de caza describe una hiptesis, las
Un cazador eficaz utiliza una serie de herramientas, preguntas que los cazadores deben hacerse para
yaprende cundo es el mejor momento para utilizarlas que la hiptesis se cumpla o no se cumpla, los datos
y cundo suelen fallar, sin confiar demasiado en ninguna oartefactos concretos empleados para responder
de ellas. Por lo tanto, para ser eficaz no puede centrarse a esas preguntas, la fuente de los datos y la tcnica
demasiado en las herramientas, sino en qu datos son de caza oanlisis sugeridos para su implementacin.
necesarios para generar ms visibilidad de la cadena Esteformato sigue la taxonoma y las instrucciones que
de ataque y detectar las tcnicas y artefactos de ataque se describen en "The Need for Investigation Playbooks
especficos identificados en fases anteriores. Ante at the SOC" (La necesidad de guiones de investigacin
la ausencia de una herramienta eficaz para analizar en el SOC), presentado por Ismael Valenzuela
los datos, los cazadores eficaces a menudo crean yMatias Cuenca-Acuna en la 2017 SANS SOC Summit
sus propias herramientas (scripts) o adaptan las que y"Generating Hypotheses for Successful Threat Hunting"
tienen disponibles mediante el uso de automatizacin, (Generacin de hiptesis para tener xito en la caza de
integracin u orquestacin. amenazas) de David Bianco y Robert M. Lee.
Por supuesto que estas herramientas no servirn de Para complementar este informe, cada uno de los
mucho si, en primer lugar, los datos que necesitamos objetivos de caza que se describen en las siguientes
analizar no estn disponibles. Con la configuracin secciones se amplan y estn disponibles con esta
predeterminada de Windows, muchas de las acciones taxonoma en Foundstone GitHub.
que llevan a cabo los ciberdelincuentes no generarn
registros de eventos y, por lo tanto, es imprescindible
una directiva de registros adecuada. Muchos de estos
registros pueden obtenerse con aplicaciones de
auditora, deteccin para endpoints y productos de
respuesta, o Sysinternals Sysmon de Microsoft. Uno
de los registros de mayor valor, al menos en sistemas
crticos, es el de creacin de procesos (ID de evento
4688) con auditora de procesos de lnea de comandos.
Buena caza
En la seccin siguiente se describen algunos de los
objetivos de caza ms eficaces, segn indican los registros
que se encuentran normalmente en una empresa tpica.
Ninguno de estos objetivos se puede considerar de Seguir
manera aislada, sino como parte de un proceso que
incorpora los elementos clave que hemos descrito. Compartir
El trfico de DNS se puede utilizar tambin para evadir La recopilacin y anlisis de estos registros es esencial
los firewalls mediante el empleo de comandos de para la caza, los anlisis forenses y la deteccin de
encapsulado entre la vctima y el administrador como, por intrusiones. Microsoft ha reconocido esta necesidad con
ejemplo, para activar un shell remoto, y cargar o descargar la introduccin del registro analtico de DNS de Windows.
archivos. La arquitectura de seguridad de una empresa Este artculo de Microsoft describe detalladamente cmo
debe estar diseada para permitir que las solicitudes de activar estos registros en servidores DNS con Windows
DNS salientes solo se generen en un pequeo grupo de Server 2012 R2 y versiones posteriores.
servidores DNS de confianza. Despus, se debe clasificar
el trfico de DNS eliminando el nombre de dominio y el Se pueden aplicar conceptos similares al examinar
dominio de nivel superior, y buscar solicitudes que tienen la red para detectar agentes de usuarios anmalos.
subdominios particularmente largos. Un gran volumen La aplicacin, normalmente un navegador, con un
de trfico a un dominio o direccin IP con subdominios encabezado de solicitud HTTP, enva la cadena de
largos, tipos de registros TXT y numerosos nombres de agentede usuario yel servidor la utiliza para identificar
hosts se consideran indicios de actividad sospechosa lamejor forma de proporcionar el recurso solicitado.
yexigen una investigacin. Este agente de usuario, como cualquier software, puede
ser falso. Al analizarlo, podemos identificar fcilmente no
solamente el software utilizado para navegar por la Web
(incluida la versin del navegador y el sistema operativo,
a37fwf32k17gsgylqb58oylzgvlsi35b58m19bt.com
los complementos, etc.) sino tambin lo que es normal
a47d20ayd10nvkshqn50lrltgqcxb68n20gup62.com o anmalo en nuestro entorno. Esto normalmente
a47dxn60c59pziulsozaxm59dqj26dynvfsnw.com conduce a la deteccin de la actividad delictiva. Aunque
algunos motores de deteccin de intrusiones se centran
a67gwktaykulxczeueqf52mvcue61e11jrc59.com
en la identificacin de agentes de usuario incluidos en
axgql48mql28h34k67fvnylwo51csetj16gzcx.ru listas negras, los cazadores pueden aplicar anlisis de
ayp52m49msmwmthxoslwpxg43evg63esmreq.info los elementos menos frecuentes, para detectar valores
atpicos, que es una tcnica mucho ms eficaz:
azg63j36dyhro61p32brgyo21k37fqh14d10k37fx.com
cvlslworouardudtcxato51hscupunua57.org Recopilar agentes de usuario de las solicitudes HTTP,
de los registros de NSM o el proxy.
Figura 17: Trfico de algoritmos de generacin de dominios (DGA) Ordenarlos de los ms habituales a los menos
generado por un sistema infectado. frecuentes.
En estos ejemplos de objetivos de caza de amenazas Examinar los valores atpicos (los menos frecuentes).
se da por supuesto que tiene acceso a los registros de
DNS generados por sus servidores DNS, normalmente Seguir
controladores de Active Directory que resuelven
solicitudes de clientes Windows que, segn nuestra Compartir
experiencia, no se obtienen en muchos entornos por
razones de rendimiento y exigencias de almacenamiento.
Seguir
Compartir
Uno de los pasos que suele emplear un agresor para A continuacin, el cazador crea una tarea programada
escalar sus privilegios es aadir una cuenta sin privilegios que busca el ID de evento 4625 (error de inicio de
a un grupo con privilegios. En muchos entornos, esto no sesin) en el registro de eventos de seguridad, y un script
ocurre con frecuencia, por lo que cualquier indicio de que enva una alerta cada vez que se encuentre la cuenta
este tipo de actividad exige una investigacin inmediata. de superadmin en ese registro. Esta tcnica tambin nos
permite detectar el desplazamiento lateral.
Para esta modalidad de caza se emplea un script
PowerShell mediante la ejecucin de la siguiente Consulte nuestro guion para la investigacin relativo a la
consulta en los controladores de dominio (o los sistemas escalacin de privilegios, para obtener ms informacin
individuales en el caso de entornos sin dominios): sobre la implementacin.
Seguir
Compartir
Las tcnicas de scripting que aplica el malware son una tctica de amplia adopcin entre los
ciberdelincuentes. En ocasiones, el malware utiliza estas tcnicas durante sus operaciones
completas; en otras, para un objetivo determinado. McAfee Labs ha observado un incremento
del malware basado en scripts durante los dos ltimos aos, ya que los ciberdelincuentes
siguen buscando formas de engaar a los usuarios y evadir las medidas de deteccin.
Seguir
Compartir
25000
20000
15000
10000
5000
0
3.er trim 4. trim. 1.er trim. 2. trim. 3.er trim 4. trim. 1.er trim. 2. trim.
2015 2016 2017
Malware de hipertexto-aplicacin
y VBS enviado a McAfee Labs
1600000
1200000
800000
400000
0
3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim. Seguir
2015 2016 2017
Compartir
Figura 19: Correo electrnico que parece una confirmacin de envo, con cdigo JavaScript malicioso en
un adjunto .zip.
Seguir
Figura 20: Este mensaje JavaScript en japons se envi a cinco direcciones de correo electrnico, todas Compartir
con el mismo nombre de destinatario.
2000000
1600000
1200000
800000
400000
0
3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim.
2015 2016 2017
Seguir
Compartir
Seguir
Compartir
Figura 22: JavaScript con el encabezado original aadido por el ocultador. Hash MD5:
FF6A165652EC9A1C2ADDAEBE15FD0C5E.
Seguir
Compartir
Compresor Dean
Edwards: algunas
variantes posteriores
de JavaScripts utilizan
el compresor "Dean
Edwards" disponible
enhttp://dean.edwards.
name/packer/.
Seguir
Compartir
Figura 24: Un ejemplo de JavaScript oculto con el compresor Dean Edwards. Hash MD5:
4D3BD79B73A74FC8C0ADB55E59E66AC1.
Figura 25: El compresor Dean Edwards se aplic a partes de un script JavaScript. Hash MD5:
0C1158575B465C29CA9235A511ECF8A9.
Variante 1
Figura 26: La variante 1 intenta descargar un archivo desde los tres sitios.
Seguir
Compartir
En esta variante, observamos un bucle que se activa tres De nuevo, segn la variante, el ID unique_var_id se
veces cuando el script intenta descargar tres archivos, uno almacena en la variable "str", "stroke" o "id". En las
desde cada uno de los tres sitios web atacados. Los sitios primeras versiones de JavaScript se utilizaba un ID
aparecen en "var b" y son distintos para cada muestra de de variable exclusivo que comenzaba por "545",
JavaScript. Cada vez que se ejecuta un bucle, aumenta la acontinuacin, por"555", y las ltimas variantes
variable "i", de manera que su valor pasa de 1 a 3. utilizaban un ID generado de forma aleatoria.
Nosotrosasumimos que los ciberdelincuentes
La solicitud HTTP GET contiene un enlace de descarga utilizaneste ID exclusivo para el registro.
como el siguiente:
El parmetro "rnd", cuyo nombre se cambi despus
http://<DNS>/counter/?id=<unique_var_ a "dc", contiene un valor codificado (473693 en este
id>&rnd=473693<i> ejemplo, que vara con cada muestra), al que se aade
el valor de la variable i para formar la URL de descarga
El sitio es uno de los nombres de dominios que aparecen
completa. Una vez que se descargan los tres archivos
en var b. El valor de unique_var_id es una cadena aleatoria
de malware, el script los ejecuta. La variante 1 descarg
codificada, larga que se ocult con el resto del script
unamuestra de Miuref, de Tescrypt y de Kovter.
yque tambin aparecern en el cdigo tras eliminar
la ocultacin, o se encontrar al principio de la versin
ocultadel script, dependiendo de la variante de JavaScript.
Figura 27: En la variante 1, el ID de variable exclusivo se almacena en "var str", que aparece al principio del script oculto.
Seguir
Compartir
Seguir
Figura 28: En la variante 2, el ID de variable exclusivo se ocult con el resto del script y se puede ver en el cdigo tras eliminar la ocultacin. Compartir
La solicitud HTTP GET contiene un enlace de descarga El script comprobar si el archivo .exe descargado
como el siguiente: existe (como debera ser, si la descarga ha funcionado
correctamente) y crea un archivo .txt con el mismo
http://<DNS>/counter/?ad=<unique_var_ nombre (616850.txt en este ejemplo) que contiene
ad>&dc=380865 lossiguientes datos:
La variable exclusiva "ad" est codificada en el script.
Una vez que el archivo est descargado, se guarda en
lacarpeta %TEMP% con el nombre 616850.exe.
Seguir
Compartir
Figura 29: Nota del ransomware de la variante 2.
Segn las variantes, este archivo puede ser un archivo .txt Nosotros no descargamos el descifrador, por lo que no
(con texto plano, como se muestra en la imagen) o .htm. podemos confirmar si lo es realmente, si se trata de otro
malware o si es un enlace falso.
Esta nota de ransomware informa a la vctima de que
todos los archivos han sido cifrados y que debe pagar A continuacin, el script crea un archivo .cmd, con las
un rescate de 0,72576 BTC (bc variable = 0,72576 en siguientes instrucciones, antes de ejecutarse en silencio:
este script) para poder descargar el descifrador que se
encuentra en http://<DNS>/counter/?ad=<unique_var_ad>.
Figura 30: Archivo .cmd de la variante 2, que busca archivos de distintas extensiones.
Seguir
Compartir
PowerShell puede ocultarse de varias formas, como Algunas directivas limitan la ejecucin de PowerShell.
mediante accesos directos de comandos, caracteres Entre ellas, se encuentran "Restricted", "AllSigned",
de escape o funciones de codificacin. Su eficacia al "RemoteSigned" y "Unrestricted", pero no es difcil
ejecutarse directamente desde la memoria facilita su sortearlas. Existen muchas formas sencillas de
ocultacin y complica su deteccin. ocultarelscript y eludir las directivas de ejecucin.
El malware PowerShell suele llegar a travs de mensajes En variantes recientes, hemos observado lo siguiente:
de correo electrnico de spam. El cdigo incrustado
en el mensaje contiene el cdigo PowerShell, que
normalmente contiene instrucciones para descargar otra
carga til que lleva a cabo la actividad maliciosa principal.
Los agresores tambin pueden ejecutar comandos
maliciosos utilizando PowerShell de modo interactivo.
Seguir
Compartir
Variante 1
Este archivo descifrado
contiene cdigo
PowerShell que descarga
y ejecuta una carga til de
ransomware para infectar
la mquina de la vctima.
Figura 34: Esta variante de malware basado en script se descifra con un script PowerShell y contiene cifrado Base64.
Seguir
Compartir
Figura 35: Tras el descifrado de Base64, aparece el cdigo malicioso.
Figura 36: Vemos un mensaje de error al intentar acceder a una clave que contiene un carcter nulo.
Seguir
Compartir
Mejores prcticas
Una vez que el cdigo de PowerShell se ejecuta,
La mejor forma de proteger su sistema frente alas
se conecta a un servidor malicioso, como
infecciones de malware basado en scripts es frenarlas
hxxp://xxx.x.250.230/upload.php. El script recopila
antes de que ocurran. La prevencin es la clave.
informacin del sistema, como la versin del sistema
Elfactor ms importante a la hora de evitar cualquier
operativo, el Service Pack y la arquitectura (chipset de
tipo de ataque de malware a un sistema es el usuario.
32 o 64 bits). Adems, comprueba si estn presentes
Los usuarios deben ser conscientes del riesgo que
.Net Framework y Adobe Flash Player, y averigua
implican las descargas e instalaciones de aplicaciones
cul es la ltima versin del navegador. En funcin
que no conocen o que no son de confianza.
de esta informacin, el script recibe comandos del
Losusuarios desprevenidos tambin pueden
servidor de control para efectuar otras actividades
descargar malware mientras navegan.
maliciosas. Encontrar ms informacin sobre el
malware sin archivos en el Informe de McAfee Labs Es importante aplicar las actualizaciones y parches de
sobreamenazasdenoviembre de 2015. seguridad para las aplicaciones y el sistema operativo.
Tenga siempre actualizados los navegadores web
ylos complementos, as como el antimalware en
losendpoints, y los gateways de la red con las
ltimasversiones.
Seguir
Compartir
No utilice nunca sistemas que no hayan sido Ponga en prctica un programa educativo para luchar
distribuidos y certificados por el grupo de seguridad contra el phishing: el malware se suele distribuir
de TI de la empresa. El malware basado en scripts atravs de ataques de correo electrnico selectivos.
se propaga fcilmente por activos no protegidos Utilice la inteligencia sobre amenazas junto a la
conectados a la red de la empresa. tecnologa antimalware. Esta combinacin le ayudar
En los casos en los que los usuarios tienen privilegios amejorar el tiempo de deteccin para las amenazas
de administrador para instalar aplicaciones sin demalware nuevas y para las conocidas.
supervisin del personal de seguridad de TI, se les
debe informar de que nicamente deben instalar Para descubrir cmo pueden ayudarle los productos
aplicaciones con firmas de confianza procedentes de de McAfee a protegerse del malware basado en scripts,
proveedores conocidos. No es raro que aplicaciones haga clic aqu.
"inofensivas" tengan incrustados rootkits y otros tipos
de malware basado en scripts.
Evite descargas de aplicaciones de fuentes distintas
de la Web. Son muy elevadas las probabilidades de
descargar malware de grupos Usenet, canales IRC,
clientes de mensajera instantnea o redes P2P.
Los enlaces a sitios web vistos en IRC y mensajes
instantneos suelen llevar a descargas infectadas.
Durante esta dcada, tambin hemos visto que los agresores aprovechan funciones como el Instrumental de
administracin de Microsoft Windows (WMI) y Windows PowerShell para atacar endpoints sin guardar ningn
pueden ayudarle los
productos de McAfee
archivo binario en disco, lo que les garantiza que el ataque sea difcil de localizar, ya que el cdigo malicioso se
puede implantar directamente en el registro de un host comprometido.
Las infecciones basadas en scripts llevan aos producindose. Aunque se denominaban "sin archivos", las
familias de malware depositaban en el disco un pequeo archivo binario durante el ataque inicial antes de
desplazarse a la memoria principal del sistema.
basado en scripts,
Compartir
1 Proteccin frente al malware basado en scripts
hagaclic aqu.
Estadsticas
sobreamenazas
60 Malware
63 Incidentes
Malware
10000000 0
3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim.
0 2015 2016 2017
3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim.
2015 2016 2017
Fuente: McAfee Labs, 2017.
2000000 18000000
1500000 15000000
1000000 12000000
500000 9000000
0 6000000
3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim.
2015 2016 2017 3000000
0
Fuente: McAfee Labs, 2017.
3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim.
2015 2016 2017
Seguir
Fuente: McAfee Labs, 2017.
Compartir
300000 600000
250000 500000
200000 400000
150000 300000
100000 200000
50000 100000
0 0
3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim.
2015 2016 2017 2015 2016 2017
Seguir
1200000 10000000
1000000 8000000
800000 6000000
600000 4000000
400000 2000000
200000 0
3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim.
0 2015 2016 2017
3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim.
2015 2016 2017
Fuente: McAfee Labs, 2017.
1200000 21000000
1000000 18000000
800000 15000000
600000 12000000
400000 9000000
200000 6000000
0 3000000
3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim.
2015 2016 2017 0
3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim.
Seguir
2015 2016 2017
Fuente: McAfee Labs, 2017.
200000 1000000
150000 800000
100000 600000
50000 400000
0 200000
3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim.
2015 2016 2017 0
3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim.
2015 2016 2017
Fuente: McAfee Labs, 2017.
Incidentes
300 400
250 300
200 200
150 100
100 0
Desconocidos
de cuentas
Secuestro
DDoS
Filtracin
Defensa
Malware
SQL
Inyeccin
Deformacin
Timos W-2
Vulnerabilidad
50
0
1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim 2. trim.
2016 2017
Fuente: McAfee Labs, 2017. Seguir
frica Asia Varios
Amrica Europa Oceana
Compartir
Fuente: McAfee Labs, 2017.
200 240
150 180
100 120
50 60
0 0
frica Amrica Asia Europa Varios Oceana
Sector pblico
Individuos
Salud
Educacin
online
Servicios
Finanzas
Varios
minorista
Distribucin
de software
Desarrollo
Entretenimiento
Salud Sector pblico Educacin Hostelera
Finanzas Tecnologa Entretenimiento Comercio
Servicios Fabricacin minorista
online
Fuente: McAfee Labs, 2017.
18000000 1200000
15000000 1000000
12000000 800000
9000000 600000
6000000 400000
3000000 200000
0 0 Seguir
3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim. 3.er trim. 4. trim. 1.er trim. 2. trim.
2015 2016 2017 2015 2016 2017
Compartir
Fuente: McAfee Labs, 2017. Fuente: McAfee Labs, 2017.
2% 14%
2% 20% Navegador
10% Wapomi
2%
4% Fuerza bruta
Mirai
4% Denegacin de servicio
3% Maazben
39% Gusano
China Chopper
10% Malware
11% Onion Duke 20% Web
Ramnit
Anlisis
Muieblackcat 13%
11% Otros
Sality 15% Seguir
Otros
20%
Compartir
Fuente: McAfee Labs, 2017.
www.mcafee.com/es
La informacin de este documento se proporciona nicamente con fines informativos y para comodidad de los clientes de McAfee.
Lainformacin aqu contenida est sujeta a cambio sin previo aviso, y se proporciona "TAL CUAL" sin garantas respecto a su exactitud
o asurelevancia para cualquier situacin o circunstancia concreta. McAfee y el logotipo de McAfee son marcas comerciales o marcas
Avenida de Bruselas n 22 comerciales registradas de McAfee, LLC o de sus empresas filiales en Estados Unidos y en otros pases. Los dems nombres y marcas
Edificio Sauce puedenser reclamados como propiedad de otros.
28108 Alcobendas, Madrid Espaa Copyright 2017 McAfee, LLC. 3525_0917
www.mcafee.com/es Septiembre de 2017