Para algunas cosas, el todo es mayor que la suma de sus partes. Cuando se trata de ciberseguridad, este dicho es una descripción apropiada de los ciberataques de Amenaza Persistente Avanzada (APT). Compuesto por una cuidadosa combinación de diferentes herramientas y métodos, a veces rudimentarios, el temido APT es una amenaza mucho mayor que cualquiera de sus partes compuestas. Este artículo detallará las APT y arrojará algo de luz sobre qué son las APT, sus características, sus fases y ejemplos del mundo real de cómo se utilizan las APT para llevar a cabo ataques. En mi humilde opinión, el concepto de APT en malware es una especie de culminación de la serie Malware Spotlight, ya que presenta una amplia variedad de malware y conceptos relacionados en un pequeño y agradable paquete. ¿Me atrevo a decir una tesis final sobre malware?
Un poco sobre APT
APT se define como un ataque prolongado centrado en un objetivo específico con el objetivo de comprometer el sistema y robar información sobre dicho objetivo. Los actores de amenazas que ejecutan ataques APT utilizan una variedad de herramientas y métodos para acceder a su objetivo y ampliar su brecha. Estas herramientas suelen ser malware personalizado para las diversas técnicas que requiere el ataque y, a veces, los grupos de ataque crean familias de malware que consisten en herramientas personalizadas que solo se utilizan en sus ataques APT. Estas herramientas son como tarjetas de visita para el grupo de ataque.
Tradicionalmente, APT era una clasificación de ciberataque patrocinado por un estado nación. Esto se debió a los recursos necesarios para llevar a cabo una campaña APT, que pueden ser significativamente más de los que un grupo de ataque privado puede reunir. Esta definición ha sido modificada ligeramente recientemente por algunas autoridades de malware para incluir actores no estatales y este artículo seguirá la nueva definición ampliada.
Características de los ataques APT
Para aquellos ataques que son difíciles de identificar, existen ciertas características que se han atribuido a los ataques ATP que pueden ayudar a identificar APT, ya que dejan signos diferentes a los de otros ataques cibernéticos. Estas características se exploran brevemente a continuación.
1. Aumento de los inicios de sesión a altas horas de la noche
Lo que pasa con los ataques APT es que a menudo los llevan a cabo actores de amenazas en el otro lado del mundo. Esto significa que cuando estás durmiendo, estos actores de amenazas turbios están llevando a cabo su ataque APT. El alto volumen de estos inicios de sesión debería ser tu pista.
2. Troyanos de puerta trasera generalizados
Los ataques APT se basan en troyanos de puerta trasera porque los atacantes necesitan una forma de regresar a los sistemas en los que han establecido una proverbial cabeza de playa. A veces, estos troyanos son el resultado de ingeniería social. Los troyanos de puerta trasera se utilizan porque incluso si se han capturado credenciales válidas, su usuario legítimo puede cambiarlas.
3. Flujos de información inesperados
Esto puede ser una señal reveladora de un ataque APT, pero debido al mayor uso de VPN por parte de los atacantes, cada vez es más difícil utilizarlo como pista. Para solucionar esto, deberá «desencapsular» el tráfico HTTPS. Por supuesto, un buen punto de partida es saber cómo es normalmente su flujo de información.
4. Paquetes de datos inesperados
Estos paquetes de datos pueden ser su información que se está filtrando a los atacantes. Esté atento a grandes cantidades de información que están donde no deberían estar, especialmente si están comprimidas (lo que casi podría ser una característica en sí misma).
5. Campañas de phishing dirigido a objetivos
El agente causante de la mayoría de los ataques APT es una exitosa campaña de phishing. Estos correos electrónicos de phishing suelen tener un archivo de documento infectado que contiene enlaces URL maliciosos o código ejecutable malicioso. Rastrear el sistema infectado podría llevarlo al punto cero del ataque APT.
Fases de la APT
Hay 6 fases distintas de un ataque APT. No hay límite de tiempo para que concluyan estas fases ya que una APT puede persistir durante mucho tiempo.
- Conocer el objetivo: la información recopilada puede ayudar a promover el ataque.
- Encontrar una entrada y distribuir malware personalizado se puede lograr mediante phishing o aprovechando los abrevaderos.
- Ganar terreno: engañar a un usuario para que ejecute el malware en su sistema, dentro de la red de destino.
- Ampliando el alcance del ataque.
- Encontrar y robar información: esto puede implicar una elevación de privilegios.
- Mover y cubrir pistas: puede ser necesario mover o ampliar los puntos de entrada para avanzar el ataque. Si no queda nada más por hacer, se podrán retirar las herramientas utilizadas para tapar las huellas.
Ejemplos de APT del mundo real
estuxnet
Utilizado por un grupo de ataque APT, Stuxnet se refiere a un gusano utilizado en el ataque APT que se considera una de las instancias de malware más sofisticadas jamás utilizadas. Stuxnet apuntó principalmente a sistemas SCADA que dan servicio a plantas nucleares en Irán,
Red fantasma
Este grupo de ciberataques APT con sede en China utilizó phishing selectivo cargado con archivos adjuntos maliciosos para ingresar a sistemas en más de 100 países a partir de. Entre las muchas técnicas de ataque que utilizó GhostNet se encontraban capturas de audio y pantalla para obtener información sobre los objetivos.
Apartamento Sykipot
El grupo de ataque Sykipot es conocido en parte por crear la familia de malware Sykipot APT. Esta familia de malware personalizado aprovechó las fallas de Adobe Acrobat y Adobe Reader y utilizó ataques de phishing para realizar ataques de día cero a sus víctimas.
Mettel
Este grupo de ataque, junto con otros, incluidos Carbanak y GCMAN, tenía como objetivo instituciones financieras. Mettel utilizó malware personalizado para infectar cajeros automáticos y cuando los cajeros automáticos se retiraron al final del día, el malware provocó que las transacciones del cajero automático se revirtieran. Esto demuestra que los ataques APT pueden robar tanto dinero como información.
Conclusión
Las APT son, en muchos sentidos, la culminación colectiva de los ciberataques del mundo. Los grupos de ataque APT aprovechan diferentes tipos de malware preexistente, malware personalizado y métodos de buen trabajo para lanzar ataques dirigidos que pueden continuar durante un período prolongado. Los ataques APT tienden a persistir después de los intentos iniciales de detección y mitigación, lo que los convierte posiblemente en el riesgo de malware más grave junto al ransomware.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Fuentes
- Explicado: Amenaza persistente avanzada (APT). Malwarebytes
- «5 señales de que has sido golpeado por un ATP» . OSC
- Ataques estilo APT: cómo los utilizan los ciberdelincuentes . objetivo tecnológico
- Amenaza persistente avanzada (APT). objetivo tecnológico