Presentación de la nueva cobertura de la plataforma Vectra AI para Copilot y Microsoft Azure

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
Técnica de ataque

Túnel

El tunelado se utiliza ampliamente para fines legítimos de red, como establecer comunicaciones seguras o eludir restricciones geográficas. Pero también es una técnica que utilizan los atacantes para saltarse los controles de seguridad.

Definición
Cómo funciona
Por qué lo utilizan los atacantes
Detección
Preguntas frecuentes
Definición

¿Qué es la tunelización?

En el mundo real, los túneles son pasadizos ocultos que ofrecen un camino a través de barreras como montañas y edificios. La tunelización de redes es similar: es una técnica para transportar datos utilizando protocolos no compatibles. Más concretamente, encapsula paquetes de datos dentro de otros paquetes para eludir las restricciones de la red. Este método permite que el tráfico de red parezca formar parte de un protocolo de red legítimo, permitiendo la comunicación entre sistemas de formas que, de otro modo, podrían estar bloqueadas o restringidas.

Aunque existen muchos túneles legítimos dentro de las redes, utilizados por las empresas para compartir datos de forma segura entre aplicaciones o sistemas, los túneles ocultos sirven para fines maliciosos. Los atacantes los utilizan para eludir los controles de seguridad y hacerse pasar por tráfico normal mientras llevan a cabo actividades de mando y control y roban datos.

Cómo funciona

Cómo funciona la tunelización

En un escenario típico de tunelización, los datos de un protocolo se encierran dentro de la sección de carga útil de otro protocolo. La capa exterior, o "envoltorio", aparece como tráfico normal. Oculta el contenido interno no autorizado. Esto puede hacerse con protocolos como:

  • VPN (Redes Privadas Virtuales) para asegurar las comunicaciones a través de Internet encapsulando el tráfico de la red privada dentro de paquetes IP cifrados.
  • Secure Shell (SSH tunneling) para establecer conexiones cifradas entre el cliente y el servidor, la mayoría de las veces para eludir las restricciones de los cortafuegos.
  • DNS, HTTPS y HTTP Tunneling, que utiliza el tráfico para comunicarse de forma encubierta con servidores externos de mando y control encapsulando otro protocolo dentro de sesiones legítimas.
Por qué lo utilizan los atacantes

Por qué los atacantes utilizan la tunelización

Los agresores utilizan la tunelización como método para encapsular un protocolo de red dentro de otro, lo que les permite eludir los controles de seguridad, evadir la detección y mantener una comunicación persistente con los sistemas comprometidos. La tunelización permite a los atacantes transmitir sigilosamente datos, comandos o malware a través de los límites de la red que, de otro modo, restringirían o supervisarían dicho tráfico.

Estas son las razones específicas por las que los atacantes utilizan técnicas de tunelización:

Eludir cortafuegos y restricciones de red

  • Evasión de las políticas de seguridad: Los cortafuegos y los filtros de red suelen permitir ciertos tipos de tráfico y bloquear otros. Los atacantes utilizan el tunneling para encapsular protocolos prohibidos dentro de otros permitidos (por ejemplo, envolviendo tráfico malicioso dentro de protocolos HTTP o DNS) para saltarse estas restricciones.
  • Acceso a servicios restringidos: El tunelado permite a los atacantes llegar a servicios internos que no están expuestos a la red externa enrutando el tráfico a través de canales permitidos.

Sigilo y evasión

  • Ocultar la actividad maliciosa: Al incrustar comunicaciones maliciosas dentro de protocolos legítimos, los atacantes pueden evitar ser detectados por los sistemas de detección de intrusos (IDS) y los sistemas de prevención de intrusos (IPS).
  • Cifrado y ofuscación: El tunelado puede cifrar la carga útil, dificultando que las herramientas de seguridad inspeccionen el contenido del tráfico.

Exfiltración de datos

  • Robo sigiloso de datos: Los atacantes utilizan la tunelización para extraer datos confidenciales de una red comprometida sin activar las alertas de seguridad.
  • Evitar la detección: Al mezclar los datos filtrados con los patrones de tráfico normales, los atacantes reducen la probabilidad de ser detectados.

Mantener conexiones persistentes

  • Command and Control (C2): La tunelización facilita canales de comunicación persistentes entre los sistemas comprometidos y los servidores de los atacantes, incluso en presencia de medidas de seguridad.
  • Resistencia a los cambios de red: Los túneles pueden adaptarse a los cambios en la red, garantizando que la comunicación permanezca intacta.

Anonimato y evitación de atribuciones

  • Ocultar las direcciones IP de origen: Los túneles pueden ocultar el origen del atacante, lo que dificulta a los defensores rastrear el ataque hasta su fuente.
  • Uso de hosts intermedios: Los atacantes dirigen su tráfico a través de múltiples capas o hosts comprometidos para complicar aún más la atribución.

Abuso de protocolo

  • Aprovechamiento de protocolos permitidos: Los atacantes aprovechan los protocolos que suelen estar permitidos a través de los cortafuegos (por ejemplo, HTTP, HTTPS, DNS) para llevar a cabo actividades maliciosas.
  • Aprovechamiento de los puntos débiles: Algunos protocolos tienen puntos débiles inherentes o están menos controlados, lo que brinda una oportunidad a los atacantes.

Técnicas comunes de tunelización utilizadas por los atacantes

Túnel DNS

El tunelado DNS consiste en encapsular datos dentro de las consultas y respuestas DNS. Dado que el tráfico DNS es esencial para la resolución de nombres de dominio y a menudo se permite a través de cortafuegos sin un escrutinio estricto, los atacantes explotan este protocolo para incrustar datos o comandos maliciosos dentro de los paquetes DNS. Esta técnica les permite realizar exfiltraciones de datos y mantener comunicaciones de mando y control con sistemas comprometidos, aprovechando el tráfico DNS permitido para eludir las medidas de seguridad sin ser detectados.

Cómo funciona el túnel DNS

Túnel HTTP/HTTPS

La tunelización HTTP/HTTPS consiste en incrustar tráfico malicioso dentro de peticiones y respuestas HTTP o HTTPS estándar. Los atacantes aprovechan el uso generalizado y la aceptación del tráfico web para ocultar sus comunicaciones. Al encapsular sus datos en protocolos HTTP, pueden atravesar cortafuegos que normalmente permiten el tráfico web sin comprobaciones estrictas. La utilización de HTTPS añade una capa adicional de cifrado, lo que impide la inspección del contenido por parte de las herramientas de seguridad y oculta las actividades maliciosas dentro del tráfico web cifrado normal.

Funcionamiento del túnel http/https

Túnel SSH

Los túneles SSH utilizan conexiones Secure Shell (SSH) para reenviar de forma segura el tráfico de red. Los atacantes establecen túneles SSH para transmitir datos y comandos cifrados de extremo a extremo, evitando así el análisis de contenidos y la interceptación por parte de herramientas de supervisión de la red. Este método les permite eludir las restricciones de la red y mantener canales de comunicación cifrados y persistentes con los hosts comprometidos, a menudo explotando servicios SSH legítimos para evitar levantar sospechas.

Cómo funciona el túnel SSH

Túnel ICMP

El tunelado ICMP consiste en encapsular datos dentro de paquetes del Protocolo de Mensajes de Control de Internet (ICMP), como las solicitudes y respuestas de eco utilizadas habitualmente para diagnósticos de red como los comandos ping. Los atacantes se aprovechan de esto incrustando sus datos dentro de paquetes ICMP, aprovechando el hecho de que el tráfico ICMP a menudo se permite a través de cortafuegos para facilitar la solución de problemas de red. Esta técnica les permite eludir las reglas de los cortafuegos y transferir datos de forma encubierta, ya que es menos probable que el tráfico ICMP sea inspeccionado de cerca.

Cómo funciona el túnel ICMP

VPN y túneles cifrados

Los atacantes crean redes privadas virtuales (VPN) o túneles cifrados personalizados para encapsular su tráfico en canales seguros. Al establecer conexiones VPN utilizando protocolos estándar o métodos de cifrado personalizados, pueden transmitir datos, comandos o malware a través de los límites de la red manteniendo la confidencialidad y la integridad. Este enfoque dificulta la inspección o el análisis del tráfico por parte de las herramientas de supervisión de la red, lo que permite a los agresores mantener el anonimato, eludir la detección y comunicarse de forma persistente con los sistemas comprometidos bajo la apariencia de conexiones cifradas legítimas.

Cómo funcionan las VPN y los túneles cifrados
Detección de plataformas

Cómo detectar túneles ocultos

A pesar de los esfuerzos de los atacantes por pasar desapercibidos con túneles ocultos, sus comunicaciones introducen inevitablemente sutiles desviaciones en el flujo de conversaciones de la red. Es posible identificarlas con detecciones avanzadas basadas en IA. 

Vectra AI ofrece detecciones específicas para túneles DNS, HTTPS y HTTP ocultos. Cada una de ellas emplea un análisis altamente sofisticado de los metadatos del tráfico de red para identificar sutiles anomalías que indican la presencia de túneles ocultos. Examinando meticulosamente los comportamientos de los protocolos, Vectra AI detecta ligeras irregularidades que delatan la presencia de estas vías encubiertas. Esto le permite actuar con rapidez, antes de que los datos de su red se vean comprometidos.

Detección
Túnel DNS oculto
Más información
Detección
Túnel ICMP
Más información
Detección
Túnel HTTP oculto
Más información
Detección
Túnel HTTPS oculto
Más información
Detección
Túnel con fachada múltiple
Más información
Detección
Túnel ICMP: Cliente
Más información
Detección
Túnel ICMP: Servidor
Más información
Explorar todas las detecciones

Proteja su red con detecciones avanzadas

Los túneles ocultos son sólo uno de los métodos que utilizan los atacantes para infiltrarse en su red. Vea cómo las detecciones de Vectra AIproporcionan cobertura para el 90% de las técnicas relevantes de MITRE ATT&CK .

Explorar la plataforma
Más información

Preguntas frecuentes