Abriendo camino: Comprender e identificar los túneles ocultos

11 de julio de 2018

Vectra AI Equipo de investigación sobre seguridad

Abriendo camino: Comprender e identificar los túneles ocultos

En los últimos años, un descubrimiento alarmante ha sacudido el sector de los servicios financieros: los piratas informáticos están explotando túneles ocultos para violar y robar en las instituciones financieras. No se puede exagerar la gravedad de esta situación, ya que se trata de actores maliciosos que tienen como objetivo grandes cantidades de dinero e información personal sensible. Pero, ¿qué son exactamente estos túneles ocultos y cómo funcionan? Analicemos qué son los túneles ocultos y cómo los encuentro para descubrir la respuesta.

Qué son los túneles ocultos

Túneles legítimos vs. ocultos

Los túneles ocultos son una forma sofisticada de ciberataque. Aunque existen muchos túneles legítimos dentro de las redes, utilizados por las empresas para compartir datos de forma segura entre aplicaciones o sistemas, los túneles ocultos tienen un propósito nefasto. Permiten a los atacantes llevar a cabo actividades de mando y control y filtrar datos críticos e información de identificación personal (IIP ) de las redes corporativas. Al hacerse pasar por tráfico normal, estos túneles posibilitan el robo remoto de información, lo que permite exfiltrar sigilosamente los datos robados.

Retos en la detección

Estos túneles ocultos son notoriamente difíciles de detectar porque se mezclan a la perfección con el tráfico legítimo de la red, a menudo utilizando protocolos comunes para evitar levantar sospechas. Los ciberdelincuentes suelen robar datos de forma incremental a lo largo de periodos prolongados, lo que minimiza el riesgo de que salten las alarmas. Los métodos empleados por los atacantes sólo están limitados por su ingenio. Por ejemplo, una solicitud HTTP-GET estándar puede ocultar un comando malware oculto en un campo de texto, mientras que una respuesta HTTP puede contener instrucciones encubiertas de un servidor de mando y control.

Técnicas de incrustación

El potencial de la comunicación oculta se extiende más allá de los simples campos de texto, abarcando varios campos, cabeceras y cookies dentro de los protocolos de red. Sin técnicas de detección especializadas, estos túneles ocultos pueden operar sin ser detectados, causando daños significativos antes de que se pueda montar cualquier respuesta. Incluso la descodificación progresiva de los protocolos no suele revelar la verdadera naturaleza de estas comunicaciones maliciosas, ya que están hábilmente incrustadas en flujos de datos por lo demás legítimos.

Detección de túneles ocultos: El enfoque de Vectra AI

Análisis sofisticado de metadatos

Vectra AI emplea un análisis altamente sofisticado de los metadatos del tráfico de red para identificar sutiles anomalías indicativas de túneles ocultos. Examinando meticulosamente los comportamientos de los protocolos, Vectra puede detectar ligeras irregularidades que delatan la presencia de estas vías encubiertas. A pesar de los esfuerzos de los atacantes por pasar desapercibidos, sus comunicaciones introducen inevitablemente sutiles desviaciones en el flujo de las conversaciones de la red. Estas anomalías pueden manifestarse como pequeños retrasos o patrones inusuales en las secuencias de solicitud y respuesta.

Inconsistencias de comportamiento como indicadores

Por ejemplo, imaginemos que alguien pide un bocadillo de atún pero lo recibe en 100 trozos pequeños en lugar de un paquete entero. Un método de entrega tan inusual levantaría sospechas. Del mismo modo, los métodos de detección de Vectra identifican incoherencias de comportamiento que apuntan a túneles ocultos. Mediante modelos matemáticos y algoritmos avanzados, Vectra AI detecta con precisión túneles ocultos en el tráfico HTTP, HTTPS y DNS sin necesidad de descifrar los datos.

Técnicas avanzadas de detección

Esta capacidad de identificar amenazas sin inspección profunda de paquetes es crucial, ya que permite a Vectra AI descubrir túneles ocultos independientemente de los campos específicos utilizados por los atacantes o de cualquier técnica novedosa de ofuscación empleada. La desviación del comportamiento normal del protocolo sigue siendo un indicador fiable de actividad maliciosa, lo que garantiza que los túneles ocultos queden al descubierto y se aborden con prontitud.

Ayudar a los analistas de seguridad a encontrar túneles ocultos y otras amenazas

La complejidad y la velocidad a la que evolucionan las ciberamenazas dificultan a los analistas de seguridad seguir el ritmo. Las avanzadas capacidades de detección de Vectra ofrecen una ventaja única, permitiendo la identificación rápida y precisa de túneles ocultos y otras ciberamenazas. Al aprovechar la tecnología deVectra AI, las instituciones financieras pueden mejorar significativamente su capacidad para responder a estas amenazas, salvaguardando sus activos e información sensible con mayor eficacia.

En conclusión, el descubrimiento de túneles ocultos en los servicios financieros pone de manifiesto la evolución de las tácticas de los ciberdelincuentes y subraya la necesidad de estrategias avanzadas de detección y respuesta. El enfoque innovador de Vectra AI AI proporciona una sólida defensa contra estos sofisticados ataques, garantizando que las instituciones financieras puedan proteger sus redes y mantener la confianza de sus clientes. A medida que las amenazas cibernéticas siguen creciendo en complejidad, mantenerse por delante de los actores maliciosos requiere innovación continua y vigilancia en las prácticas de ciberseguridad.

¿Quiere saber más?

Vectra AI es el líder en detección y respuesta a amenazas cloud híbrida basadas en IA de seguridad. La plataforma y los servicios de Vectra cubren la cloud pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como cloud. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la apropiación de identidades y otros ciberataques que afectan a su organización.

Si quiere saber más, póngase en contacto con nosotros y le mostraremos exactamente cómo lo hacemos y qué puede hacer para proteger sus datos. También podemos ponerle en contacto con uno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.

Contáctenos

Preguntas frecuentes

¿Qué son los túneles ocultos en ciberseguridad?

Los túneles ocultos son canales encubiertos utilizados por los ciberatacantes para llevar a cabo actividades de mando y control y de exfiltración de datos. Disfrazan el tráfico malicioso de comunicación legítima para eludir las medidas de seguridad y pasar desapercibidos dentro de una red.

¿En qué se diferencian los túneles ocultos de los túneles de red legítimos?

Mientras que los túneles legítimos facilitan el intercambio eficaz de datos dentro de las redes o entre aplicaciones, los túneles ocultos se utilizan de forma maliciosa para robar datos confidenciales. Se mezclan con el tráfico normal, lo que dificulta su detección y permite a los atacantes controlar y filtrar información a distancia.

¿Por qué los túneles ocultos son especialmente preocupantes para las empresas de servicios financieros?

Las empresas de servicios financieros son objetivos prioritarios debido al alto valor de sus datos, incluidas las transacciones financieras y la información personal identificable (IPI). Los túneles ocultos permiten a los atacantes desviar estos datos sensibles sin ser detectados, lo que puede provocar graves daños financieros y de reputación.

¿Qué técnicas suelen utilizar los atacantes para crear túneles ocultos?

Los atacantes suelen incrustar comunicaciones maliciosas en protocolos normales como HTTP, HTTPS y DNS. Por ejemplo, pueden ocultar solicitudes de malware en campos de texto HTTP-GET o instrucciones de comando y control en respuestas HTTP. También utilizan diversas técnicas de ofuscación para evitar ser detectados.

¿Cómo pueden detectarse los túneles ocultos si imitan el tráfico legítimo?

La detección consiste en analizar los metadatos del tráfico de red en busca de anomalías sutiles en el comportamiento del protocolo. Esto incluye la identificación de ligeros retrasos, patrones anormales en las solicitudes y respuestas, y otras desviaciones del flujo normal de comunicación que indican la presencia de un túnel oculto.

¿Qué papel desempeña una plataforma de detección y respuesta a amenazas en la identificación de túneles ocultos?

Una plataforma de detección y respuesta a amenazas como la de Vectra utiliza modelos matemáticos avanzados y análisis de comportamiento para detectar túneles ocultos sin descifrar el tráfico. Identifica comportamientos de ataque sutiles y anomalías, lo que permite una detección rápida y precisa de los canales encubiertos.

¿Por qué las medidas de seguridad tradicionales no detectan eficazmente los túneles ocultos?

Las medidas de seguridad tradicionales, como la inspección profunda de paquetes, suelen ser ineficaces porque los túneles ocultos se mezclan con el tráfico legítimo y utilizan sofisticadas técnicas de ofuscación. La descodificación progresiva de los protocolos podría no revelar la naturaleza maliciosa de las comunicaciones ocultas.

¿Cómo funciona el método de Vectra para detectar túneles ocultos?

Vectra analiza continuamente los metadatos del tráfico de red en busca de sutiles anomalías en los protocolos. Mediante el uso de modelos matemáticos para detectar desviaciones del comportamiento normal en el tráfico HTTP, HTTPS y DNS, Vectra puede identificar túneles ocultos sin necesidad de inspección profunda de paquetes ni descifrado.

¿Qué hace que el análisis del comportamiento sea crucial para detectar túneles ocultos?

El análisis del comportamiento es crucial porque los túneles ocultos introducen anomalías en los patrones de comunicación. Entre ellas se incluyen ligeros retrasos y patrones inusuales de solicitud-respuesta que se desvían del comportamiento normal. Detectar estas señales sutiles requiere un análisis sofisticado que va más allá de los métodos tradicionales.

¿Cómo puede beneficiarse un Centro de Operaciones de Seguridad (SOC) del uso de una plataforma de detección de amenazas como Vectra?

Un SOC se beneficia de la plataforma de Vectra al obtener la capacidad de detectar con rapidez y precisión túneles ocultos y otras amenazas avanzadas. Esto mejora la capacidad del SOC para responder a las ciberamenazas, reduciendo el riesgo de filtración de datos y mejorando la seguridad general de la red.