Recientemente, Kasperky Labs ha revelado que ha sido víctima de un sofisticado ciberataque, al que han denominado Duqu 2.0. El equipo de Kaspersky Labs ha publicado un análisis detallado de Duqu 2. 0 que merece la pena leer.
La amenaza original de Duqu
La amenaza original Duqu era una familia de malware que, según la mayoría de los investigadores, fue creada por un Estado-nación y está relacionada con el infame worm Stuxnet. Mientras que Stuxnet se utilizó para dañar las centrifugadoras utilizadas para enriquecer uranio, el Duqu original parecía más destinado a la vigilancia y la recopilación de información dentro de una red comprometida.
El análisis de Kaspersky proporciona algunos datos muy interesantes sobre el ataque y, en mi opinión, muestra claramente el papel fundamental de los sistemas basados en el comportamiento en la detección de ataques avanzados.
Al igual que el marco Duqu original, Duqu 2.0 hace un uso intensivo de vulnerabilidades zero-day para comprometer los sistemas de sus víctimas iniciales. A partir de este compromiso inicial, los atacantes fueron capaces de hacer lo siguiente:
- Realice un reconocimiento interno para cartografiar la topología de la red interna.
- Utilizar una técnica de ataque Kerberos llamada "pass-the-hash" para propagarse lateralmente dentro de la red.
- Elevar sus privilegios a una cuenta de administrador de dominio.
- Utilice esos privilegios de administrador de dominio para entregar paquetes MSI para infectar hosts adicionales.
Anomalías detectadas por Vectra
Estos pasos calculados son precisamente los tipos de comportamientos que Vectra detecta en tiempo real y sin necesidad de firmas ni listas de reputación de terceros.
- Escaneos internos de la Darknet y escaneos de puertos - Estas detecciones de Vectra revelan a un atacante mapeando la red interna, e identificando los servicios disponibles en cualquier host recién encontrado.
- Actividad de clientes Kerberos: esta detección revela una serie de ataques, como el uso de credenciales robadas y ataques pass-the-hash que permitieron a los atacantes moverse lateralmente dentro de la red de Kaspersky. Aunque existen muchas variantes de pass-the-hash, Vectra es capaz de identificar el comportamiento fundamental que todas tienen en común.
- Replicación automatizada: esta detección revela que un host concreto propaga cargas útiles similares por toda la red, como los paquetes MSI maliciosos utilizados para infectar otros hosts.
Aunque estas detecciones arrojan luz sobre varios puntos, también es importante ver el panorama general. En muchos aspectos, Duqu 2.0 se parece mucho al original. Atacantes sofisticados con conocimiento de las vulnerabilidades de zero-day infectan silenciosamente un host y se propagan y espían silenciosamente en la red. Es muy probable que este patrón siga repitiéndose, aunque la próxima vez con una nueva vulnerabilidad de zero-day cero.
Los atacantes más sofisticados siempre lanzarán nuevas vulnerabilidades. Pero sus objetivos y acciones fundamentales una vez dentro de la red tienden a permanecer sorprendentemente constantes.
Los atacantes se orientarán en una red, escalarán privilegios y se extenderán por la red. Estos comportamientos son directamente observables por los productos que vigilan de cerca las redes internas. A menos que empecemos a aplicar modelos de seguridad que se centren en estos comportamientos, la secuela se parecerá mucho al episodio que ya hemos visto.