Las técnicas de persistencia que evaden las protecciones de los endpoints existen desde hace mucho tiempo. El recientemente publicado Boothole(CVE-2020-10713) es otro ejemplo de ello. Entonces, ¿por qué tantas cabezas parlantes de la seguridad siguen prescribiendo mejoras incrementales sobre las mismas viejas soluciones para abordar este problema?Es hora de replantearse la Detección y Respuesta y utilizar datos de la única fuente que los atacantes no pueden detectar ni eludir: la red.
No es inusual que los grupos de amenazas persistentes avanzadas (APT) persigan servidores Linux en un entorno como punto de reunión de persistencia y exfiltración. Tener la capacidad de mantener la persistencia en estos servidores, incluso después de una reinstalación del sistema operativo, es la guinda del pastel. Los investigadores de Eclypsium han descubierto recientemente una de estas vulnerabilidades, denominada "Boothole". Se trata de una vulnerabilidad en el gestor de arranque GRUB2 utilizado por la mayoría de los sistemas Linux que puede utilizarse para obtener la ejecución de código arbitrario durante el proceso de arranque, incluso cuando Secure Boot está activado. Los atacantes que aprovechan esta vulnerabilidad pueden instalar bootkits persistentes y sigilosos o gestores de arranque maliciosos que podrían darles un control casi total sobre el dispositivo víctima mientras sobreviven a las reinstalaciones del sistema operativo.
Las herramientas de detección de puntos finales operan por encima de esta capa, por lo que son ciegas a la actividad del atacante. La única forma de detectar y desalojar a los atacantes que explotan estas técnicas es observar el rastro de red que dejan al controlar remotamente el dispositivo. No es de extrañar que la investigación de BlackBerry haya bautizado esta década como la "Década del troyano de acceso remoto (RAT)".
Entonces, ¿cómo podemos descubrir el RAT utilizando los datos de la red? El secreto reside en el modelado de amenazas del comportamiento. Mediante el análisis de numerosas muestras de RAT, el equipo de detección de amenazas de Vectra identificó diferencias en los patrones de comunicación de un RAT en comparación con uno normal.
Consideremos el siguiente ejemplo de gráficos de series temporales para los datos transferidos durante dos sesiones TCP. La primera sesión TCP representa el tráfico de una RAT y la segunda el tráfico normal de Internet. En la serie temporal de la RAT se pueden ver picos de bytes recibidos seguidos de bytes enviados. Esos picos alternados son comandos emitidos por el atacante externo y la respuesta del host infectado. Comparando esto con el tráfico de una sesión TCP normal, hay una clara diferencia. En redes activas, estas diferencias son casi imposibles de discernir para un humano, dado el enorme volumen de datos, la sutileza de la diferencia en la comunicación y el hecho de que la comunicación se produce dentro de una única sesión TCP que puede estar cifrada.
Mientras que a los humanos les costará ver las diferencias cuando observen el tráfico real, los modelos de IA que han visto miles de muestras destacan a la hora de hacer esta distinción. En concreto, una arquitectura de aprendizaje profundo conocida como redes neuronales recurrentes con memoria a largo y corto plazo (LTSM) que conservan la "memoria" a lo largo del tiempo se diseñó específicamente para trabajar con este tipo de datos. Al aplicar modelos de IA basados en LSTM para buscar el patrón de comunicación de un RAT en los datos de red, se pueden detectar en tiempo real con alta fidelidad basándose en el comportamiento observado. La belleza del enfoque reside en su eficacia. Funciona independientemente de la herramienta o implante específico, y es agnóstico al cifrado, no requiriendo ningún descifrado del tráfico.
El enfoque de Vectra para la detección de amenazas combina la experiencia humana con un amplio conjunto de ciencia de datos y técnicas avanzadas de aprendizaje automático. Este modelo ofrece un ciclo continuo de detecciones de amenazas basado en investigación de vanguardia, modelos de aprendizaje global y local, aprendizaje profundo y redes neuronales. Para obtener más información sobre nuestro enfoque de la ciencia de datos, lea nuestro libro blanco o pruebe Vectra Cognito para comprobarlo usted mismo.