Técnicas de evasión avanzadas

Publicado en Artículos, Seguridad,


Tweet about this on TwitterShare on Google+2Share on Facebook0Share on LinkedIn0

El mundo del cibercrimen, en constante evolución, dio un importante paso al respecto en el año 2010 con la aparición de las conocidas como técnicas de evasión avanzadas o «advanced evasion techniques» (AETs). Este tipo de técnicas son el resultado de la combinación de diferentes estrategias con el fin de prevenir que un ataque sea detectado por los diferentes sistemas de detección de intrusiones, principalmente los relacionados con el tráfico de red como es el caso de los sistemas de detección de intrusiones o «intrusion detection systems» (IDS) o sistemas de prevención de intrusiones o «intrusion prevention system» (IPS)

Estos mecanismos son utilizados principalmente en ataques con un alto grado de sofisticación como por ejemplo es el caso de algunas botnets y de las Amenazas Persistentes Avanzadas o “Advanced Persistant Threats” (APTs), y son una parte fundamental de los mismos ya que propician entre otras cosas la intrusión dentro de los sistemas atacados o la exfiltración de información sensible.

Desde el punto de vista de la intrusión, el proceso consiste principalmente en fragmentar los payloads maliciosos y enviarlos a través de diferentes protocolos, normalmente poco habituales, con el fin de que una vez que hayan sorteado las protecciones del sistema atacado se vuelvan a unir para poder así continuar con el proceso de comprometer el sistema.

Desde el punto de vista de la exfiltración, un ejemplo práctico de AETs son los covert channels (canal encubierto – puede ser usado para transferir información desde un usuario de un sistema a otro) y los algoritmos de generación de dominios o “domain generation algorithms” (DGA).

En lugar de tener en el código de un malware los dominios con los que debe comunicarse, muchas botnets incorporan un sistema DGA, mediante el cual se generan periódicamente en base a ciertos criterios gran cantidad de dominios, llegando incluso a más de 1.000 dominios diarios.

De este modo, el malware comprueba si esos dominios están accesibles, y en el caso de que lo estén, intenta establecer conexión con ellos con el fin de recibir actualizaciones o instrucciones. El bot master, al haber creado el algoritmo, es capaz de predecir los dominios que se generarán, por lo que se anticipa y registra aleatoriamente algunos de ellos, los activa, realiza la comunicación con los nodos y finalmente los desactiva.

Este mecanismo dificulta el trabajo de los analistas de malware y de las empresas de seguridad, ya que se debe realizar ingeniería inversa con el fin de comprender el funcionamiento de dicho algoritmo y así evitar que el malware se conecte con el servidor C&C, o adelantarse al bot master y registrar algún dominio para poder establecer la comunicación con los nodos.

De manera habitual, utilizan el timestamp como base para generar los dominios, pero en ocasiones son más originales, como es el caso de la botnet Torpig, que utiliza los trending topics de Twitter como base para la generación de dominios. Además, con el fin de ocultar este tráfico fraudulento, realizan peticiones a sitios legítimos.

Existen otros ejemplos de AETs como es el caso de la utilización de campos poco habituales de algunos protocolos, la ofuscación o encriptación de los datos transferidos, o algunos ataques de denegación de servicio. Un ejemplo claro de este último es provocar la ralentización del procesamiento de datos por parte de un dispositivo de red de modo que se imposibilite la capacidad de gestionar correctamente todo el tráfico. Este hecho puede provocar que el dispositivo funcione en modo de error y que bloquee o permita todo el tráfico.

Para hacerse una idea del peligro real que suponen estas técnicas, es importante tener en cuenta algunos datos como los que refleja el informe “Industry Experts Speak Out on Advanced Evasion Techniques” de McAfee, en el que se indica lo siguiente:

  • Se estima que hay activas alrededor de 330.000 AETs.
  • Menos del 1% son detectadas por los firewalls.

El riesgo de las AETs viene provocado por las debilidades y falta de flexibilidad de los sistemas de detección. Muchos dispositivos de protección perimetral se basan aún hoy en día principalmente en sistemas estadísticos y en detecciones basadas en firmas o patrones analizando para ello los paquetes recibidos; protección totalmente insuficiente frente a este tipo de amenazas. La creación de un modelo de detección basado en firmas únicas es totalmente inasumible debido a las posibles combinaciones de las más de 200 técnicas de este tipo conocidas, cerca de 1.000.000.

Por otra parte, estos sistemas no mantienen de manera habitual un análisis continuo del flujo de comunicación, sino que lo hacen fraccionadamente con el fin de optimizar los recursos requeridos por el dispositivo como capacidad de proceso o memoria. Este hecho contribuye a la dificultad de su detección.

Pese a que ya han pasado más de 4 años desde su aparición, en la actualidad no existe un gran conocimiento sobre este tipo de amenazas por lo que es complicado tomar medidas al respecto. Sin embargo, hay disponible varias utilidades especializadas que permiten comprobar la respuesta de nuestros sistemas frente a ellas, como es el caso de Evader (http://evader.mcafee.com) . Evader es una utilidad gratuita multiplataforma que permite realizar pruebas sobre la protección de los dispositivos de red frente a AETs. Mediante dicha herramienta es posible utilizar diferentes exploits conocidos y preconfigurados para testear la seguridad e integridad del sistema. Así mismo, permite la prueba manual de diferentes AETs.

Algunas otras herramientas de similares características y que por tanto pueden ser de utilidad son: Fragroute, whisker, ADMmutate Evasion Tool o incluso el propio Metasploit.

Es fundamental que los diferentes agentes implicados tomen conciencia del riesgo que suponen estas amenazas y hagan un importante esfuerzo en investigarlas y tomar las medidas necesarias para mejorar la seguridad de ciertos sistemas, como puede ser el caso de las infraestructuras críticas. En la actualidad, su utilización está aumentado y el hecho de no tomar las medidas oportunas puede tener repercusiones muy negativas.


vía INCIBE

 

Califica esta entrada

Etiquetas: ,


Deja un comentario

Cuanto es 20 + 8 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos