Opinión
Cuando el criminal utiliza herramientas legítimas para introducirse en la empresa
Recuerdo una noche de sábado, hace algunos meses. El equipo de investigación de CrowdStrike en el hemisferio sur estaba a punto de pasar el turno a sus colegas del hemisferio norte. Todo parecía bajo control. La semana había sido dura pero el fin de semana se presentaba tranquilo. Pero como siempre antes de la tormenta, todo estaba en calma. En unos segundos, empezamos a detectar miles y miles de incidentes en un único cliente.
El equipo de detección de amenazas solo tardó un minuto en darse cuenta de la gravedad de la situación. La detección por sí misma no fue complicada, pero lo que sorprendió a los investigadores fue cómo tantos hosts estaban atacando a la vez a una sola víctima. Rápidamente se procedió a determinar la raíz del problema, ya que la interfaz mostraba claramente el proceso malicioso y se veía muy bien lo que estaba ocurriendo: se estaba intentando ejecutar un comando a través de PowerShell. Una herramienta legítima de gestión de la compañía había lanzado un comando cmd.exe y estaba intentando ejecutar un comando PowerShell cifrado. Afortunadamente, la actividad maliciosa estaba siendo detenida.
Una vez bloqueado el intento de ataque, el equipo de investigación empezó a analizar la situación. ¿Por qué se había permitido desplegar un código malicioso desde un servicio legítimo? ¿Qué código PowerShell se estaba intentando ejecutar en el servidor?
Analizando el árbol de procesos se identificó que dentro de los parámetros de las líneas de comando de la ejecución de la herramienta de gestión se podía observar el nombre de dominio de la plataforma de gestión cloud de la propia herramienta y esto confirmó las sospechas del equipo: se trataba de una herramienta de confianza, un servicio de control del administrador de sistemas de la compañía.
En realidad, es muy común que en este tipo de intrusiones el delincuente tome control de la cuenta de administrador, ya sea mediante técnicas de phishing, fuerza bruta o incluso habiéndolas comprado en los mercados del cibercrimen. Sin embargo, estas técnicas normalmente se aprovechan de ciertas debilidades en las plataformas cloud, ya sea porque no existen sistemas de autenticación multifactor o porque fallan las restricciones de IP. En este caso, ocurrió precisamente eso. Parece ser que los delincuentes habían comprometido la cuenta del administrador y la estaban utilizando para desplegar el código malicioso. Lo primero que hizo la empresa afectada fue, por tanto, deshabilitar la cuenta infectada y poner en marcha un sistema de autenticación multifactor.
Lo primero que nos confirma este ataque es que detectar un ataque a tiempo es clave para responder frente a él de forma eficaz. El tiempo de respuesta fue fundamental, la actividad maliciosa se bloqueó, se investigó, se analizó y se comenzó a resolver en tan solo quince minutos. Diez minutos más tarde, se estableció comunicación con la empresa infectada para informar sobre la situación y ofrecer las recomendaciones necesarias para reducir los riesgos. A los 40 minutos de la detección, los delincuentes habían modificado sus técnicas al ver que no estaban surtiendo efecto y a las dos horas el incidente se dio por concluido.
La empresa afectada también se dio cuenta de que es necesario un equipo de profesionales que pueda dar una respuesta coordinada para ir siempre un paso por delante del adversario. En este caso en concreto, un analista estuvo en todo momento en contacto con el cliente atacado para ofrecerle información detallada sobre los avances de la investigación y ofreciendo consejos y recomendaciones sobre los siguientes pasos. Otro analista investigó las muestras de malware para poder identificarlas correctamente y conseguir que se pudieran bloquear sus actividades. Y el resto del equipo de seguridad se dedicó a investigar el resto de la infraestructura para ver si estaba afectada. Todo esto permitió conseguir una visión completa pero muy precisa.
Como pudimos observar en este ataque, los ciberdelincuentes siguen utilizando las herramientas de gestión de los administradores de sistemas para conseguir sus objetivos. Cuando estas herramientas se encuentran en la nube, el trabajo de los criminales es mucho más sencillo si no se imponen controles de seguridad apropiados. En este caso, se estaban utilizando aplicaciones legítimas que podrían haber pasado desapercibidas y una vez que el ciberdelincuente consigue el control de una de estas herramientas de administración, puede instalar lo que quiera en cualquier máquina conectada. Por eso la autenticación multifactor es clave para proteger los servicios cloud, pero también son importantes controles como la restricción de IPs o permisos y bloqueos por geolocalización.
Por otro lado, las herramientas que utilizan los administradores de sistemas suelen incorporar funciones de exclusión y permiso. Por ejemplo, la conexión a un sitio de confianza no es inspeccionada porque se presupone su legitimidad. O el acceso a directorios de ejecución se salta los controles porque las herramientas en el endpoint confían en ellos.
Como hemos visto, es necesario contar con un enfoque más global que proteja el endpoint y que evite ataques de este tipo. Al fin y al cabo, los ciberdelincuentes cada vez utilizan métodos más sofisticados para saltarse cualquier tipo de protección y hay que conseguir ir un paso por delante de ellos.
Firmado: Joan Taule, vicepresidente de CrowdStrike para el sur de Europa