Para los hackers, especialmente los que trabajan como parte de grupos de amenazas persistentes avanzadas (APT por sus siglas en inglés), comprometer la seguridad del perímetro de la red es sólo el primer paso en un juego potencialmente largo. Una vez que atraviesan el cortafuegos, llevan a cabo una serie de actividades hasta que alcanzan su objetivo final: robar dinero o información confidencial o causar daños a largo plazo a los sistemas y la reputación de la víctima.
Al saber cuáles son estas actividades, las organizaciones pueden identificar mejor los incidentes de seguridad en curso y responder en consecuencia. Aquí descubrimos el libro de jugadas básico de los hackers exitosos.

1. Acceso seguro a la red

El fraude sofisticado requiere tiempo para su puesta en marcha y ejecución; es muy poco probable que los delincuentes puedan hacer todo el trabajo necesario en un día. Su primera prioridad una vez en su red es el acceso seguro, lo que les permite volver a conectarse cuando lo deseen.

Por lo general, el acceso se obtiene a través de un PC comprometido, por lo que establecerán alguna forma de poder acceder continuamente. Esto se consigue normalmente instalando una puerta trasera que actúa como campamento base para la etapa 2.

2. Comprometer las credenciales

Una vez dentro de su red, la atención se desplaza hacia la captura de permisos elevados que permiten a los hackers un mayor control sobre los recursos de la red. Lo ideal es que busquen credenciales de nivel administrativo a nivel local o de dominio, lo que les permitirá un mayor control y una mayor visibilidad de los recursos de la red.

Los hackers tienen una gama de herramientas a su disposición, desde registradores de pulsaciones de teclas instalados en los terminales, hasta ataques man in the middle (MITM) que olfatean paquetes, exploran puertos y secuestran sesiones en el segmento de red actual. En algunos casos, pueden eliminar bibliotecas de software para activar una llamada al servicio de asistencia técnica; esto les permite capturar credenciales de nivel de administrador cuando el ingeniero de asistencia técnica inicia sesión para iniciar la resolución de problemas, una técnica conocida como "pasar el hash".

3. Explotar y/o comprometer las vulnerabilidades existentes

Mientras el enfoque continúa siendo tratar de capturar las credenciales a nivel de administrador, los hackers también explorarán en busca de vulnerabilidades de seguridad básicas en otras partes de la red. Los recursos adjuntos a la red se analizarán en busca de errores de configuración, especialmente cuando los detalles de inicio de sesión predeterminados no se hayan cambiado o se hayan dejado en blanco.

Al tomar el control de recursos adicionales, los hackers consolidan el acceso a la red y aumentan los vectores de ataque potenciales a medida que entran en juego técnicas más profundas.

4. Acceso seguro a servidores corporativos

Con el acceso seguro a los terminales, la atención se desplaza a los servidores donde se alojan los servicios y datos clave. Por ejemplo, crearán nuevas cuentas de nivel de administrador en el dominio, lo que ayudará a reducir el riesgo de ser detectado. También crearán nuevas claves SSH e instalarán rootkits para ocultar aún más sus actividades.

Luego se afincarán en buscar la mejor manera de extraer los datos sin detectarlos. Los canales encubiertos como los proxies HTTPS y los túneles DNS son perfectos para disfrazar actividades no autorizadas porque tienden a pasar desapercibidos en medio del tráfico de red "normal". También comprometerán los sistemas de detección de intrusos a través de una mala configuración general, o al hacer una lista blanca de los hosts afectados para ignorar cualquier tráfico, desviando así la sospecha.

En algunas ocasiones se ha sabido que los hackers utilizan aplicaciones estándar para acelerar el proceso. Las legítimas herramientas de soporte de red como Radmin, Teamviewer y Anydesk ofrecen una forma rápida y sucia de controlar los servidores y extraer datos sin levantar demasiadas banderas rojas con el equipo de seguridad de red de sus víctimas.

¿Qué esperan lograr los hackers?

Con acceso de nivel administrativo a una red corporativa, los ciberdelincuentes son libres de hacer casi cualquier cosa que elijan. Prácticamente todas las actividades de piratería se llevan a cabo con fines de lucro, o como parte de un programa de espionaje financiado por un Estado nacional extranjero o un competidor corporativo.

La exfiltración de datos es generalmente una prioridad. Una vez en posesión de la información corporativa, los hackers pueden buscar detalles delicados - como el número de tarjeta de crédito - o vender los datos a un tercero. Donde la exfiltración no es posible, los delincuentes buscarán en las bases de datos y aplicaciones buscando cuentas bancarias, cuentas de comercio de acciones, certificados de encriptación corporativa, o cualquier otra cosa que puedan vender.

Algunos ciberataques son simplemente parte de un proyecto mayor. Los ataques a la cadena de suministro permiten a los hackers propagar vulnerabilidades a otras partes, comprometiendo las redes secundarias desde el interior y aumentando drásticamente sus objetivos potenciales. Otras veces pueden comprometer las aplicaciones web utilizando inyecciones de código; en el caso de la reciente violación de British Airways, un ataque de inyección de código no fue detectado durante 15 días, permitiendo a los hackers capturar los datos de las tarjetas de crédito de los clientes directamente desde el sitio web de ba.com.

En otros casos, los ataques pueden ser diseñados puramente para causar el máximo daño o interrupción. Al eliminar o corromper los datos, las operaciones comerciales pueden verse gravemente perturbadas a un costo significativo para la víctima.

Cómo reducir su superficie de ataque

En el centro de sus defensas cibernéticas se encuentra el entendimiento de que este es un proceso continuo; la seguridad necesita ser constantemente revisada, revisada y fortalecida para reducir el riesgo de convertirse en una víctima.

El primer paso es crear una serie de políticas de ciberseguridad que detallen los riesgos potenciales y las respuestas a una presunta infracción. Además de definir una política de control de acceso que regule los permisos, deberá incluir las cuestiones de ciberseguridad como parte de una política de personal más amplia, haciendo hincapié en que todos tienen un papel que desempeñar para mantener la seguridad de la empresa. Se recomienda incluir cursos de formación sobre seguridad para los empleados, ya que las personas suelen ser la parte más débil de la cadena de ciberseguridad. Por último, una política de incidentes de seguridad ayudará a definir lo que ocurre en caso de sospecha de infracción y cómo se llevará a cabo la investigación y la reparación.

En segundo lugar, su empresa debe analizar cómo se mejorará la seguridad de la red. Una mejor gestión de la identidad reducirá el riesgo de ser víctima de, por ejemplo, ataques básicos de inicio de sesión. También necesitará restringir drásticamente el acceso a los recursos, utilizando listas de control de acceso (ACL) y gestión de usuarios privilegiados para evitar que se utilicen credenciales comprometidas fuera de sus funciones previstas.

La gestión del cambio también desempeñará un papel increíblemente importante a la hora de garantizar que los recursos de la red estén correctamente parcheados y actualizados. El mantenimiento de los registros de control de cambios y de gestión de la configuración le permite rastrear rápidamente los cambios de red sancionados y aquellos que puedan haber sido realizados por un tercero no autorizado. Un registro de gestión de parches similar ayudará a realizar un seguimiento de los sistemas que han sido actualizados o no.

Incluso con estas salvaguardias, siempre existe el riesgo de que se rompa la red mientras esté disponible en Internet. Para reducir aún más las posibles superficies de ataque, los principios de las mejores prácticas sugieren realizar pruebas de penetración al menos una vez al año. De esta forma, podrá identificar y parchear las vulnerabilidades antes de que sean explotadas. También debe comprobar cuidadosamente los requisitos legales: el cumplimiento del PCI DSS exige que se realicen pruebas de penetración cada seis meses.

La ciberdelincuencia moderna es un juego de grandes apuestas, con el potencial de arruinar un negocio desde el punto de vista financiero y de la reputación. También es una disciplina muy técnica y que requiere muchos recursos, lo que significa que muchas organizaciones carecen de los recursos y los conocimientos necesarios para probar y mantener las defensas dentro de la empresa.

Como probadores de seguridad experimentados, Advantio tiene la experiencia necesaria para ayudar a probar y proteger mejor su red. Llámenos para saber más sobre cómo podemos ayudarle a protegerse mejor.

El conjunto de herramientas ofrece buenos consejos, buenas prácticas sin jerga y muchos recursos gratuitos. Dado que a los empresarios y ejecutivos de negocios a menudo les resulta difícil abordar la amenaza de los ciberataques a sus empresas, el conjunto de herramientas proporcionará orientación y herramientas en áreas como la prevención de la suplantación de identidad (phishing), defenderse contra software de rescate (ransomware), las mejores prácticas en materia de contraseñas, el inventario de dispositivos y aplicaciones, y las herramientas de DMARC para proteger la reputación de la marca.

Contáctenos

 

Serhii Puzyrko

Written by Serhii Puzyrko

I am the Advantio’s Penetration Tester experienced in PTES, OWASP, NIST and OSSTMM testing methods and I also bring to the table strong computer proficiencies in Burp Suite, Metasploit Framework, vulnerability scanners, and many others.

Aside from work I am into researching and analyzing cyber attacks against different infrastructures, so expect to see related to the topic articles.