Fallas de seguridad en redes corporativas: Vulnerabilidades de redes

En nuestra anterior entrada del blog, hablamos sobre los tipos de ataques que un cibercriminal puede realizar desde una cuenta de usuario regular sin privilegios de administrador. Pusimos el ejemplo de cómo la herencia de privilegios simplificada en un contexto de autorización de dominios (Single-Sign-On) permite que los cibercriminales accedan a varios recursos y servicios de red aunque tengan el acceso limitado de una cuenta de usuario regular. En esta entrada, revisaremos en detalle los posibles vectores para lanzar ataques a redes corporativas desde un ordenador infectado en su interior.

Cuando el cibercriminal ha logrado ingresar al sistema de un usuario de una red corporativa, a continuación se desarrollan tres etapas consecutivas: el establecimiento en el sistema, el análisis del entorno y la difusión del programa malicioso. Cada etapa se puede implementar de formas diferentes, que difieren en sus métodos técnicos, estrategias y tácticas. El gráfico de abajo muestra los modos que los cibercriminales podrían utilizar para establecerse en el sistema, analizar el entorno y difundir malware en una red corporativa.

Diagrama de flujo de las acciones de un cibercriminal

Es importante que los especialistas en seguridad informática reconozcan las características de los diferentes tipos de ataques. Usando el “plan de acción” propuesto, los especialistas en seguridad informática pueden detectar un ataque buscando las equivalencias entre los incidentes que ocurren en las redes y los diferentes patrones de actividad cibercriminal.

Formas de establecerse en el sistema

Los atacantes suelen descargar herramientas (incluyendo malware) en el ordenador de la víctima pocos minutos u horas después de haber irrumpido en una red corporativa. Necesitan estas herramientas para recolectar información sobre el sistema y los programas que tiene instalados, buscar archivos y datos, establecer una conexión con el servidor de Comando y Control (C&C), robar las credenciales de ingreso, forzar contraseñas, comprometer cuentas, escalar privilegios, infectar un sistema, interceptar el tráfico de redes, escanear dispositivos de red, etc.

Los atacantes hacen maniobras con diferentes grados de complejidad para esconder estas herramientas de los administradores durante la descarga y evitar alertar a los sistemas de seguridad activos:

• Los archivos se transfieren mediante protocolos de red y puertos de funciones generales (HTTP, FTP, HTTPS, SFTP), así que se pierden entre las grandes cantidades de tráfico generado por el usuario.
• Los archivos se descargan desde servidores comprometidos usando redes Fast Flux o Tor.
• Los archivos se transfieren por partes y están ofuscados o cifrados.

A veces se usan diferentes tipos de esteganografía para transferir datos. Por ejemplo, camuflando los datos dentro de archivos de audio o video, en imágenes o encabezamientos de protocolos de internet, en especial cuando los puertos de uso general están protegidos por un cortafuegos.

Una vez que ha cargado las herramientas necesarias, el cibercriminal intenta conseguir acceso a la cuenta del administrador local o del sistema. Al principio suele usar capturadores de teclado (keyloggers), tratar de adivinar contraseñas a la fuerza para irrumpir en las cuentas o lanzar ataques phishing. Después, explota vulnerabilidades en servicios del sistema, por lo general para ganar acceso a la cuenta del sistema (por ejemplo, para escalar niveles hasta tener privilegios de kernel).

Habiendo obtenido estos privilegios, los cibercriminales se pueden atrincherar en el sistema implantando un rootkit o bootkit en el sistema operativo. También pueden limpiar sus rastros de intrusiones, escondiendo sus herramientas y rastros de infecciones activas para evitar que las herramientas de seguridad los detecten. Si los atacantes no pueden establecerse en el sistema de un modo regular, pueden planear una infección automática del sistema, por ejemplo, usando el programador de tareas común.

No cabe duda de que existen muchas formas de establecerse en el sistema y las situaciones pueden ser muy diferentes a las que describo arriba. Sin embargo, como dijimos al principio del artículo, es importante que un especialista en seguridad informática comprenda los principios en los que se realiza un ataque y esté consciente de las tareas que deben realizar los cibercriminales para completarlo. Por lo tanto, en la etapa de establecimiento, el interés principal del atacante es conseguir acceso confiable y duradero en el sistema que está atacando. En general, la labor de conseguir acceso remoto está compuesta por dos partes: establecer un canal de comunicación de datos e implantar una herramienta de control remoto (puerta trasera).

Los atacantes pueden usar una conexión directa o inversa dependiendo de la configuración de las redes, las reglas del cortafuegos y los parámetros IDS/IPS. La conexión directa significa que los atacantes establecen una conexión con el sistema de la víctima y sólo es posible si el sistema tiene una dirección IP externa y puertos de red abiertos con acceso a conexiones externas que un cortafuegos no está bloqueando. De otro modo, la conexión inversa se usa cuando el sistema atacado establece una conexión con el servidor remoto. Sin importar el tipo de conexión, los datos se transfieren usando los mismos métodos que se emplean para descargar herramientas y malware al ordenador de la víctima: los datos se transfieren en formato cifrado / ofuscado mediante protocolos / puertos de uso general usando Fast Flux o Tor. Los cibercriminales también pueden usar programas y servicios para usuarios regulares como un medio para transferir los datos. Por ejemplo, almacenamientos de archivos en la nube, correos electrónicos, mensajería instantánea, etc.

Análisis del entorno

Mientras se están estableciendo en el sistema, o incluso antes de hacerlo, los cibercriminales necesitan recolectar información sobre el sistema operativo y su configuración, sobre las actualizaciones que tienen los programas instalados y las herramientas de seguridad activas. Esa información es clave para evaluar la situación del ordenador de la víctima y organizar los pasos a seguir en el ataque. También muy útil para seleccionar las herramientas y exploits más efectivos.

Las siguientes herramientas disponibles suelen ser suficientes para conseguir información sobre el sistema:

• cmd, regedit, vbs, powershell en Windows,
• bash, grep, python, perl en Unix/Linux y Mac OS.

Estas herramientas ofrecen muchas ventajas al atacante: están disponibles para cualquier sistema, pueden usarse hasta con derechos restringidos de usuario y la mayoría de las herramientas de seguridad no controla su operación. Para las labores más complicadas, los cibercriminales emplean herramientas populares y fáciles de personalizar que les permiten interceptar el tráfico de redes, analizar los dispositivos de red, conectarse a varios servicios de red usando autentificaciones de dominio, etc. Si las herramientas del hacker están escritas, digamos, en Python, los cibercriminales instalarán el programa necesario en el ordenador infectado. En este caso, Python (u otro programa requerido) no se esconderá en el sistema usando un rootkit para no perjudicar el funcionamiento del intérprete.

Para buscar y analizar otros dispositivos en la red corporativa, los cibercriminales emplean métodos de análisis pasivos y activos. Con la ayuda de un sniffer para husmear en el tráfico de una interfaz de redes local, es fácil detectar varios dispositivos gracias a paquetes ARP o conexiones activas, determinar las URLs de los servidores que alojan aplicaciones corporativas como Active Directory, Outlook, bases de datos, sitios web corporativos, etc. Para conseguir información detallada sobre un nodo de red específico, los cibercriminales emplean escáneres de red (como nmap) para determinar los servicios de redes disponibles, adivinar los nombres y versiones de programas instalados y detectar la presencia de cortafuegos e IDS/IPS.

Distribución

Ahora que los atacantes se han establecido en el sistema, tienen un canal de acceso remoto de confianza y suficiente información sobre la red a su disposición. A continuación, se concentran en lograr su objetivo principal. Éste puede ser robar información confidencial, atacar infraestructuras corporativas, controlar sistemas críticos para chantajear a los usuarios o cualquier otra función personal. A no ser que el sistema atacado sea el destino final (como el ordenador del Director de una compañía, el servidor central o un sitio web), el atacante debe hallar la forma de controlar otros sistemas dentro de una red corporativa. La naturaleza del objetivo determinará si la infección será dirigida o en una escala más amplia.

Por ejemplo, si los atacantes quieren atacar una infraestructura, es posible que necesiten infecciones masivas para llegar a los servidores que ejecutan diferentes procesos corporativos y a los ordenadores de los operadores y administradores. Al contrario, si lo que quieren es robar información confidencial o realizar una operación de espionaje, deben actuar con cautela y atacar sólo los sistemas más importantes.

Existen varias formas de propagar malware dentro de una red corporativa. Los cibercriminales suelen apuntar al modo más simple, como usar cuentas existentes. Por ejemplo, al ejecutar códigos maliciosos desde una cuenta de dominio de un sistema infectado, el cibercriminal puede conectarse con libertad a varios servicios de la red (a los que el usuario tiene acceso) usando autorizaciones de dominio (Single Sign-On), por ejemplo, sin escribir las credenciales de acceso. Por otro lado, el cibercriminal puede usar un capturador de teclado para conseguir las credenciales de acceso a la cuenta de dominio y a otros servicios que no tienen autorización del dominio. Además, los cibercriminales pueden tratar de aprovechar las vulnerabilidades de los mecanismos de almacenamiento y validación de credenciales o adivinar la contraseña con fuerza bruta.

El método más efectivo para difundirse dentro de las redes corporativas es explotar vulnerabilidades, aprovechando así que la mayor parte de los esfuerzos de seguridad de una red corporativa se concentra en prevenir ataques que vengan desde fuera de la red. Es por eso que existe una gran diversidad de vulnerabilidades dentro de la red, incluyendo servidores corporativos inseguros, servidores de pruebas, sistemas de administración / virtualización, etc. La experiencia dicta que aun cuando los especialistas en seguridad informática e ingenieros informáticos conocen las vulnerabilidades de sus redes corporativas, les toma años arreglarlas porque requieren mucho trabajo. Pero los hackers experimentados se esfuerzan por evitar los exploits para vulnerabilidades conocidas y prefieren atacar los servicios corporativos desprotegidos. Si un IDS/IPS local o basado en una red sigue usándose, los exploits para vulnerabilidades conocidas podrían revelar la presencia de los cibercriminales.

Detección de ataques

En cada etapa del ataque, los cibercriminales emplean el entorno y las herramientas disponibles para sus propios beneficios, camuflando sus actividades entre las de los usuarios regulares. Para abordar este problema, es importante que, si es posible, se reduzca la redundancia del entorno y los procesos corporativos; de lo contrario, es primordial vigilar de cerca la situación, identificar las anomalías y reaccionar ante ellas.

Un claro ejemplo del problema de redundancia en los procesos corporativos es el acceso libre a los recursos de la empresa (documentos confidenciales, aplicaciones críticas, dispositivos, etc.), a privilegios de administrador local y la capacidad de cualquier usuario de conectarse de forma remota a la red corporativa aunque no necesite tener este privilegio. Esto está relacionado con el control de los derechos de acceso en el nivel de dominio y en el de aplicaciones: los navegadores no suelen necesitar el acceso a otros procesos de la memoria y Microsoft Office no necesita instalar controladores.

Como ejemplo de redundancia del entorno, podemos imaginarnos a un empleado regular de la empresa (no un desarrollador, evaluador, administrador ni especialista en seguridad informática) cuyo equipo tenga programas diseñados para interceptar el tráfico de redes, analizar la red, tener acceso remoto, crear servidores HTTP/FTP locales, usar dispositivos de red externos (Wi-Fi o módems 3G), emplear herramientas de desarrollo de programas, etc.

Cualquier estrategia efectiva para prevenir ataques desde el interior de una red corporativa debe evitar que los cibercriminales actúen en secreto y obligarlos a tomar pasos complicados y arriesgados que los hagan romper sus planes para que los especialistas en seguridad que puedan neutralizar la amenaza. Para ello, la red corporativa debe contar con dos cosas: seguridad inteligente y un sistema de administración de seguridad informática.

La combinación de ambas tecnologías genera un ente diferente al establecido en el modelo de seguridad de la información. Puede ver todo lo que ocurre en el sistema y reaccionar de inmediato ante las amenazas.

Las herramientas de seguridad inteligentes incluyen algunos antivirus, cortafuegos, IDS/IPS/HIPS, Control de Aplicaciones y Control de Dispositivos – pero deben ser capaces de interactuar con el sistema de administración de seguridad informática. Estas herramientas de seguridad no sólo recolectan todo tipo de información y la envían al sistema de administración de seguridad informática, también ejecutan comandos que bloquean los intentos de conseguir acceso, establecer conexiones, transferir datos mediante la red, ejecutar aplicaciones, leer y escribir archivos, etc. Por supuesto, para que la defensa funcione es necesario que un especialista en seguridad informática sepa diferenciar entre la actividad legítima y la maliciosa en los sistemas.