Pngase en el papel de chico malo:

Conocimiento de las amenazas avanzadas y cmo mitigarlas

Enero de 2015

Pngase en el papel de chico malo: Conocimiento de las amenazas avanzadas y cmo mitigarlas

Sinopsis
Qu eficacia tiene la violacin de datos ms habitual? Asombrosamente, una empresa promedio puede tardar
ms de 243 das i en detectar que se ha producido una violacin, en muchos casos nicamente cuando se lo
notifica algn tercero. A pesar de que su seguridad de TI tiene que funcionar perfectamente en todo
momento, los chicos malos solo tienen que estar acertados una sola vez. Sorprendentemente, un reciente
estudio de investigacin ii demostr que ms del 90% de las violaciones que tuvieron xito solo necesitaron
aplicar las tcnicas ms bsicas. Las cargas tiles (payloads) avanzadas de hoy en da pueden actuar durante
semanas o meses, enviando paquetes pequeos e inofensivos a servidores de comando y control a la vez que
exfiltran informacin segura o regulada de los sistemas. Este documento se centra en cmo funcionan las
amenazas avanzadas, cmo pueden entrar desde cualquiera de los extremos cada vez ms mviles que se
acoplan a la red y cmo la paciencia de los autores de malware permite ataques que sortean los controles
tradicionales y evitan las cajas de arena (sandboxes).

El aspecto cambiante de las amenazas avanzadas

Solo tiene que ver los titulares de hoy para ver cunto han cambiado las ciberamenazas. Los creadores de
malware del pasado diseaban su cdigo para causar estragos y dejar su marca, un signo de orgullo para
demostrar que sus virus se haban propagado. Eso solo supona un signo de orgullo con respecto a su trabajo,
ya que obtenan muy poco en trminos de incentivo financiero. Ahora quedan muy lejos aquellos das. Los
creadores de malware de hoy en da se encuentran motivados por fines financieros. Son empresas delictivas
organizadas que tienen objetivos especficos que podran variar en funcin del blanco al que se dirijan.
Mientras que algunas acciones de hackers destacan por la exfiltracin de mensajes de correo electrnico y de
prximos proyectos, otras revelan un milln de nmeros de tarjetas de crdito para obtener ganancias
financieras directas.
Ninguna empresa se encuentra a salvo de ser el blanco de ataques de malware. Estas actividades
extremadamente exitosas no ven fronteras, superando con frecuencia las fronteras de la empresa u
organizacin atacada para afectar a todos los niveles del gobierno, militares, industrias de defensa, empresas
de alta tecnologa, energa, finanzas, medios, crculos acadmicos y activistas de todo el mundo. Aunque quizs
ms importante que la ubicuidad de las amenazas de malware sea la creciente inteligencia del propio software.
Las cargas tiles (payloads) modernas son mucho ms inteligentes que en el pasado. Se generan para eludir las
soluciones de seguridad existentes y, en muchos casos, no se detonan hasta que el malware considere que se
est ejecutando en el host correcto para infringir el dao para el que est concebido. Por lo tanto, esta rpida
evolucin representa un elemento clave del juego continuo entre el gato y el ratn que los diseadores
antimalware juegan con los ciberdelincuentes. Ya que las variedades bsicas de malware han evolucionado
hasta amenazas avanzadas, han emergido nuevos dispositivos contra amenazas avanzadas (ATA) para detonar
y analizar dichas amenazas en un entorno de caja de arena (sandbox) seguro, aislndolas antes de que puedan
hacer estragos en una organizacin. Previsiblemente, a medida que los ATA vayan entrando en el marketplace,
las amenazas irn evolucionando nuevamente para intentar eludirlos.

http://t2.gstatic.com/images?q=tbn:ANd9GcQxQU-LHKSGH1e3MoBDUBg3jp-fcWOZaYnEVufnjkhICp3AVLT-

Pngase en el papel de chico malo: Conocimiento de las amenazas avanzadas y cmo mitigarlas

Perfil de las amenazas avanzadas

Qu constituye una amenaza avanzada y cmo se suelen desplegar? Este tipo de malware es llamativo por su
persistencia, ya que las amenazas de esta naturaleza se conciben para actuar durante largos periodos, meses o
incluso aos, al mismo tiempo. En un ataque tpico dirigido a una organizacin especfica, alguien recibe un
mensaje, como por ejemplo un correo electrnico, o descarga un archivo que parece ser relevante. Cuando el
inocente destinatario acta haciendo clic en un vnculo o abriendo un archivo, el ataque se pone en marcha. En
muchos casos, esto hace que se site un pequeo y discreto fragmento de cdigo en el sistema de los usuarios;
posteriormente, este fragmento llamar a "casa" a un servidor de comando y control (CnC) que puede darle
instrucciones para descargar el resto del malware, esperar instrucciones de ataque o algo totalmente distinto.
Este cdigo malicioso se concibi para explotar vulnerabilidades en sistemas operativos y en software de
aplicaciones bien conocidos.
Una vez desplegada la carga til (payload), el malware permite a los ciberatacantes tomar el control y,
finalmente, exfiltrar datos del sistema comprometido. Adems, los atacantes pueden utilizar herramientas para
propagarse lateralmente a otros ordenadores a travs de la red del objetivo. Estos ataques bien orquestados
no se concibieron para ser simples robos de datos aislados, sino que son elementos de un programa a largo
plazo y consistente diseado para instalar una presencia no detectada en la red de un objetivo, lo que permite
enviar a voluntad informacin sensible a los servidores de comando y control del hacker.

El tiempo es oro
Aunque algunas amenazas evitan la deteccin enviando cantidades muy pequeas de datos en una rfaga
determinada, resulta fundamental detener estas cargas tiles de malware antes de que logren sus objetivos.
Desafortunadamente, muchas de estas amenazas siguen sin ser detectadas durante meses o, en algunos casos,
durante aos. Un clebre ejemplo es GhostNet, que se supo que haba infectado sistemas del gobierno y de
otros en ms de 100 pases y que actu sin ser detectado durante 10 meses hasta que fue descubierto en 2009.
Una vez que se infecta una empresa, cada segundo importa, aunque en muchos casos los recursos son escasos.
Los miembros actuales del personal de seguridad de TI, sometidos a una carga de trabajo elevada, apenas
consiguen anticiparse a la amplia gama de ciberataques sin comprometer el rendimiento de las aplicaciones o
el ancho de banda de red. El objetivo es claro: Detener estas amenazas avanzadas en el punto de infeccin
inicial, o paciente cero. Secuestrando la carga til y forzndola a entrar en detonacin en un entorno seguro y
de caja de arena (sandbox), los profesionales de la seguridad pueden comprender mejor para qu est
concebida la carga til y, ms importante, calcular las acciones correctoras necesarias. Estas pueden incluir la
activacin de sistemas de prevencin de intrusos (IPS) y firewalls se nueva generacin (NGFW) para detener las
amenazas antes de que se produzca la propagacin lateral, actualizando filtros y conjuntos de reglas.

Cmo piensan los chicos malos y cmo se pueden combatir

http://t2.gstatic.com/images?q=tbn:ANd9GcQxQU-LHKSGH1e3MoBDUBg3jp-fcWOZaYnEVufnjkhICp3AVLT-

Pngase en el papel de chico malo: Conocimiento de las amenazas avanzadas y cmo mitigarlas

Las estrategias de prevencin de amenazas suelen utilizar un entorno de caja de arena (sandbox), que son
mquinas virtuales que imitan el entorno cotidiano en el que los creadores de malware se estn intentando
infiltrar. Con el aislamiento del malware en una mquina virtual (VM) que parece ser un sistema de produccin,
el objetivo consiste en que estas amenazas intenten ejecutar y llegar a sus servidores de comando y control
para recibir actualizaciones e instrucciones. Por lo tanto, los autores de las amenazas avanzadas han creado
nuevas tcnicas que permiten a su malware eludir defensas tpicas de sombrero blanco.
Estas tcnicas han llevado a la necesidad de disponer de una nueva clase de dispositivo de seguridad, el
dispositivo contra amenazas avanzadas (ATA). Los ATA se concibieron para ayudar a proteger a la empresa
contra estos ataques agresivos que utilizan tcnicas antievasin, ofreciendo un rico conjunto de contramedidas
y la capacidad de personalizar las cajas de arena (sandboxes) para que se parezcan exactamente al entorno de
produccin de un usuario. A continuacin, se muestran algunos ejemplos de tcnicas de evasin y la forma que
tienen los ATA de engaarlas.
-

Deteccin de hipervisor El malware se suele concebir para detectar el entorno de ejecucin con el fin
de determinar si una mquina virtual ha situado el cdigo en una caja de arena (sandbox). Si el malware
determinara que no se encuentra en el entorno de produccin, la carga til no se detonar. Por
ejemplo, el malware podra intentar ejecutar operaciones solo disponibles en una mquina virtual y, si
no se devuelve ningn error, asume que el sistema est virtualizado y evita la detonacin del malware.
Cmo se derrota Los hipervisores habituales pueden deshabilitar las puertas traseras de deteccin de
las mquinas virtuales. Busque los ATA que puedan utilizar su control del hipervisor subyacente para
bloquear esta tcnica de evasin y engaar al malware en la creencia de que se encuentra en el entorno
de produccin.
Deteccin de dispositivos virtuales Algunas variedades de malware tienen la capacidad de decodificar
nombres habituales de dispositivos virtuales para DVD, disco y tarjetas de red, otra indicacin de que la
carga til no se encuentra en la red de produccin y que por lo tanto no ejecutar el malware.
Cmo se derrota Algunos ATA utilizan un proceso tipo guardin que intercepta bsquedas de
dispositivos virtuales y evita que se devuelvan resultados que indiquen un entorno virtual.
Deteccin de direcciones de red Ya que las direcciones MAC predeterminadas utilizadas por los
hipervisores habituales estn publicadas, el malware puede utilizar fcilmente dicha informacin para
detectar la presencia de mquinas virtuales y evitar la detonacin de la carga til. Si se detectara que la
direccin MAC se corresponde con alguna de estas direcciones predeterminadas, el malware
permanecer en estado latente.
Cmo se derrota Con la colaboracin de fabricantes de hardware clave, los ATA utilizan prefijos de
direcciones MAC de hardware de terceros de dichos proveedores para ayudar a combatir la deteccin
de prefijos de direcciones MAC.
Deteccin de cdigo de licencia/BIOS Ya que los hipervisores se identifican ellos mismos en
ubicaciones de registro de Windows, los ciberdelincuentes pueden utilizar su conocimiento sobre los
cdigos de Activacin de Windows de los proveedores de seguridad para determinar si deben o no
desplegarse. Por ejemplo, si el malware examinara el registro y localizara cdigos de activacin VMware

http://t2.gstatic.com/images?q=tbn:ANd9GcQxQU-LHKSGH1e3MoBDUBg3jp-fcWOZaYnEVufnjkhICp3AVLT-

Pngase en el papel de chico malo: Conocimiento de las amenazas avanzadas y cmo mitigarlas

o Xen, podra asumir que se encuentra en un entorno virtual y no se ejecutar. Las Licencias por
volumen (VL) de Windows tambin representan un objetivo. Un ataque financiado por un estado podra
comprobar la licencia por volumen de un objetivo en un consulado extranjero con respecto a una
licencia por volumen obtenida durante la fase de reconocimiento de un ataque realizado mediante un
fragmento benigno de cdigo. Esta VL se aade a la carga til real y si la caja de arena (sandbox)
presentara otra VL preestablecida o incluso una VL aleatoria que no coincidiera, la carga til no se
detonar.
Cmo se derrota Los ATA ms avanzados utilizan procesos de tipo guardin para monitorizar y evitar
bsquedas de registros especficos, adems de registrar intentos de bsqueda que tendrn un impacto
en la calificacin del anlisis virtual. Adems, los ATA burlan las comprobaciones de VL incorporando las
VL de clientes reales al personalizar la caja de arena (sandbox).
Deteccin de controladores Las mquinas virtuales suelen utilizar controladores y agentes invitados
concebidos para acelerar operaciones de VM invitadas. Para los creadores de amenazas representan
otro indicador claro de que se encuentran en una VM y evitarn la detonacin.
Cmo se derrota La tecnologa de caja de arena de los ATA puede seleccionar controladores
predeterminados especficos para evitar la necesidad de herramientas adicionales. El ATA tambin
monitoriza las llamadas de registro y de API que indican la deteccin de controladores.
Deteccin de CPUID Las mejoras en los hipervisores de mquinas virtuales con respecto a las
asignaciones de memoria de la placa base e instrucciones de la CPU, tambin estn siendo descubiertas
fcilmente por cdigo malicioso a travs del examen del registro que contiene el estado de la CPU,
determinando tambin si el cdigo se est ejecutando en una VM o no. Si el malware detectara este
entorno virtual, no se ejecutar.
Cmo se derrota Con el uso de tcnicas especiales de desensamblador de cdigo, un ATA puede
detectar y registrar la presencia de intentos de deteccin de CPUID para alertarle de malware.
Deteccin de interacciones humanas Si no hubiera ningn signo de interaccin humana detectada
por el malware, la carga til no se detonar. El malware suele concebirse para buscar actividad de
teclado y ratn; si no se produjera nada, la hiptesis seguir siendo que el malware se encuentra en una
VM.
Cmo se derrota Un algoritmo aleatorizado complejo que imita las interacciones de ratn, teclado y
otras interacciones, indica la presencia humana, lo que hace que el malware crea que se encuentra en
una mquina real y no en una VM.
Evasin de temporizador Los temporizadores aleatorizados puestos en marcha antes de la detonacin
y las tcnicas de aceleracin habituales de los temporizadores por parte de los proveedores de
seguridad tambin son detectados por amenazas avanzadas, que utilizan y manipulan los
temporizadores y el reloj del sistema para determinar el momento en el que se desplegar su carga til.
Si el malware detectara un reloj acelerado, no se detonar en la caja de arena (sandbox).
Cmo derrotarlo Los ATA utilizan la aceleracin del tiempo y la interceptacin de temporizadores
latentes relacionados con llamadas de la API para desbaratar esta tcnica de evasin.

http://t2.gstatic.com/images?q=tbn:ANd9GcQxQU-LHKSGH1e3MoBDUBg3jp-fcWOZaYnEVufnjkhICp3AVLT-

Pngase en el papel de chico malo: Conocimiento de las amenazas avanzadas y cmo mitigarlas

Qu es lo ms importante?
Todos los dispositivos contra amenazas avanzadas no son iguales. Cuando seleccione una solucin, asegrese
de que el ATA que escoja pueda abordar las tcnicas de evasin indicadas anteriormente. Aqu se incluyen
otros consejos para ayudarle a elegir la opcin correcta para su entorno e infraestructura:
1. Asegrese de que se tenga en cuenta la localizacin, especialmente en el caso de los idiomas. Si su ATA
no "hablara" portugus, probablemente no podr aislar el malware diseado para sistemas brasileos.
Por ejemplo, si el malware estuviera atacando una empresa brasilea, buscar el portugus para
asegurarse de que se est detonando en el lugar correcto. Para Canad, se prueba el francs canadiense
o el ingls. Si su dispositivo de seguridad solo ofreciera una caja de arena (sandbox) en ingls de Estados
Unidos, el malware concebido para atacar sistemas extranjeros no podr detonarse en la caja de arena,
y por lo tanto nunca se detectar.
2. Tal y como se mencion anteriormente, la imitacin de la interaccin humana representa otro
elemento clave. Esta tcnica de evasin ha estado creciendo en popularidad y es un elemento crtico de
cualquier ATA. Estos ataques dirigidos son suficientemente inteligentes para buscar pulsaciones de
teclas y movimiento del ratn, lo que no es habitual en una caja de arena virtualizada. Si no existiera
ninguna interaccin humana, el malware no se detonar en la caja de arena.
3. La replicacin de un entorno de produccin de trabajo es un aspecto crtico para la capacidad de
detonacin de cargas tiles de un ATA. Adems de las contramedidas, asegrese de que el entorno de la
caja de arena tambin incluya aplicaciones empresariales que el malware esperara ver en servidores de
produccin. Otras tcnicas de los ATA que suelen ignorarse habitualmente incluyen la utilizacin de
memorias USB falsas y datos confidenciales falsos como por ejemplo SSN y nmeros de tarjetas de
crdito, para ayudar a detectar mecanismos de propagacin USB y robos de datos habituales.
4. Asegrese de que su ATA pueda analizar archivos grandes y pequeos. La mayora del malware intenta
introducirse discretamente en su entorno en forma de paquetes pequeos que integran el malware, de
forma parecida a un conjunto de piezas de lego. Por ese motivo, algunos ATA solo se fijan en archivos
ms pequeos, y muchos no se fijan en aquellos que superen 6-7 MB. Como nos encontramos en un
juego del gato y el ratn, algunos de los creadores de malware estn creando archivos ms grandes
para conseguir eludir los ATA.
5. El ATA tiene que formar parte de una conversacin. Debe comunicarse fcilmente con consolas de
gestin, incluyendo firewalls de nueva generacin y sistemas de prevencin de intrusos para detener
eficazmente la propagacin lateral antes de que pueda iniciarse. Un ATA tambin debe implementar
servidores antivirus falsos que se monitoricen con respecto a posibles abusos. Cuando las cargas tiles
intenten deshabilitar el software antivirus ficticio, el ATA sabr que el software es malicioso.

Por qu ahora?

http://t2.gstatic.com/images?q=tbn:ANd9GcQxQU-LHKSGH1e3MoBDUBg3jp-fcWOZaYnEVufnjkhICp3AVLT-

Pngase en el papel de chico malo: Conocimiento de las amenazas avanzadas y cmo mitigarlas

De acuerdo con el reciente estudio de IDG titulado, Detecting and Containing Advanced Threats" (Deteccin y
contencin de amenazas avanzadas), la preocupacin sobre las amenazas avanzadas est creciendo de varias
formas. El 55% de los encuestados indic que el concepto de sistemas 100% seguros era una quimera, algo
completamente inalcanzable. Resumiendo, solo el 5 por ciento tena confianza de que su seguridad de red
actual detendra las amenazas actuales concebidas para infectar los sistemas y perjudicar a los usuarios. El
aislamiento de las amenazas avanzadas supone un desafo complejo, que se refleja cuando la mitad de los
encuestados indicaron que deben tomarse "varias" medidas para identificar el objetivo inicial de un ataque.
Adicionalmente, la mayora de las organizaciones se encuentran mal dotadas para tomar acciones correctivas
una vez que haya comenzado un ataque; aproximadamente, solo un tercio de los encuestados indicaron que
tenan la capacidad para poner en cuarentena usuarios y sistemas infectados.
Las amenazas avanzadas pueden mantenerse en sistemas sin que sean detectadas durante semanas o meses, o
incluso ms tiempo. Teniendo en cuenta que los creadores de malware estn desarrollando estrategias nuevas
y especficas para cada tipo de organizacin pblica y privada, el momento de desarrollar su plan para aislar y
derrotar dichas amenazas ha llegado.

Empezar con la proteccin de ATA

La familia TippingPoint Advanced Threat Appliance de HP ofrece una forma fcil y simple de desplegar una
solucin para la proteccin contra amenazas avanzadas. Integrado en HP junto con el galardonado motor de
deteccin de amenazas Trend Micro, el ATA TippingPoint se integra con el TippingPoint Security Management
System para comunicar cualquier violacin detectada con el fin de permitir que el usuario actualice
rpidamente todos los dispositivos de seguridad de firewall de ltima generacin e IPS de TippingPoint para
bloquear los futuros ataques y la propagacin del malware existente. Este mtodo de seguridad integral puede
ayudar a neutralizar el "paciente cero" y minimizar el tiempo que el malware se encuentra en su red sin ser
detectado.
El ATA TippingPoint no solo crea una caja de arena (sandbox), permite a las empresas utilizar cajas de arena
personalizadas, es decir, importar sus propias imgenes del sistema como base para realizar anlisis virtuales,
lo que reduce falsos positivos imitando el entorno real del usuario. Esto proporciona la capacidad de ver
exactamente el impacto que tendr el ataque en su red.
Para obtener ms informacin sobre cmo puede unirse a otros lderes de la industria mediante la deteccin y
aplicacin de acciones de bloqueo para ataques avanzados, visite HP TippingPoint en
http://www.hp.com/go/ata

i
ii

Mandiant, M-Trends 2013: Attack the Security Gap

Center for Strategic and International Studies, Raising the Bar for Cybersecurity 2013

http://t2.gstatic.com/images?q=tbn:ANd9GcQxQU-LHKSGH1e3MoBDUBg3jp-fcWOZaYnEVufnjkhICp3AVLT-