La ciberseguridad es un juego del gato y el ratón, donde atacantes y defensores compiten por el ingenio. Los atacantes utilizan diversas estrategias evasivas para evitar ser atrapados, y los defensores analizan y deconstruyen constantemente estos métodos para predecir y frustrar mejor los planes de los atacantes.
Echemos un vistazo a algunas de las principales tácticas de evasión utilizadas por los atacantes para evadir a los defensores y las medidas técnicas de seguridad.
Servicios criptográficos: los proveedores de servicios criptográficos en la web oscura ofrecen servicios de cifrado y ofuscación de códigos y son conocidos por reensamblar malware conocido con un conjunto diferente de firmas. Los filtros antivirus tradicionales se basan en firmas y no pueden detectar malware modificado con firmas nuevas.
Elusión de la ID del dispositivo: algunos sistemas de seguridad verifican la ID del dispositivo con el que un usuario intenta acceder a un sistema en particular. Si el ID, la dirección IP o su ubicación no coinciden, sonará una alarma. Para superar este obstáculo, los actores de amenazas utilizan software de suplantación de dispositivos para ayudar a pasar las comprobaciones de identidad del dispositivo. Incluso si no tienes dicho software, puedes utilizar fácilmente los servicios de suplantación de identidad de la web oscura.
Evasión basada en el tiempo: los atacantes pueden crear malware que retrasa la ejecución o permanece inactivo según el entorno. Esta táctica basada en el tiempo tiene como objetivo engañar a los entornos sandbox y otros entornos de análisis de malware haciendo que los archivos analizados parezcan inofensivos. Por ejemplo, si se implementa malware en una máquina virtual, puede ser un entorno de pruebas y puede estar diseñado para pausar la actividad o entrar en hibernación. Otra técnica de evasión es la “estancamiento”. Así es como el malware disfraza actividades inofensivas para realizar acciones inofensivas. De hecho, retrasa la ejecución de código malicioso hasta que se completan las comprobaciones de malware del entorno aislado.
Evitación de detección de anomalías mejorada por IA: el polimorfismo del lado del servidor es anterior a la era de la IA, pero la IA se puede aprovechar para sintetizar nuevas mutaciones de malware a una escala sin precedentes. Este tipo de malware polimórfico mejorado con IA puede mutar dinámicamente y evadir la detección mediante herramientas de seguridad avanzadas como Endpoint Detección y Respuesta (EDR). Además, LLM se puede aprovechar para desarrollar formas de combinar tráfico malicioso con tráfico aceptable.
Inyección rápida: se puede implementar IA para analizar muestras de malware y monitorear anomalías. Pero, ¿qué sucede cuando un atacante inserta un mensaje dentro del código del malware para evitar ser detectado? Este escenario se demostró mediante la inyección rápida del modelo VirusTotal AI.
Explotar la confianza en las aplicaciones en la nube: los atacantes aprovechan cada vez más los servicios populares basados en la nube (Google Drive, Office 365, Dropbox, etc.) y las herramientas de seguridad de red para ocultar u ofuscar el tráfico malicioso son difíciles de detectar. Además, se están utilizando aplicaciones de mensajería y colaboración como Telegram, Slack y Trello para incorporar comunicaciones de comando y control en el tráfico regular.
anuncio publicitario. Desplázate para seguir leyendo.
El contrabando de HTML es una técnica en la que un atacante “contrabandea” scripts maliciosos dentro de un archivo adjunto HTML cuidadosamente elaborado. Cuando una víctima abre un archivo HTML, el navegador vuelve a ensamblar dinámicamente la carga útil maliciosa y la reenvía al sistema operativo host, evitando efectivamente la detección por parte de las soluciones de seguridad.
Técnicas innovadoras para evitar el phishing
Los actores de amenazas están evolucionando constantemente sus tácticas para evitar que los usuarios y las herramientas de seguridad detecten páginas y sitios web de phishing. Las principales técnicas son:
Dominios de nivel superior (TLD): la suplantación de dominios es una de las tácticas de phishing más utilizadas. Los TLD o extensiones de dominio como .app, .info y .zip facilitan a los atacantes la creación de sitios web similares que sean adecuados para el phishing para evadir y confundir a los investigadores de phishing y las herramientas antiphishing. Evasión de IP: una visita a un sitio web de phishing es todo lo que se necesita para perder sus credenciales. Los investigadores visitan e interactúan con sitios web varias veces en busca de una ventaja. En respuesta, los actores de amenazas registran la dirección IP del visitante y se aseguran de que el contenido de phishing se bloquee cuando esa IP intenta acceder al sitio web varias veces. Comprobaciones de proxy: los servidores proxy no son muy sofisticados y las víctimas rara vez los utilizan. Sin embargo, los investigadores de seguridad utilizan servidores proxy para analizar sitios web de malware y phishing. Cuando un actor de amenazas detecta que el tráfico de una víctima proviene de una lista de proxy conocida, puede impedir que la víctima acceda a ese contenido. Carpetas aleatorias: cuando los kits de phishing aparecieron por primera vez en los foros de la web oscura, tenían una estructura de carpetas específica que los analistas de seguridad podían rastrear y bloquear. Los kits de phishing modernos crean directorios aleatorios para evitar la identificación. Enlaces FUD: la mayoría de las soluciones antispam y antiphishing se basan en la reputación del dominio y califican las URL de servicios comunes basados en la nube (como GitHub, Azure y AWS) como de bajo riesgo. Esta laguna permite a los atacantes crear enlaces FUD (totalmente indetectables) que pueden explotar la reputación del dominio del proveedor de la nube y difundir contenido de phishing para evitar la detección. Uso de captchas y códigos QR: las herramientas de inspección de contenido y URL pueden inspeccionar archivos adjuntos y URL en busca de contenido malicioso. Como resultado, los atacantes están pasando de archivos HTML a archivos PDF e incorporan códigos QR. Los actores de amenazas utilizan la verificación CAPTCHA para ocultar contenido malicioso porque los escáneres de seguridad automatizados no pueden resolver los desafíos del rompecabezas CAPTCHA. Mecanismos antidepuración: los investigadores de seguridad suelen utilizar herramientas de desarrollo integradas en los navegadores para analizar el código fuente. Sin embargo, los kits de phishing modernos tienen funciones de prevención de depuración integradas que evitan que aparezcan páginas de phishing cuando la ventana de herramientas del desarrollador está abierta o abre una ventana emergente que redirige a los investigadores a un dominio legítimo y confiable.
Qué pueden hacer las organizaciones para mitigar las soluciones alternativas
A continuación se presentan recomendaciones y estrategias efectivas para que las organizaciones identifiquen y contrarresten tácticas de evasión.
1. Reduzca su superficie de ataque: implemente Zero Trust, aproveche la segmentación de la red, aísle los activos críticos, limite el acceso privilegiado, parchee periódicamente los sistemas y el software e implemente restricciones detalladas de inquilinos y acciones. Implemente, aproveche la prevención de pérdida de datos (DLP) y. Verifique configuraciones y configuraciones incorrectas.
2. Búsqueda proactiva de amenazas: opere equipos y herramientas de seguridad para buscar amenazas proactivamente en usuarios, redes, puntos finales y servicios en la nube. Implemente arquitecturas nativas de la nube, como Secure Access Service Edge (SASE), para detectar amenazas y analizar el tráfico de red en su infraestructura y cargas de trabajo sin implementar agentes.
3. Establecer múltiples puntos de estrangulamiento: emplear una variedad de técnicas en múltiples etapas de ataque y establecer múltiples puntos de estrangulamiento y defensas a lo largo de la cadena de eliminación del actor de la amenaza. En lugar de complicar demasiado su infraestructura de seguridad, elija un enfoque basado en plataforma o una interfaz unificada que pueda inspeccionar todo el tráfico de la red y cada paquete para identificar contenido malicioso.
4. Capacitación sobre phishing: brindar capacitación sobre concientización sobre seguridad. Educar a los usuarios para identificar, bloquear y denunciar intentos de phishing e ingeniería social. Al aumentar la capacidad de identificar tácticas de phishing de los empleados, las organizaciones pueden mitigar las etapas iniciales de los ataques de varias etapas.
Los atacantes seguirán utilizando implacablemente tácticas de evasión para eludir las medidas de seguridad tradicionales. Sin embargo, al emplear las mejores prácticas, como reducir la superficie de ataque, buscar amenazas de manera proactiva, configurar múltiples puntos de bloqueo y monitorear todo el patrimonio de TI sin intervención manual, las organizaciones podrán combatir rápidamente las amenazas evasivas.
Fuente:
