Para reducir el daño causado por el malware, es importante identificar y rastrear el origen del ataque. Uno de los métodos más efectivos es analizar su dirección IP. Esto puede proporcionar pistas sobre cuándo y dónde ocurrió el ataque por primera vez. En un caso reciente de respuesta a incidentes, el equipo de Veriti utilizó esta técnica para descubrir información importante sobre las infecciones de malware, lo que demuestra cómo la verificación de IP puede ser una herramienta valiosa en la lucha contra las amenazas cibernéticas.
Importancia de la verificación de la dirección IP
En el último incidente, a nuestro equipo se le asignó la tarea de analizar los registros de los sistemas de un cliente para determinar cuándo ocurrió la infección inicial y quién fue el objetivo inicial. Primero, buscamos si algún host de nuestra organización consultó el servicio común “¿Cuál es mi IP?”. Curiosamente, descubrimos que muchos tipos de malware utilizan estos servicios para rastrear la dirección IP de los hosts infectados, proporcionando a los atacantes información crítica sobre la ubicación y la red de la víctima.
Los ejemplos de malware que encontramos demuestran cómo los atacantes utilizan servicios relacionados con IP en varias etapas del proceso de infección. A continuación se detallan algunos de los servicios que el malware suele utilizar para obtener direcciones IP.
Descubriendo el malware FormBook: el papel de los servicios IP
Un ejemplo específico es el descubrimiento del malware FormBook, que intenta capturar la ubicación de una víctima cuando llega un correo electrónico malicioso. Cuando un usuario abre un archivo adjunto malicioso, el malware no sólo avanza en la cadena de infección sino que también se conecta a múltiples dominios de “búsqueda de IP” para obtener la dirección IP del host.
Estos servicios de IP son esenciales para que el malware mapee los ataques e identifique qué dispositivos de su red se han visto comprometidos. Al analizar los registros y las conexiones a estos servicios, el equipo de Veriti pudo identificar cuándo y dónde ocurrió la infección, proporcionando información crítica sobre el proceso de remediación.
Seguimiento de ubicación preciso mediante BSSID
Otro desarrollo interesante es que se ha observado que ciertos tipos de malware, como el Agente Tesla, van más allá del seguimiento de direcciones IP e intentan obtener el BSSID (identificador de conjunto de servicios básicos) de la red Wi-Fi de un host infectado. Esta información permite a los atacantes determinar la ubicación exacta de la víctima consultando servicios como Wigle.net que asignan datos BSSID a coordenadas geográficas.
Los atacantes suelen utilizar los siguientes comandos para recopilar información BSSID.
“cmd.exe” /C chcp 65001 && netsh wlan mostrar modo de redes = bssid
Este comando abre una nueva instancia del símbolo del sistema, establece la codificación de caracteres en UTF-8 y muestra detalles de todas las redes Wi-Fi disponibles dentro del alcance, incluidos sus BSSID. Al capturar estos datos, los atacantes pueden mapear con precisión la ubicación de los dispositivos infectados y perfeccionar aún más sus estrategias de ataque.
Malware que utiliza búsquedas de IP: tendencias más amplias
El uso de búsquedas de IP no se limita a un solo tipo de malware. A través de nuestra investigación, descubrimos que varias familias de malware conocidas utilizan servicios IP durante el proceso de infección. Algunos ejemplos se muestran a continuación.
TrickBot: este notorio troyano bancario consulta servicios como checkip.dyndns.org y wtfismyip.com para obtener la dirección IP del host infectado. XMRig: XMRig, un popular minero de criptomonedas, también consulta los servicios de búsqueda de IP para determinar la ubicación de los dispositivos infectados. PsiX Bot: otra pieza sofisticada de malware que aprovecha los servicios relacionados con IP para mapear la red de un sistema comprometido (Imagen 6).
En cualquier caso, los servicios de búsqueda de IP permiten a los atacantes recopilar información sobre la red de la víctima, que puede usarse para propagar infecciones o filtrar datos.
Alcance en expansión: servicios de ubicación utilizados por malware
Más allá de las direcciones IP, los atacantes también utilizan servicios de geolocalización para comprender mejor las redes infectadas. Los servicios de geolocalización identificados durante nuestra investigación incluyen:
Estos servicios proporcionan información detallada sobre la ubicación geográfica de un host, lo que permite a los atacantes orientar mejor los ataques o evadir la detección en función de factores específicos de la ubicación. A medida que las variantes de malware adoptan estas tácticas, se vuelve cada vez más importante que los equipos de seguridad monitoreen las conexiones a estos servicios y analicen los datos para detectar signos tempranos de infección.
Monitoreo de consultas de direcciones IP como estrategia defensiva
El uso de servicios de búsqueda de IP por parte de malware es una táctica común que proporciona información valiosa a los atacantes. Al monitorear las conexiones a estos servicios, los equipos de seguridad pueden obtener información temprana sobre posibles infecciones y rastrear la propagación del malware en la red.
En Veriti, creemos que comprender las tácticas utilizadas por los atacantes, como las comprobaciones de direcciones IP y los servicios de ubicación, es fundamental para construir defensas sólidas. Nuestra investigación muestra que al rastrear estas actividades, las organizaciones no solo pueden detectar infecciones de malware antes, sino también responder de manera más efectiva y reducir los daños.
Incorporar el monitoreo de direcciones IP a su estrategia de seguridad es una manera simple y poderosa de mejorar las capacidades de detección de amenazas de su organización. Con las herramientas y estrategias adecuadas, puede estar un paso por delante de los atacantes.
