Exfiltración: Proceso de extracción no
autorizada de datos dentro de un sistema o de una red.
Tradicionalmente
ha constituido la fase última y tal vez la menos relevante de un proceso de
robo de información, aunque con la proliferación de los ataques de tipo APT
también se han popularizado las soluciones técnicas que dificultan este
proceso, como: Detectores de anomalías, Sistemas de prevención de fugas de
información, Cortafuegos inteligentes.
Es por esto
que es cada vez más importante el estudio de las diversas tácticas empleadas
para evadir este tipo de medidas de protección.
Para muchos,
pasó desaperciba la importancia del artículo sobre webshells que publicamos
hace unos meses, pero tras el reciente incidente de Target vuelve a tomar
relevancia.
A
continuación tenemos un gráfico sobre el proceso mediante el que se utilizó
malware específico para TPVs y varios servidores comprometidos para robar
cientos de miles de números de tarjetas de crédito de la cadena americana de
tiendas Target. (Fuente: Dell SecureWorks)
Vamos a
explicar cómo las webshells se están convirtiendo en una pieza clave de los
ataques APT avanzados como el anterior, principalmente durante la fase de
exfiltración.
Supongamos
el siguiente escenario: una red donde existen detectores de intrusos (IDS) y
herramientas de prevención de fugas de información (DLP) basados en análisis
de anomalías para la detección de
ataques con malware dirigido.
Si se
produce un incremento anormal de tráfico de red desde un equipo de usuario
hacia direcciones IP de países sospechosos (p.e. China o Rusia), saltaran todas
las alarmas.
Sin embargo,
si el tráfico se dirige a un servidor Web de la propia empresa (p.e. situado en
una DMZ), o al servidor Web de un proveedor de confianza, nadie sospechara.
Este
servidor, al estar abierto al público, recibe periódicamente conexiones desde
direcciones IP de todo el mundo, de forma que tampoco levantará sospechas.
Por lo tanto
un potencial atacante avanzado, antes de intentar infectar a los usuarios
internos con malware, primero intentara comprometer algún servidor Web público
secundario de la organización para utilizarlo como pasarela.
Este
servidor será utilizado como “drop zone”, donde el malware dejara la información
robada y el operador del malware simplemente tendrá que recogerla
periódicamente.
De esta
forma, se dificulta en gran medida la detección mediante análisis de anomalías
de tráfico o mediante listas negras de direcciones IP asociadas a operaciones
APT.
Para
combatir este tipo de tácticas avanzadas, es necesario que nuestra estrategia
de lucha contra los APTs incluya todos aquellos elementos IT que puedan ser
utilizados durante el proceso de exfiltración.
