Ya decíamos
en un post anterior que no era correcto asociar de forma inseparable el termino
APT con los términos malware avanzado o malware dirigido. Se han documentado
casos de operaciones APT en las que se ha utilizado malware muy básico y
estamos empezando a conocer casos de operaciones APT sin malware.
Con el
término “sin malware” nos referimos a operaciones APT que no usan el
tradicional troyano o herramienta de control remoto (RAT) monolítico y binario
que se comunica con un sitio de mando y control (C&C o C2).
Los últimos
informes sobre tendencias en el mundo de los APT y los comentarios de expertos
en la materia parecen indicar que no estamos ante casos aislados.
Si, como
estáis oyendo, operaciones de espionaje avanzadas en las que no se usa ningún
tipo de malware reconocible. ¿Cómo puede ser esto posible?
Pues puede
realizarse utilizando varias tácticas ya conocidas o incluso combinándolas:
- Utilizando herramientas no maliciosas con fines ofensivos. Por ejemplo utilizar netcat para crear una puerta trasera en vez de programar una propia.
- Utilizando un lenguaje de scripting y cargando el código directamente desde la red, de forma que no quede nada en disco.
- Codificando el payload de la infección y almacenándolo fuera del sistema de ficheros, por ejemplo en el registro o en un disco de red.
- Inyectando el payload en memoria de forma remota cada vez que se quiera acceder a un equipo, sin que llegue a quedar nada en disco.
El resultado
práctico de estas tácticas es similar y significa el golpe de gracia para las
soluciones antivirus tradicionales:
- No existe un binario malicioso que escanear.
- No se copia nada malicioso al disco que pueda generar alertas.
- No queda nada o casi nada en disco que se pueda recuperar en un análisis forense.
¿Pero cómo
logran estos APT permanecer en los sistemas sin usar un malware?
La
persistencia en la mayoría de casos se consigue utilizando métodos
tradicionales: Creando un nuevo servicio en el equipo, creando una tarea
programada, añadiendo un script de arranque.
Solo que en
este caso el elemento de persistencia es minimalista (muchas veces consiste en
una única línea de código bat, vbs o powershell) cuya labor es descargar y
lanzar el payload principal.
Otras veces
el APT hace uso de funcionalidades avanzadas de los sistemas Windows para
lograr su ejecución periódica, por ejemplo mediante la programación de eventosWMI, ficheros de auto-instalación, plugins de Office, LSA security packages,
etc.
Incluso en
algunos casos la persistencia se sacrifica totalmente, no quedando nada residente
en el equipo. En estos casos los atacantes confían en vulnerabilidades del
sistema, puertas traseras o en credenciales sustraídas, para poder volver a
obtener acceso al equipo cuando sea necesario.
En estos
casos la labor ofensiva es mucho más manual. No se utilizan herramientas que
faciliten la labor del atacante y este debe combinar el uso de las diversas
herramientas legítimas que proporciona el sistema objetivo para lograr la misma
funcionalidad.
Dos
herramientas clave en este tipo de estrategias ya las hemos mencionado:
Powershell y WMI. Estas herramientas suelen estar activas por defectos en
cualquier equipo Windows y pueden utilizarse para replicar las funcionalidades
de los RAT tradicionales, pero dejando una menor huella en el sistema.
Estas nuevas
estrategias entrarían dentro del concepto de operaciones APT 2.0 o APT-NG,
términos de marketing que han acuñado algunas compañías que pretende explicar
que muchos de los “patrones” que solíamos asociar a las operaciones APT ya no
son aplicables.
Y es que
como ya explicamos en artículos anteriores, los agentes APT constituyen una seria
amenaza precisamente por eso, por su versatilidad y su capacidad para cambiar,
adaptarse a las estrategias defensivas y utilizar nuevas tácticas para ser más
efectivos.
