Exploits

En estos días ni siquiera es necesario hacer clic en un enlace o ir a un sitio web sospechoso para ser infectado por malware. De hecho, un usuario puede infectarse mientras simplemente lee las noticias en un sitio legítimo.

¿Como sucede esto? Los actores maliciosos usan «kits de explotación» o kits de herramientas pre empaquetados para instalar silenciosamente malware en una computadora o dispositivo sin ninguna actividad del usuario requerida.

Como puedes imaginar, este método sigiloso y prácticamente indetectable hace que sea muy difícil para los equipos de seguridad cibernética advertir y defender a los usuarios y las empresas contra estas estafas.

En 2015, hubo un aumento en la actividad del kit de explotación debido a una gran campaña de publicidad maliciosa que entregó anuncios maliciosos a través de canales legítimos de redes publicitarias a sitios web convencionales.

La campaña redirigió los navegadores de los usuarios a un kit de exploits llamado Angler, el kit de exploits más utilizado y agresivo en el mercado en ese momento. Sin embargo, a mediados de 2016, parece que Angler fue cerrado, posiblemente debido a los arrestos de ciberdelincuentes en Rusia.

Actualmente, otros proveedores de kits de exploits están compitiendo para llenar el vacío, incluidos RIG, Astrum y Sundown. Aunque la actividad del kit de exploits se ha calmado un poco, probablemente sea solo cuestión de tiempo hasta que vuelva a aumentar, por lo que los equipos de seguridad cibernética deben permanecer alerta.

Vamos a explicar qué son los exploits y cómo defenderte de ellos.

¿Qué son los exploits?

Si bien los sistemas operativos más populares están diseñados para mantener seguros los datos de tu ordenador, las personas que diseñan estos sistemas a veces cometen pequeños errores que pueden pasar desapercibidos para la mayoría de los usuarios y pueden dejarlo a ti y a tu PC expuestos a ataques cibernéticos.

Esto se llama un exploit informático. Y los delincuentes siempre buscan aprovechar las ventajas de una vulnerabilidad en un sistema o software para explotarla con intención maliciosa, permitiéndoles acceder a tu dispositivo o red.

Tipos

Exploit es un término extremadamente amplio, y estas vulnerabilidades pueden tomar muchas formas diferentes.

En el nivel más alto, hay dos tipos de exploits informáticos:

  • Exploits conocidos
  • Exploits desconocidos o de día cero

Los primeros son conocidos por los creadores del software o sistema. Han llamado su atención a través de los usuarios o del proceso de control de calidad de su propio equipo de desarrollo. Estas vulnerabilidades generalmente se reparan en poco tiempo a través de una actualización de software.

Los ataques de día cero aprovechan los exploits desconocidos, lo que significa que actualmente no hay solución o documentación de ellos. Una gran parte de los ataques de malware se dirigen a exploits desconocidos porque los exploits conocidos generalmente se corrigen rápidamente o se pueden defender fácilmente con un programa antivirus.

Los exploits pueden clasificarse aún más por el tipo de vulnerabilidad que atacan o el método que utilizan para obtener el control de una máquina o red.

Algunos tipos comunes de ataques son:

  • Inyección SQL
  • Ataques de fuerza bruta
  • Ataques de diccionario
  • Secuestro de sesión
  • Mapeo de red

La mecánica y las causas exactas de estos ataques de explotación son complejas y no son de mucha utilidad para los usuarios habituales. Son los desarrolladores de software los que más necesitan entender cómo solucionarlos y defenderse de ellos.

Pero independientemente del tipo de explotación del ordenador, el objetivo suele ser el mismo: obtener acceso a una máquina o infectarla con malware.

El malware podría ser un adware que genera ingresos o un programa para convertir su máquina en un zombie como parte de una botnet más grande o una colección de computadoras controladas a distancia.

Cómo funcionan

Antes de hablar sobre kits de exploits específicos, hablaremos sobre cómo funcionan los kits de exploits.

Los kits de exploits están diseñados para aprovechar las vulnerabilidades que se encuentran en los sistemas operativos, navegadores web y complementos del navegador como Flash, Silverlight o Java para entregar una carga útil, que puede ser cualquier tipo de malware, incluidos ransomware, troyanos de acceso remoto y malware que recopila credenciales de inicio de sesión.

Los kits de exploits generalmente se entregan a través de publicidad maliciosa, es decir, anuncios fraudulentos, que pueden funcionar de dos maneras.

Al igual que con los enfoques más tradicionales como el phishing, algunos anuncios malignos utilizan tácticas de ingeniería social para incitar a los usuarios a hacer clic en el anuncio, lo que permite instalar el malware en el ordenador o dispositivo del usuario.

Principales kit de exploit

Aquí tienes un resumen rápido de los kits de exploits que deberías tener en cuenta.

RIG

RIG es actualmente el más activo de los kits de exploits de alquiler. La mayoría de los actores principales hicieron la transición a RIG después de que los kits de explotación Nuclear y Angler se cerraron a mediados de 2016 y Neutrino se volvió privado a fines de 2016. RIG con frecuencia utiliza dominios generados aleatoriamente en el dominio .top TLD y apunta a direcciones IP en los servicios de alojamiento rusos.

Hay tres variantes principales:

  • RIG ‘classic’,
  • Rig-V y
  • Empire Pack.

Desde la perspectiva de la víctima, hay poco para distinguir las versiones, pero RIG-V utiliza patrones de URL menos predecibles y, en general, implementa un nuevo código shell de exploits. Esto reduce la efectividad de las defensas del sistema de prevención y detección de intrusos.

Empire Pack combina el código exploit más reciente y las URL con funciones de administración de tráfico.

Astrum, también conocido como Stegano

Detectado por primera vez en 2014, Astrum fue descubierto recientemente utilizando técnicas esteganográficas innovadoras para ocultar el código de ataque en el canal alfa de las imágenes.

Este enfoque se utiliza para introducir código malicioso en redes publicitarias y publicidad maliciosa, lo que da como resultado que los sitios web de alto perfil expongan a los visitantes a código malicioso.

Sundown

Más notable por robar de otros kits de exploits que por desarrollar sus propios ataques únicos, Sundown tiene una innovación que no se ve con otros kits: la adquisición de dominios registrados por partes inocentes que están a punto de expirar.

Debido a que los dominios generalmente se han estacionado o utilizado para el cultivo de pancartas antes de ser adquiridos por los operadores del kit de exploits, los dominios utilizados por Sundown generalmente tienen un historial de uso legítimo y no serán bloqueados de manera confiable por sistemas basados ​​en reputación.

Neutrino

Neutrino se convirtió brevemente en el kit de exploits de alquiler preferido después del cierre de Angler.

Luego se volvió privado, dejando de realizar la explotación como servicio. Esto dio lugar a una transición general a RIG. Neutrino todavía está activo, pero a un nivel muy reducido.

Magnitud

Magnitud es otro kit de exploits privados, que distribuye principalmente ransomware.

Recientemente se ha centrado en las víctimas en un área geográfica específica, principalmente en China y Corea del Sur. Esto puede ser un intento de evitar la detección por parte de equipos de ciberseguridad que operan en EEUU y la UE.

Cómo protegerte frente a los exploits

Tu no has diseñado el software que usas en tu ordenador, por lo que no hay mucho que puedas hacer al respecto si tiene una vulnerabilidad, ¿verdad?

Pues sí y no.

Es probable que no puedas diagnosticar el problema y acceder al código del software para solucionarlo, pero puedes seguir algunas buenas pautas de seguridad para mantener tu máquina fuera de peligro.

Mantén todo el software actualizado

Cuando se trata de vulnerabilidades conocidas, las compañías de software y los programadores a menudo proporcionarán una actualización o parche para solucionar el problema lo más rápido posible. Sin embargo, eso no te hace mucho bien hasta que instales la actualización.

La mayoría de los ciberataques aún explotan vulnerabilidades conocidas en sistemas que aún no se han parcheado o actualizado. Cuando tu sistema operativo o software te pida descargar la última actualización, hazlo cuanto antes.

Determinar la gravedad de las vulnerabilidades y priorizar

A nivel empresarial, las organizaciones pueden tener miles de sistemas, aplicaciones y softwares diferentes que se ejecutan detrás de escena. Aplicar parches y actualizarlos todos podría ser una pesadilla, sin mencionar que podría causar un tiempo de inactividad grave.

Sin embargo, la respuesta no es ignorar las actualizaciones. Simplemente prioriza los exploits conocidos en términos de severidad y parchea tan rápido como tu equipo pueda.

Utiliza solo software de confianza

No todo el software proviene de empresas con grandes equipos de programadores y expertos en seguridad. Se sabe que las vulnerabilidades en pequeños complementos caseros de WordPress, por ejemplo, causan problemas importantes para los propietarios de sitios web.

Solo instala complementos de fuentes confiables que tengan un historial de actualización de sus compilaciones para corregir vulnerabilidades, una buena regla general para cualquier software que ejecutes.

Minimiza el impacto de los ataques de día cero

Toma medidas para que tu sistema sea lo más invulnerable posible.

Deberías considerar hacer una copia de seguridad de archivos importantes en una unidad externa, por ejemplo, para combatir los ataques de ransomware. También puedes pensar en aislar ordenadores cruciales del resto de la red (en un entorno familiar o de oficina) para protegerla en caso de una infección.

Instalar un potente antivirus

El software antivirus es crítico para mantenerte a salvo de exploits conocidos, pero algunos de los mejores en el mercado también pueden protegerte de exploits desconocidos o de día cero.

Con la exploración en tiempo real, los principales proveedores de antivirus pueden detectar nuevas amenazas en un instante y neutralizar muchas de ellas.

Estrategia de múltiples capas

A medida que la sofisticación de los kits de exploits ha aumentado, se ha llegado al punto de que ninguna defensa es efectiva por sí sola.

Se requieren varias capas para una protección adecuada que incluya puntos finales protegidos y un IPS / IDS con firmas actuales para identificar y bloquear el código de ataque conocido.

Es importante destacar que esto debe ser respaldado por un RPZ de política IP que contenga las direcciones IP de los servidores de ataque conocidos, para bloquear cualquier búsqueda de DNS que se resuelva en la dirección IP hostil, independientemente del nombre de host específico que se busque. Un RPZ, o «zona de política de respuesta», es un archivo que contiene información sobre direcciones IP maliciosas, y le indica al servidor DNS cómo tratar las solicitudes de acuerdo con las políticas establecidas por el administrador.

¿Cómo puede ayudar la inteligencia en la detección de exploits?

Esto nos lleva al papel de la inteligencia en el avance de los programas de seguridad y en la clarificación del panorama de amenazas.

El descubrimiento avanzado de vulnerabilidades es quizás el impacto más importante de la inteligencia. Sin ella, los equipos de seguridad no suelen buscar dónde hay un parche disponible, o una prueba de concepto o explotar en la naturaleza que se utiliza activamente.

Con inteligencia, los equipos de seguridad pueden evaluar si las vulnerabilidades están siendo explotadas y qué actores de amenazas están interesados.

Con una herramienta de inteligencia efectiva, se habilitan numerosas capacidades. Puede encontrar TTP y los intereses de los objetivos, lo que conduce a la intención y las capacidades. Sin embargo, la inteligencia también puede hacer todo lo contrario. Es posible que su equipo de seguridad no encuentre nada, lo que puede ser tan valioso.

Herramientas de seguimiento y alerta sobre exploits

Podemos tener en cuenta los siguientes medios para alertarnos sobre exploits:

  • Investigadores de seguridad y blogs de inteligencia: esta es una gran fuente de nuevas pruebas de concepto y vulnerabilidades que se explotan activamente.
  • Sitios en la nube: los sitios en la nube como Pastebin a menudo atraen a ciberdelincuentes de bajo nivel que comparten exploits. Sin embargo, una plataforma de inteligencia de amenazas te alertará sobre esos exploits y te permitirá extraer código y analizar qué hace el exploit.
  • GitHub: los sombreros blancos y los investigadores a menudo comparten hazañas o pruebas de concepto descubiertas en GitHub.

Los exploits son complejos pero la seguridad es simple

La esencia de los exploits informáticos es complicada e incluso los equipos de desarrolladores de software más elitistas del mundo no pueden evitar lanzar programas con toneladas de vulnerabilidades que luego tendrán que reparar.

Lo mejor que puedes hacer como usuario de un ordenador es ejecutar esos parches y actualizaciones con la mayor frecuencia posible. Por lo general, las nuevas versiones de software o sistemas operativos contienen actualizaciones críticas de seguridad que no debes ignorar.

Si mantienes tu máquina actualizada, usas un antivirus potente y practicas un comportamiento seguro de navegación web, no hay garantía de que no serás víctima de un ataque, pero reducirás sus posibilidades significativamente.