No hay nada más difícil que predecir. Entonces, en lugar de contemplar una bola de cristal, la idea aquí es hacer conjeturas basadas en lo que ha ocurrido recientemente y donde vemos una tendencia que podría explotarse en los próximos meses.Preguntar a las personas más inteligentes que conozco y basar nuestro escenario en ataques APT porque tradicionalmente muestran la mayor innovación cuando se trata de romper la seguridad, aquí están nuestras principales "predicciones" de lo que podría suceder en los próximos meses.
No más APTs grandes
¿Qué? ¿Cómo es posible que en un mundo donde descubrimos cada vez más actores cada día, la primera predicción parece apuntar en la dirección opuesta?El razonamiento detrás de esto es que la industria de la seguridad ha descubierto constantemente operaciones altamente sofisticadas patrocinadas por el gobierno que tomaron años de preparación. Lo que parece ser una reacción lógica a esa situación desde la perspectiva de un atacante sería explorar nuevas técnicas aún más sofisticadas que son mucho más difíciles de descubrir y atribuir a actores específicos.
De hecho, hay muchas maneras diferentes de hacer esto. El único requisito sería comprender las técnicas utilizadas por la industria para la atribución y para identificar similitudes entre los diferentes ataques y los artefactos utilizados en ellos, algo que no parece ser un gran secreto. Con recursos suficientes, una solución simple para un atacante podría tener diferentes conjuntos de actividades en curso que son muy difíciles de relacionar con el mismo actor u operación. Los atacantes bien dotados de recursos podrían iniciar nuevas operaciones innovadoras mientras mantienen vivos a sus antiguos. Por supuesto, todavía hay una buena posibilidad de que se descubran las operaciones más antiguas, pero descubrir las nuevas operaciones supondría un desafío mayor.
En lugar de crear campañas más sofisticadas, en algunos casos parece ser más eficiente para algunos actores muy específicos que tienen la capacidad de hacerlo, para dirigirse directamente a la infraestructura y las empresas donde se pueden encontrar víctimas, como los ISP. A veces esto puede lograrse a través de la regulación, sin la necesidad de malware.
Algunas operaciones simplemente se externalizan a diferentes grupos y empresas que utilizan diferentes herramientas y técnicas, lo que hace que la atribución sea extremadamente difícil. Vale la pena tener en cuenta que, en el caso de operaciones patrocinadas por el gobierno, esta "centrifugación" de recursos y talento podría afectar el futuro de dichas campañas. Las capacidades y herramientas técnicas son propiedad de la industria privada en este escenario, y están a la venta para cualquier cliente que, en muchos casos, no comprende completamente los detalles técnicos y las consecuencias detrás de ellos.
Todo esto sugiere que es poco probable que descubramos nuevas operaciones altamente sofisticadas: es más probable que los atacantes con buenos recursos simplemente cambien a nuevos paradigmas.
No más APTs grandes
¿Qué? ¿Cómo es posible que en un mundo donde descubrimos cada vez más actores cada día, la primera predicción parece apuntar en la dirección opuesta?El razonamiento detrás de esto es que la industria de la seguridad ha descubierto constantemente operaciones altamente sofisticadas patrocinadas por el gobierno que tomaron años de preparación. Lo que parece ser una reacción lógica a esa situación desde la perspectiva de un atacante sería explorar nuevas técnicas aún más sofisticadas que son mucho más difíciles de descubrir y atribuir a actores específicos.
De hecho, hay muchas maneras diferentes de hacer esto. El único requisito sería comprender las técnicas utilizadas por la industria para la atribución y para identificar similitudes entre los diferentes ataques y los artefactos utilizados en ellos, algo que no parece ser un gran secreto. Con recursos suficientes, una solución simple para un atacante podría tener diferentes conjuntos de actividades en curso que son muy difíciles de relacionar con el mismo actor u operación. Los atacantes bien dotados de recursos podrían iniciar nuevas operaciones innovadoras mientras mantienen vivos a sus antiguos. Por supuesto, todavía hay una buena posibilidad de que se descubran las operaciones más antiguas, pero descubrir las nuevas operaciones supondría un desafío mayor.
En lugar de crear campañas más sofisticadas, en algunos casos parece ser más eficiente para algunos actores muy específicos que tienen la capacidad de hacerlo, para dirigirse directamente a la infraestructura y las empresas donde se pueden encontrar víctimas, como los ISP. A veces esto puede lograrse a través de la regulación, sin la necesidad de malware.
Algunas operaciones simplemente se externalizan a diferentes grupos y empresas que utilizan diferentes herramientas y técnicas, lo que hace que la atribución sea extremadamente difícil. Vale la pena tener en cuenta que, en el caso de operaciones patrocinadas por el gobierno, esta "centrifugación" de recursos y talento podría afectar el futuro de dichas campañas. Las capacidades y herramientas técnicas son propiedad de la industria privada en este escenario, y están a la venta para cualquier cliente que, en muchos casos, no comprende completamente los detalles técnicos y las consecuencias detrás de ellos.
Todo esto sugiere que es poco probable que descubramos nuevas operaciones altamente sofisticadas: es más probable que los atacantes con buenos recursos simplemente cambien a nuevos paradigmas.
Hardware de red y IOT
Parecía lógico que en algún momento todos los actores desplegaran capacidades y herramientas diseñadas para apuntar al hardware de red. Campañas como VPNFilter fueron un ejemplo perfecto de cómo los atacantes ya han comenzado a implementar su malware para crear una "red de bots" multipropósito. En este caso particular, incluso cuando el malware estaba muy extendido, tomó algún tiempo detectar el ataque, lo cual es preocupante considerando lo que podría suceder en operaciones más específicas.En realidad, esta idea puede ir aún más lejos para los actores con recursos suficientes: ¿por qué no apuntar directamente a una infraestructura aún más elemental en lugar de solo enfocarse en una organización objetivo? No hemos alcanzado ese nivel de compromiso (a nuestro entender), pero se desprendió de ejemplos pasados (como Regin) lo tentador que es ese nivel de control para cualquier atacante.
Las vulnerabilidades en el hardware de red permiten a los atacantes seguir direcciones diferentes. Podrían optar por un compromiso masivo al estilo de una red de bots y usar esa red en el futuro para diferentes objetivos, o podrían acercarse a objetivos seleccionados para más ataques clandestinos. En este segundo grupo podríamos considerar ataques "sin malware", donde abrir un túnel VPN para reflejar o redirigir el tráfico podría proporcionar toda la información necesaria a un atacante.
Todos estos elementos de redes también podrían ser parte de la poderosa IoT, donde las botnets siguen creciendo a un ritmo aparentemente imparable. Estas botnets podrían ser increíblemente poderosas en las manos equivocadas cuando se trata de interrumpir una infraestructura crítica, por ejemplo. Esto puede ser abusado por actores con muchos recursos, posiblemente utilizando un grupo de cobertura, o en algún tipo de ataque terrorista.
Un ejemplo de cómo se pueden usar estas botnets versátiles, aparte de para ataques perturbadores, es el salto de frecuencia de corto alcance para comunicaciones maliciosas, evitando las herramientas de monitoreo al evitar los canales de exfiltración convencionales.
Si bien esto parece ser una advertencia recurrente año tras año, nunca debemos subestimar las redes de bots de IoT, ya que siguen creciendo.
Parecía lógico que en algún momento todos los actores desplegaran capacidades y herramientas diseñadas para apuntar al hardware de red. Campañas como VPNFilter fueron un ejemplo perfecto de cómo los atacantes ya han comenzado a implementar su malware para crear una "red de bots" multipropósito. En este caso particular, incluso cuando el malware estaba muy extendido, tomó algún tiempo detectar el ataque, lo cual es preocupante considerando lo que podría suceder en operaciones más específicas.En realidad, esta idea puede ir aún más lejos para los actores con recursos suficientes: ¿por qué no apuntar directamente a una infraestructura aún más elemental en lugar de solo enfocarse en una organización objetivo? No hemos alcanzado ese nivel de compromiso (a nuestro entender), pero se desprendió de ejemplos pasados (como Regin) lo tentador que es ese nivel de control para cualquier atacante.
Las vulnerabilidades en el hardware de red permiten a los atacantes seguir direcciones diferentes. Podrían optar por un compromiso masivo al estilo de una red de bots y usar esa red en el futuro para diferentes objetivos, o podrían acercarse a objetivos seleccionados para más ataques clandestinos. En este segundo grupo podríamos considerar ataques "sin malware", donde abrir un túnel VPN para reflejar o redirigir el tráfico podría proporcionar toda la información necesaria a un atacante.
Todos estos elementos de redes también podrían ser parte de la poderosa IoT, donde las botnets siguen creciendo a un ritmo aparentemente imparable. Estas botnets podrían ser increíblemente poderosas en las manos equivocadas cuando se trata de interrumpir una infraestructura crítica, por ejemplo. Esto puede ser abusado por actores con muchos recursos, posiblemente utilizando un grupo de cobertura, o en algún tipo de ataque terrorista.
Un ejemplo de cómo se pueden usar estas botnets versátiles, aparte de para ataques perturbadores, es el salto de frecuencia de corto alcance para comunicaciones maliciosas, evitando las herramientas de monitoreo al evitar los canales de exfiltración convencionales.
Si bien esto parece ser una advertencia recurrente año tras año, nunca debemos subestimar las redes de bots de IoT, ya que siguen creciendo.
Una de las preguntas más importantes en términos de diplomacia y geopolítica era cómo lidiar con un ataque cibernético activo. La respuesta no es simple y depende en gran medida de cuán malo y flagrante fue el ataque, entre muchas otras consideraciones. Sin embargo, parece que después de trucos como el del Comité Nacional Demócrata, las cosas se pusieron más serias.
Las investigaciones sobre ataques recientes de alto perfil, como los piratas informáticos de Sony Entertainment Network o el ataque al DNC, culminaron en una lista de sospechosos acusados. Eso da lugar no solo a personas que se enfrentan a un juicio, sino también a una demostración pública de quién estaba detrás del ataque. Esto se puede usar para crear una oleada de opiniones que podrían ser parte de un argumento para consecuencias diplomáticas más serias.En realidad, hemos visto a Rusia sufrir tales consecuencias como resultado de su supuesta interferencia en los procesos democráticos. Esto podría hacer que otros reconsideren futuras operaciones de este tipo.
Sin embargo, el temor de que algo así sucediera, o la idea de que ya podría haber ocurrido, fue el mayor logro de los atacantes. Ahora pueden explotar ese miedo, incertidumbre y duda de maneras diferentes y más sutiles, algo que vimos en operaciones notables, incluida la de los Shadowbrokers. Esperamos que venga más.
¿Qué veremos en el futuro? Las aguas de propaganda probablemente estaban siendo probadas por operaciones pasadas. Creemos que esto acaba de comenzar y se abusará de varias maneras, por ejemplo, en incidentes de bandera falsa, como vimos con el Destructor Olímpico, donde aún no está claro cuál fue el objetivo final y cómo podría haberse desarrollado.
Aparición de recién llegados
Simplificando un poco, el mundo de la APT parece estar dividiéndose en dos grupos: los actores más avanzados con los recursos tradicionales (que predecimos que se desvanecerán) y un grupo de recién llegados enérgicos que quieren participar en el juego.
La cuestión es que la barrera de entrada nunca ha sido tan baja, con cientos de herramientas muy efectivas, reutilizados exploits filtrados y marcos de todo tipo públicamente disponibles para que cualquiera los use. Como ventaja adicional, estas herramientas hacen que la atribución sea casi imposible y se puede personalizar fácilmente si es necesario.
Hay dos regiones en el mundo donde estos grupos son cada vez más frecuentes: el sudeste asiático y el Medio Oriente. Hemos observado la rápida progresión de grupos sospechosos de estar basados en estas regiones, tradicionalmente abusando de la ingeniería social para los objetivos locales, aprovechando las víctimas mal protegidas y la falta de una cultura de seguridad. Sin embargo, a medida que los objetivos aumentan sus defensas, los atacantes hacen lo mismo con sus capacidades ofensivas, lo que les permite extender sus operaciones a otras regiones a medida que mejoran el nivel técnico de sus herramientas. En este escenario de herramientas basadas en scripts también podemos encontrar compañías emergentes que brindan servicios regionales que, a pesar de las fallas de OPSEC, continúan mejorando sus operaciones.
Un aspecto interesante que vale la pena considerar desde un ángulo más técnico es cómo las herramientas de post-explotación de JavaScript pueden encontrar una nueva vida a corto plazo, dada la dificultad de limitar su funcionalidad por parte de un administrador (a diferencia de PowerShell), su falta de sistema. Los registros y su capacidad para ejecutarse en sistemas operativos más antiguos.
Los anillos negativos
El año de Meltdown / Spectre / AMDFlaws y todas las vulnerabilidades asociadas (y las que vendrán) nos hicieron reconsiderar dónde vive el malware más peligroso. Y aunque no hemos visto casi nada en el campo de las vulnerabilidades de abuso debajo del Anillo 0, la mera posibilidad es realmente aterradora, ya que sería invisible para casi todos los mecanismos de seguridad que tenemos.
Por ejemplo, en el caso de SMM, al menos ha habido un PoC disponible públicamente desde 2015. SMM es una característica de la CPU que efectivamente proporcionaría acceso completo remoto a una computadora sin siquiera permitir que los procesos de Ring 0 tengan acceso a su espacio de memoria. Eso nos hace preguntarnos si el hecho de que no hayamos encontrado ningún malware que abusara de esto hasta ahora es simplemente porque es muy difícil de detectar. Abusar de esta característica parece ser una oportunidad demasiado buena para ignorarla, por lo que estamos seguros de que varios grupos han intentado explotar tales mecanismos durante años, quizás con éxito.Vemos una situación similar con el malware de virtualización / hipervisor, o con el malware UEFI. Hemos visto PoC para ambos, y HackingTeam incluso reveló un módulo de persistencia UEFI que ha estado disponible desde al menos 2014, pero nuevamente no hay ejemplos reales de ITW todavía.
¿Alguna vez encontraremos este tipo de unicornios? ¿O no han sido explotados todavía? La última posibilidad parece poco probable.
Simplificando un poco, el mundo de la APT parece estar dividiéndose en dos grupos: los actores más avanzados con los recursos tradicionales (que predecimos que se desvanecerán) y un grupo de recién llegados enérgicos que quieren participar en el juego.
La cuestión es que la barrera de entrada nunca ha sido tan baja, con cientos de herramientas muy efectivas, reutilizados exploits filtrados y marcos de todo tipo públicamente disponibles para que cualquiera los use. Como ventaja adicional, estas herramientas hacen que la atribución sea casi imposible y se puede personalizar fácilmente si es necesario.
Hay dos regiones en el mundo donde estos grupos son cada vez más frecuentes: el sudeste asiático y el Medio Oriente. Hemos observado la rápida progresión de grupos sospechosos de estar basados en estas regiones, tradicionalmente abusando de la ingeniería social para los objetivos locales, aprovechando las víctimas mal protegidas y la falta de una cultura de seguridad. Sin embargo, a medida que los objetivos aumentan sus defensas, los atacantes hacen lo mismo con sus capacidades ofensivas, lo que les permite extender sus operaciones a otras regiones a medida que mejoran el nivel técnico de sus herramientas. En este escenario de herramientas basadas en scripts también podemos encontrar compañías emergentes que brindan servicios regionales que, a pesar de las fallas de OPSEC, continúan mejorando sus operaciones.
Un aspecto interesante que vale la pena considerar desde un ángulo más técnico es cómo las herramientas de post-explotación de JavaScript pueden encontrar una nueva vida a corto plazo, dada la dificultad de limitar su funcionalidad por parte de un administrador (a diferencia de PowerShell), su falta de sistema. Los registros y su capacidad para ejecutarse en sistemas operativos más antiguos.
Los anillos negativos
El año de Meltdown / Spectre / AMDFlaws y todas las vulnerabilidades asociadas (y las que vendrán) nos hicieron reconsiderar dónde vive el malware más peligroso. Y aunque no hemos visto casi nada en el campo de las vulnerabilidades de abuso debajo del Anillo 0, la mera posibilidad es realmente aterradora, ya que sería invisible para casi todos los mecanismos de seguridad que tenemos.
Por ejemplo, en el caso de SMM, al menos ha habido un PoC disponible públicamente desde 2015. SMM es una característica de la CPU que efectivamente proporcionaría acceso completo remoto a una computadora sin siquiera permitir que los procesos de Ring 0 tengan acceso a su espacio de memoria. Eso nos hace preguntarnos si el hecho de que no hayamos encontrado ningún malware que abusara de esto hasta ahora es simplemente porque es muy difícil de detectar. Abusar de esta característica parece ser una oportunidad demasiado buena para ignorarla, por lo que estamos seguros de que varios grupos han intentado explotar tales mecanismos durante años, quizás con éxito.Vemos una situación similar con el malware de virtualización / hipervisor, o con el malware UEFI. Hemos visto PoC para ambos, y HackingTeam incluso reveló un módulo de persistencia UEFI que ha estado disponible desde al menos 2014, pero nuevamente no hay ejemplos reales de ITW todavía.
¿Alguna vez encontraremos este tipo de unicornios? ¿O no han sido explotados todavía? La última posibilidad parece poco probable.
0 Comentarios