Herramientas y frameworks a disposición de ciberdelincuentes

16 Septiembre 2021
Alto

Durante el último tiempo se ha evidenciado gran cantidad de campañas de Ransomware activas alrededor del mundo las que suelen tener como factor común el uso de diferentes herramientas y frameworks distribuidos de forma gratuita como Mimikatz y Metasploit en su versión básica o bajo licencia como Cobalt-Strike.

Las herramientas gratuitas cuentan con una alta disposición en internet y pueden encontrarse preinstaladas en Sistemas Operativos como Kali y Parrot, mientras que las herramientas de pago suelen ser adquiridas de forma fraudulenta en el Black Market o compartidas entre ciberactores afiliados.

Herramientas y Frameworks

Si bien ambas corresponden a un software, la principal diferencia entre ambos términos se debe al uso y capacidades prestadas, donde las herramientas contemplan funcionalidades específicas para las que fueron diseñadas como por ejemplo la sustracción de contraseñas como lo hace Mimikatz, mientras que los frameworks como Metasploit o Cobalt Strike contemplan variedades de opciones que facilitan la interacción entre múltiples herramientas que como resultado final den solución a un esquema de trabajo que permita abarcar diferentes pasos del proceso de explotación.

Originalmente la gran mayoría de herramientas y frameworks disponibles en internet han sido diseñadas para pruebas de pentesting legítimas o POC (Proof of Concept) por investigadores independientes, el uso de ellas ha permitido que en las manos equivocadas sean altamente peligrosas.

Mimikatz

Pantalla de inicio Mimikatz

Tal como ha sido descrito en “Ransomexx continúa sus operaciones Big Game Hunting”, Mimikatz es una herramienta de código abierto lanzada al público en 2011 que entre sus funciones principales está diseñada  para la sustracción de credenciales de windows mediante el acceso a tickets de Kerberos (Protocolo de autenticación) desde la memoria donde son almacenadas, facilitando el  proceso de post explotación mediante la elevación de privilegios y el movimiento lateral con credenciales legítimas. Estos TTP’s han sido ampliamente estudiados, descritos y documentados en la web oficial de MITRE ATT&CK.

Tras una larga trayectoria Microsoft ha aplicado medidas mitigatorias que consisten en la desactivación por defecto del servicio WDigest del cual se aprovecha Mimikatz, sin embargo, este servicio continúa precargado en sistemas operativos Windows y solo es necesario activarlo para que sea vulnerado.

WDigest: 

  • Cliente solicita acceso a un recurso
  • Servidor de autenticación desafía al cliente
  • Cliente cifra su respuesta con una clave derivada de la contraseña
  • La respuesta es comparada con una registro almacenado en el servidor 
  • Se valida si el usuario tiene la contraseña correcta para permitir acceso.

Metasploit

Pantalla de inicio a msfconsole

Metasploit creado en 2003, es un framework que tras su popularidad y potencial fue adquirido por la compañía Rapid7 en 2007 y desde entonces ha comenzado un amplio desarrollo hasta su última versión Metasploit 5.0 

Metasploit presenta características multiplataforma (Linux - MacOS - Win) en sus versiones free y PRO (de pago). La primera únicamente para ejecución por la línea de comandos (CLI) mientras que la segunda cuenta además con interfaz gráfica (GUI), capacidad de creación de proyectos, automatización de procesos, entre otros.

Características generales:

  • Multiplataforma
  • Incorporación de data obtenida por software de terceros
  • Búsqueda de exploits por servicio
  • Creación de malware genérico
  • Ejecución de shell reversa

Este framework, entre sus múltiples funcionalidades, permite tanto en su versión gratuita como la de pago abarcar gran parte del espectro completo de un ataque e interactuar con diferentes herramientas para:

  • La colección de información
  • Descubrimiento de dispositivos: 
  • Acceso inicial
  • La toma de control 

Cobalt-Strike

Ilustrativa ofrecida por web oficial

Creado en 2012 y bajo una licencia de alto costo por usuario, permite la simulación de adversarios y operaciones de Red Team con un enfoque basado en ambientes Windows y diseñado para que con solo este framework se obtengan capacidades de post-explotación que cubren un amplio espectro de tácticas descritas por MITRE ATT&CK. 

“Beacon” o “Balizas”

Entre algunas de las principales características de Cobalt Strike y que ha llevado largo tiempo de análisis a investigadores, se destacan los llamados “Beacon” o “Balizas”, que funcionan como BackDoor en los equipos afectados dentro de la red, permitiendo que se comuniquen entre ellos y recibir órdenes desde servidores C2. 

Si bien todos los equipos que contengan estas balizas pueden establecer comunicación con servidores de C2, esta comunicación se canaliza mediante solo un equipo que puede alternar y distribuir las órdenes al resto de dispositivos interconectados, muy similar a una Botnet. De esta forma, se disminuye el ruido causado en la red y se mantienen canales de respaldo para la comunicación con servidores de mando.

Ciberactores y Cobalt-strike

Pese a que el software es accesible bajo la compra de una licencia, las habilidades de sus usuarios y de diferentes ciberactores han permitido realizar un Crack a su licencia para ser ofrecido en foros del Black Market o también publicada de forma gratuita como ha sucedido en el conocido portal GitHub durante noviembre del 2020 de donde fue rápidamente removido.

Otro método detectado ha sido la decompilación manual (operación inversa a un compilador) del software (obtención de código fuente) en lenguaje de programación Java permitiendo manipular el código adaptándolo a las necesidades de sus propietarios.

Teniendo en consideración que la gran mayoría de poseedores de Cobalt-strike de forma fraudulenta la utilizan con fines maliciosos y que su código fuente se encuentra disponible en internet, ha sido rápidamente manipulado para adquirir nuevas y más potentes capacidades.

Entre los actores más destacados que utilizan estas herramientas y frameworks se encuentran: BlackMatters (DarkSide), Revil (Sodinokibi), Hive, LockFile, Dridex y Grief

Nueva Variante:

  • Vermilon Strike

Actualmente ya se habla de la variante “Vermilion Strike” cargada por primera vez en VirusTotal el 10 de agosto del 2021 desde Malasia, en la que se ha desarrollado una versión de “Beacons” o “Balizas” capaces de comprometer equipos Linux y que, debido a su reciente descubrimiento, ha dificultado su detección por tecnologías AV.

Todos estos elementos han permitido que ciberactores puedan recurrir a estas herramientas y frameworks para la facilitación del desarrollo y despliegue de sus operaciones disminuyendo considerablemente el tiempo de planificación y aumentando significativamente las capacidades de herramientas propias.

De momento solo existen casos registrados y publicados de ataques focalizados mediante infección por malware (Vermilion Strike), en lugar de intrusiones a gran escala por lo que aún se encuentra en tela de juicio si corresponde a campañas de ciberespionaje o de actores con capacidades avanzadas.

Panorama 

Teniendo en consideración que un gran número de ciberactores han tenido su origen con el desarrollo de malware, el tiempo, la experiencia y las nuevas herramientas/frameworks disponibles han facilitado su rápida evolución permitiendo que lo que en algún momento fue un malware actualmente posea capacidades de Ransomware.

De esta forma se ha facilitado el acceso de actores menos experimentados a ataques de mayor envergadura.

Es importante recalcar que tanto las herramientas y frameworks mencionados son completamente legales en ambientes para los que fueron diseñados, sin embargo, por lo atractivo de sus capacidades han caído rápidamente en las manos equivocadas convirtiéndose en una potente arma que se aleja bastante de la legalidad.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

  • Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Proteger el protocolo RDP:
    • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
    • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
    • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
    • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
    • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
    • Habilitar la autenticación de nivel de red (NLA).
  • Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
  • Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
  • Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
  • Actualizar los equipos con Windows a las últimas versiones.
  • Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
  • Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
  • Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
  • Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
  • Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.

Tags: #Mimikatz #Metasploit #Cobalt-Strike #Cobalt #Strike #Ransomware #Herramientas #Framework #WDigest #Vermilion #Vermilion-Strike #Beacon #Balizas
  • Productos Afectados
  • Producto Versión
    . .


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.