HAY GUSANOS QUE HACEN EL BIEN

Los jardineros saben que los gusanos son buenos. Los profesionales de la ciberseguridad saben que los gusanos son malos. Muy malos. De hecho, los gusanos son la fuerza del mal más devastadora conocida en el mundo de la informática. MyDoom ocupa el dudoso puesto de malware informático más costoso de la historia, responsable de unos 38.000 millones de dólares (misma cantidad aproximada en euros) en daños. En segundo lugar, SoBig, otro gusano.

Sin embargo, resulta que hay excepciones a toda regla. Hay gusanos biológicos que no son bienvenidos en la mayoría de los jardines. Y algunos gusanos cibernéticos, al parecer, pueden usar sus poderes para el bien.

Este es Hopper, el gusano White-Hat

Las herramientas de detección no son las mejores para percatarse de la propagación no basada en exploits, que es lo que mejor hacen los gusanos. La mayoría de las soluciones de ciberseguridad son menos resistentes a los métodos de ataque de este tipo de malware, como la suplantación de tokens y otros que se aprovechan de las configuraciones internas deficientes: Pluggable Authentication Modules (PAM), segmentación, almacenamiento inseguro de credenciales, etc.

Así que, ¿qué mejor manera de vencer a un gusano sigiloso que con… otro gusano sigiloso?

¡Y así nació Hopper! Hopper es un verdadero gusano, con comando y control (C&C), escalada de privilegios incorporada, y muchas más de las capacidades más retorcidas de la humanidad. Pero a diferencia de la mayoría de los gusanos, Hopper fue construido para hacer el bien. En lugar de provocar daños, Hopper informa a los pentesters de dónde y cómo ha conseguido infiltrarse en una red. Informa de hasta dónde ha llegado, qué ha encontrado por el camino y cómo mejorar las defensas.

Hopper de cerca

El equipo de desarrollo de Cymulate basó a Hopper en una versión veterana y común de este malware: un pequeño ejecutable que sirve como payload (carga útil) inicial, cuyo objetivo principal es preparar una payload mayor. Este veterano también sirve como empaquetador PE, un programa que carga y ejecuta programas indirectamente, normalmente desde un paquete.

El veterano base de Hopper fue desarrollado de tal manera que la payload inicial no tiene que cambiarse para actualizarlo. Esto significa que excluir los hashes en cada actualización ya es historia, y los usuarios de Hopper sólo necesitan excluir el hash del veterano una vez. Desarrollarlo de esta manera también abrió el camino para ejecutar otras herramientas que Hopper necesita.

Para maximizar la flexibilidad de Hopper, el equipo añadió diferentes métodos de ejecución inicial, métodos de comunicación adicionales, varias formas de obtener el payload de la primera fase, diferentes métodos de inyección, y más. Y, para crear un gusano muy sigiloso, hay que facilitar la máxima personalización de las características sigilosas, por lo que programaron configuraciones casi totalmente controladas por el operador:

  • Configuración de la payload inicial: métodos de ejecución totalmente personalizables: ejecutables, bibliotecas, scripts de python, shellcode, scripts de PowerShell, etc.
  • Configuración de la payload de la primera fase: métodos configurables de obtención de paquetes y de inyección de paquetes (por ejemplo, inyección reflexiva).
  • Configuración de balizas de segunda fase: canales de comunicación personalizados, control de la temporización del keep-alive, y fluctuación.
  • API: adición de nuevas capacidades por el aire para facilitar la futura expansión de las capacidades, incluyendo métodos de comunicación, métodos de propagación y exploits.

Ejecución, gestión de credenciales y difusión

La ejecución inicial de Hopper es en memoria y por etapas. La primera etapa es un pequeño stub con capacidad limitada. Este stub sabe cómo ejecutar un trozo de código (más importante) en lugar de contenerlo, lo que hace más difícil marcarlo como un archivo malicioso. Para la escalada de privilegios eligieron diferentes métodos de evasión de User Account Control, explotando servicios vulnerables como Spooler y utilizando servicios mal configurados o autoejecutables. La idea aquí es que Hopper utilice los privilegios mínimos necesarios para lograr sus objetivos. Por ejemplo, si una máquina proporciona acceso de usuario a nuestra máquina objetivo, Hopper podría no necesitar elevar privilegios para extenderse a esa máquina objetivo.

Hopper cuenta con una gestión de credenciales centralizada que le permite distribuirlas entre cualquiera de sus instancias, lo que significa que todos los Hoppers tienen acceso a las credenciales recogidas, eliminando la necesidad de duplicar la base de datos de credenciales sensibles en otras máquinas.

Para propagarse, Hopper prefiere las configuraciones erróneas a los exploits. ¿La razón? Los exploits pueden llegar a colapsar los sistemas, destacan más y son fácilmente identificados por sistemas de monitorización IPS/redes y los productos Endpoint Detection and Response (EDR). Las configuraciones erróneas, en cambio, no se detectan fácilmente como actividad maliciosa. Por ejemplo, una mala configuración del Directorio Activo puede dar a un usuario acceso a un recurso al que no debería haber tenido acceso, y por lo tanto llevar a la propagación. Del mismo modo, los fallos en la configuración del software pueden permitir a un usuario ejecutar código de forma remota y, de nuevo, permitir que el gusano se propague.

Sigilo y Command & Control

El equipo de Cymulate eligió la ejecución en memoria para Hopper, ya que cifrar el código del malware en memoria una vez que ya no se utiliza puede interrumpir la capacidad de los EDR para identificar el contenido en memoria. Además, la ejecución en memoria utiliza llamadas directas al sistema en lugar de llamadas a la API, supervisadas por los EDR. Si Hopper necesita utilizar funciones de la API, detecta y descarga los cebos para el EDR antes de hacerlo.

Para mantener el sigilo, Hopper se comunica con Command & Control durante las horas de trabajo enmascarando su actividad con la actividad normal de esas horas en patrones de tiempo aleatorios. También se comunica sólo con los servidores que tenga permitidos en su lista interna o con los que no se consideran maliciosos, como los canales de Slack, Google Sheets u otros servicios públicos.

El resultado final

Para adelantarse a los ataques de gusanos, un malware White-Hat como Hopper es una solución ideal. Al ver la red desde la perspectiva de un gusano, Hopper convierte la mayor ventaja del gusano en la mayor ventaja del defensor.

Fuentes:
Yoni Oren, Cymulate: Some Worms use their Powers for Good

Computer worm (Fortinet)

Cymulate, Real Attacks Test Your Company Defenses

AVG: https://www.avg.com/es/signal/what-is-botnet

Autor

Centro de preferencias de privacidad

Necessary

Advertising

Analytics

Other