Grupos de ransomware y actores de amenazas están utilizando técnicas de «vivir
fuera de la tierra» y utilizando herramientas nativas como SSH para establecer
un túnel SOCKS entre sus servidores C2 y el entorno comprometido.
«Los dispositivos ESXi, que no están monitoreados, se explotan cada vez más
como un mecanismo de persistencia y una puerta de acceso para acceder a las
redes corporativas de forma generalizada», dijeron los investigadores de Sygnia Aaron (Zhongyuan) Hau y Ren Jie Yow en
un
informe publicado
la semana pasada.
La idea es mezclar datos exfiltrados con el tráfico legítimo y establecer una
persistencia a largo plazo en la red comprometida con poca o ninguna detección
por parte de los controles de seguridad.
La empresa de ciberseguridad Sygnia dijo que en muchos los incidentes
analizado, los sistemas ESXi se vieron comprometidos ya sea mediante el uso de
credenciales de administrador o aprovechando una vulnerabilidad de seguridad
conocida para eludir las protecciones de autenticación. Posteriormente, se
descubrió que los actores de la amenaza configuraban un túnel utilizando SSH u
otras herramientas con una funcionalidad equivalente.
«Dado que los dispositivos ESXi son resistentes y rara vez se apagan
inesperadamente, este túnel funciona como una puerta trasera semipersistente
dentro de la red», señalaron los investigadores.
Sygnia también ha destacado los desafíos que supone supervisar los registros
de ESXi, haciendo hincapié en la necesidad de configurar el reenvío de
registros para capturar todos los eventos relevantes en un solo lugar para las
investigaciones forenses.
Para detectar ataques que impliquen el uso de túneles SSH en dispositivos
ESXi, se ha recomendado a las organizaciones que revisen los cuatro archivos
de registro siguientes:
- /var/log/shell.log (ESXi shell activity log)
- /var/log/hostd.log (Host agent log)
- /var/log/auth.log (authentication log)
- /var/log/vobd.log (VMware observer daemon log)
Sygnia ha publicado el informe «Ataques de ransomware ESXi: evolución, impacto y estrategia de defensa», que proporciona un análisis en profundidad del ciclo de vida del ataque, describe estrategias de mitigación y ofrece tácticas prácticas para defender los entornos virtualizados.
Andariel emplea el secuestro de RID
La empresa
AhnLab detalló un ataque
montado por el grupo
Andariel
vinculado a Corea del Norte que implica el uso de una técnica conocida como
secuestro de Relative Identifier (RID) para modificar de forma encubierta el Registro de Windows para
asignar a un invitado o a una cuenta con pocos privilegios permisos
administrativos durante el siguiente inicio de sesión.
El
método de persistencia RID es engañoso, ya que aprovecha el hecho de que las cuentas normales no están sujetas al
mismo nivel de vigilancia que la cuenta de administrador, lo que permite a
los actores de amenazas realizar acciones maliciosas sin ser detectados. Esta técnica fue investigada originalmente por Sebastian Castro en 2017.
Sin embargo, para realizar el secuestro de RID, el adversario ya debe haber
comprometido una máquina y obtenido privilegios administrativos o de SYSTEM,
ya que requiere cambiar el valor de RID de la cuenta estándar al de la
cuenta de administrador (500).
En la cadena de ataque documentada por ASEC, se dice que el actor de la
amenaza creó una nueva cuenta y le asignó privilegios de administrador
utilizando este enfoque, después de obtener privilegios de SYSTEM mediante
herramientas de escalamiento de privilegios como
PsExec
y
JuicyPotato.
El actor de la amenaza luego agregó la cuenta creada al grupo usuarios de
escritorio remoto y al grupo Administradores utilizando el comando
‘net localgroup’, para acceder a la cuenta mediante RDP. Una vez que
se ha cambiado el valor RID, Windows reconoce que la cuenta creada tiene los
mismos privilegios que la cuenta de destino, lo que permite la escalamiento
de privilegios.
Nueva técnica para evadir EDR
También se descubrió que se podría aprovechar un enfoque basado en puntos de
interrupción de hardware para evitar las detecciones de Event Tracing for Windows (ETW), que proporciona un mecanismo para registrar eventos generados por
aplicaciones en modo usuario y controladores en modo kernel.
Esto implica utilizar una función nativa de Windows llamada
NtContinue, en lugar de SetThreadContext, para configurar registros de
depuración y evitar la activación del registro ETW y los eventos que son
analizados por los EDR para marcar la actividad sospechosa, evitando así la
telemetría que depende de SetThreadContext.
«Al aprovechar los puntos de interrupción del hardware a nivel de la CPU,
los atacantes pueden enganchar funciones y manipular la telemetría en el
espacio de usuario sin aplicar parches directos al núcleo, lo que desafía
las defensas tradicionales»,
dijo el investigador de Praetorian Rad Kawar.
«Esto es importante porque destaca una técnica que los adversarios pueden
usar para evadir y mantener el sigilo mientras implementan ganchos «sin
parches» que evitan el escaneo AMSI y el registro ETW».
Fuente:
THN