Resilience Evil. ¡Me han hackeado!

nueva-vulnerabilidad-en-power-point-microsoft-ole

En el capítulo de hoy vamos a hablar del concepto de Resilience o resistencia.

Una de las cosas que tenemos que tener clara en el mundo de la seguridad informática es que algún día nos vamos a ver envueltos en un incidente de seguridad, y debemos estar preparados para actuar frente a el.

Seguro que la percepción que tenemos de nuestros sistemas es segura. Tenemos un Firewall del modelo XXX, un IDS de última generación, y una seria de sistemas, con sus siglas, y sus facturas, que nos hacen pensar en eso, en la percepción de la seguridad.

En el ecosistema de la seguridad sabemos que lo que hoy es un sistema seguro, en 12 horas no lo es. Hay ataques que no pueden ser parados por el fabricante, los temidos Zero Days. Ataques en los que no existe parche o solución. Otro tipo de ataques no dependen de un fallo o vulnerabilidad en un sistema, como puedan ser los ataques de Denegación de servicio distribuido. Un ataque que consiste en la congestión de nuestro sistema por parte de 1, 5, 500, 5000 equipos realizando peticiones contra nuestro sistema. El sistema llega a su límite de procesamiento y deniega el servicio a los usuarios legítimos.

El concepto de Resilience hace mención a como estamos preparados para actuar en estos casos.

El principal punto de trabajo ante un ataque es detectar el ataque. Hay estadísticas en Internet que informan de altos porcentajes de equipos infectados con Malware (por encima del 60% en todo el mundo) y los usuarios no son conscientes de ello. Conviven con un equipo infectado, que de vez en cuando muestra publicidad, ralentiza el funcionamiento, o simplemente funciona a la perfección, aún estando infectado.

Vamos a centrarnos en este punto, en la detección.

Imagina un ataque que comienza un viernes por la noche. El atacante emplea todo su arsenal contra nuestra empresa, realizando Port Scan, análisis de vulnerabilidades, exploits conocidos, etc. Nuestros sistemas de seguridad actúan de manera correcta.

El atacante decide presentarse físicamente en la sede de la empresa. Aparca su coche, y se dedica toda la mañana del sábado a realizar pruebas contra el sistema Wi-Fi. Tras unas horas de trabajo, consigue comprometer la seguridad inalámbrica y accede al entorno de red. Realiza un ataque de Man In the Middle y consigue las credenciales de un equipo Windows por la difusión en texto claro de un equipo con Outlook, autenticándose cada minutos contra el servidor de correo.

Una vez accede a las credenciales, se loguea contra el equipo Windows y realiza una elevación de privilegios para integrar la cuenta del usuario al grupo administrador.

Una vez hecho administrador, procede a la instalación de un software de captura de red, para que cuando se le apague la batería del portátil, siga teniendo un equipo escuchando las comunicaciones.

El lunes por la noche, cuando la actividad en la sede ha cesado, se conecta nuevamente por la red Wi-Fi para acceder al equipo comprometido, y recopilar la información de las capturas de red. Casualmente, encuentra la información de usuario y contraseña del router/firewall de la empresa. Consigue acceder a la configuración de Nat y redirige un puerto externo, en Internet, hacia un puerto en el equipo comprometido. En este instala un servidor SSH. De esta manera, el atacante podrá conectarse a la sede desde su casa.

En este punto, el atacante está «sentado» virtualmente frente aun equipo en nuestra red, y es cuestión de analizar las capturas para encontrar la información que navega por la red, que ofrece la información que realmente está buscando, la clave de una base de datos de clientes.

Todo esto es una aproximación de lo que podría ser un ataque normal, en el que el atacante realmente están focalizando sus acciones contra nosotros. ¡Se ha tomado la molestia de asistir físicamente a la sede!

¿Hubieras detectado este ataque?

En primer lugar deberías tener registros de la actividad del atacante desde fuera, contra el firewall, detectar la IP de origen de las técnicas empleadas.

Deberías tener registro de la actividad del atacante contra el sistema Wi-Fi.

Deberías tener registro en cámaras de video vigilancia de lo que sucede en los muros de tu empresa. Por la L.O.P.D no se pueden tener cámaras enfocando a la vía pública, pero si hacia el perímetro de la empresa. Puede ser que aparezca una matrícula del coche que el atacante empleo.

Deberías tener registro del ataque de Man In The Middle, ya que el atacante inundó la red con información de rutas ARP para suplantar la identidad de un servidor.

Deberías tener registro de Login correcto en el equipo Windows.

Deberías tener un registro de la escalada de privilegios realizada, para meter a un usuario plano en el grupo de administradores.

Deberías tener un registro de la instalación del software en ese equipo, que permite capturar todo el tráfico de red.

Deberías tener un registro de las acciones realizadas en el firewall, como la apertura y redirección de un puerto externo hacia un equipo interno.

Se me ocurren estos 8 registros, seguro que hay más, para analizar lo ocurrido en esta intrusión, y poder actuar para detectar puntos flacos en nuestra organización, o poder actual judicialmente contra el atacante, con las pruebas obtenidas.

De todos estos registros que he mencionado. ¿Cuantos implementas en tu empresa? ¿Podrías actuar frente a este ataque?

Son igual de importantes las medidas técnicas en la lucha contra la ciber delincuencia, como las medidas organizativas y de gestión de la información.

Una buena idea es comenzar con un mapa de red, de los elementos de nuestros sistemas, orientado a la seguridad. Identificando el flujo de información desde Internet hacia la red interna. Y todos los flujos de red dentro de la red. De esta manera, podremos realizar un estudio de las medidas a tomar para securizar todos los elementos. En paralelo, realizar un mapa de LOGS en el que se identifiquen todos los registros que generan nuestros sistemas. Una vez detectamos estos registros, podremos trabajar en una solución de gestión de eventos unificada ( SIEM. Security Information Event Management) o simplemente tener un checklist para revisar diariamente.

Espero que os haya gustado esta aproximación al concepto de Resilience. En otro capítulo hablaremos de como realizar contramedidas contra estos ataques, pero de momento, me basta con detectarlos !!!

¡Gracias por leerme!

Joaquin Molina

ESET Smart Security Edición 2014, única solución de la industria que consigue un 100% de autoprotección en el AV-Test