Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Jonathan Rodriguez Paipa

Cómo evoluciona el malware troyano para sobrevivir y evadir la ciberseguridad en 2021

Actualizado: feb 2

Por Artsiom Holub y Ken Howard



Crédito: Pexels

Nos hemos encontrado con el enemigo y ellos somos nosotros. La famosa máxima de Pogo se aplica directamente a la amenaza de los troyanos en 2021.


Aunque son algunas de las formas más antiguas de malware y, en sus formas básicas, se ven con menos frecuencia en estos días, los troyanos han demostrado ser duraderos y adaptables. Evitan la detección, se integran y se entrelazan en las operaciones informáticas de rutina y, en general, han evolucionado para evadir las defensas de ciberseguridad.


En resumen, los troyanos están sobreviviendo y prosperando al convertirse en parte del mobiliario cibernético.


Pero eso no significa que no tengan algunos trucos malos bajo la manga. De hecho, los troyanos han adquirido una segunda vida como caballos de batalla de cadenas de ciberataques de múltiples etapas más grandes.

Observamos esta transformación de los troyanos en El panorama de la ciberseguridad moderna: Escalado de amenazas en movimiento , publicado en noviembre de 2020. En ese informe, citamos a Emotet y Ursnif / Gozi como ejemplos de troyanos que han evolucionado hacia cosas más grandes y malas. Algunas de las razones por las que los atacantes reutilizan el malware incluyen:


  • Sus capacidades de “navaja suiza” les permiten implementar malware de seguimiento en un modelo de cargador como servicio que causa más daño en la cadena de ciberataques.

  • Su infraestructura de comando y control (C2) altamente distribuida hace que la eliminación sea mucho más difícil de implementar.

Pero hay más trucos que los convierten en los caballos de batalla de los piratas informáticos no autorizados.


1. Como cualquier software productivo, los agentes malintencionados actualizan continuamente los troyanos mediante la infraestructura C2.


Nuestro primer ejemplo, Taidoor, es una RAT conectada con actores del gobierno chino según la evaluación de la Oficina Federal de Investigaciones (FBI) de los Estados Unidos con gran confianza. Este es uno de los troyanos más antiguos que aún circula. Apareció por primera vez en 2008.


La nueva versión de RAT consta de dos partes: un cargador en formato DLL y un módulo RAT principal que viene como datos binarios encriptados con RC4. El cargador primero descifra el módulo RAT principal cifrado y luego ejecuta su función de inicio exportada. Los actores maliciosos están utilizando variantes de malware junto con servidores proxy para mantener una presencia en las redes de las víctimas y para una mayor explotación de la red.


Sabemos que este módulo RAT tiene variantes que se remontan a 2011. Una publicación de blog publicada en septiembre de 2020 de Reversing Labs documenta esto y señala:


“Las familias de (M) alware requieren mucho mantenimiento y mejoras para lograr una operatividad a largo plazo. Aunque esta actualización continua ayuda al malware a evitar los mecanismos de detección, también da como resultado versiones de malware relacionadas ".


La conclusión es que una gran cantidad de tiempo e inversión se destina a herramientas maliciosas como esta y los propietarios harán todo lo posible con el tiempo para mantener viable la inversión.


2. Los troyanos hacen todo lo posible para ocultar sus huellas y evitar ser detectados.


A medida que proliferan las capacidades de antivirus, EDR / XDR y sandbox, los atacantes están utilizando formas más sofisticadas de técnicas de ocultación y evasión para proteger las herramientas de su oficio. Un ejemplo que hemos visto recientemente es una nueva versión de otra vieja RAT, CRAT.


CRAT es un troyano de acceso remoto que consta de múltiples capacidades RAT, complementos adicionales y una variedad de técnicas de detección y evasión. En el pasado, CRAT se ha atribuido al Grupo Lazarus, los actores de amenazas maliciosos detrás de múltiples campañas cibernéticas, incluidos los ataques contra el sector del entretenimiento.


Además de las capacidades RAT precompiladas, el malware utiliza técnicas de ocultación y evasión extensivas para ocultar sus indicadores maliciosos y emplea un marco de complemento altamente modular para infectar selectivamente los puntos finales específicos.


Lo más importante es que implementa malware RAT para saquear el punto final, seguido de la implementación de ransomware para extorsionar o quemar la infraestructura de las entidades objetivo. Con el tiempo, CRAT ha adquirido amplias capacidades mediante el uso de un marco modular. Estos incluyen complementos de captura de pantalla, complementos de monitor de portapapeles, complementos de registrador de teclas y ransomware.


Como mencionamos, los creadores de CRAT han hecho todo lo posible para ocultar las acciones del troyano. La RAT está muy confusa en términos de:


  • Ofuscación de cadenas: se utilizan para frustrar las firmas de detección de malware estático basadas en cadenas.

  • Resolución de API: esto hace que el análisis sea engorroso para un analista al ocultar las secuencias de llamadas de API.

  • Parches de código en tiempo de ejecución: esto probablemente evade los mecanismos de detección que escanean la memoria del proceso para identificar cadenas y códigos maliciosos.

Cisco Talos señala que: “El uso de múltiples ofuscaciones significa la confianza del atacante en la ofuscación selectiva en lugar del uso de empaquetadores como medio de evasión. Muchos sistemas de detección buscan la presencia de un empaquetador utilizando técnicas como análisis de entropía, análisis de API de importación, etc. La ofuscación selectiva de código y cadenas evita que estos sistemas detecten el malware basándose únicamente en las ofuscaciones ".


3. Los troyanos a menudo utilizan la automatización existente y los procesos internos estándar para "integrarse en el fondo de pantalla" y, por lo tanto, persisten sin ser detectados.


En El panorama moderno de la ciberseguridad: Escalado de amenazas en movimiento , notamos que la automatización sin archivos (Macros 4.0, VBA o PowerShell, por ejemplo) se utilizaba con frecuencia. Los ciberataques hacen uso de la automatización de software legítimo para ocultar y luego revelar comandos. Proporcionamos un ejemplo de un exploit de Macros 4.0 que usa un formato de archivo intercambiable binario (BIFF) para ocultar un archivo incrustado de Microsoft Excel.



Aquí hay un ejemplo que ha aparecido recientemente usando otra automatización existente, Valak, un ladrón de información y cargador de malware. Valak se basa en tareas programadas y actualizaciones del registro de Windows para permanecer persistente en un host Windows infectado. El troyano utiliza Alternate Data Stream (ADS) como técnica para ejecutar malware de seguimiento. Las secuencias de comandos de configuración utilizadas durante el proceso de infección se ocultan en un intento de evadir la detección.


El uso de ADS, en particular, representa una seria amenaza continua, ya que puede ocultar fácilmente el malware de seguimiento. Además, Valak probablemente seguirá encontrando puntos de entrada fáciles debido a su naturaleza específica, su rica arquitectura modular y sus rápidos ciclos de desarrollo.


4. Finalmente, los troyanos están mejorando su juego de las escondidas mediante el uso de esteganografía (una técnica que incrusta código malicioso en archivos de imagen).


CardinalRAT es un troyano de acceso remoto (RAT) que ha estado activo desde 2015. La última instancia de Cardinal RAT emplea la ofuscación en forma de esteganografía; la muestra inicial se compila con .NET y contiene un archivo de mapa de bits integrado (BMP). Tras la ejecución, el malware leerá este archivo, analizará los datos de píxeles de la imagen y descifrará el resultado. Cardinal RAT es capaz de recopilar información del sistema, actuar como proxy inverso, robar contraseñas, descargar y ejecutar archivos nuevos y capturar pulsaciones de teclas y capturas de pantalla.


Para obtener más información sobre cómo la esteganografía puede funcionar a simple vista, consulte la excelente publicación del blog de Shyam Sundar Ramaswami, “ Uso de la entropía para detectar el malware que se esconde a simple vista. "


Los troyanos se han adaptado y evolucionado durante décadas. Las capacidades y los TTP que han adquirido los hacen muy útiles y, por tanto, bastante formidables para los ciberdefensores. Sin duda, seguirán sorprendiéndonos y desafiándonos. Nunca subestimes a un troyano bien construido.

Fuente: Blog Cisco Umbrella


8 vistas0 comentarios

Entradas Recientes

Ver todo
D&S colores.png

Un Servidor en Quien Confiar

CONTACTO

contactodirecto@datayservice.com

PBX + 57 6 8812277

Calle 54 # 26-60

ZIP 170004

Manizales, Colombia

REDES

logo-facebook.png
linkedin_circle-512.webp
logo-instagram-1.png

 © Data&Service, todos los derechos reservados.