Si bien la gran mayoría de los incidentes de seguridad a los que respondimos en 2020 tenían que ver con ordenadores de sobremesa o portátiles con variaciones de Windows, vimos un aumento continuado de los ataques tanto a servidores Windows como a otros. En general, los servidores han sido durante mucho tiempo objetivos de ataque muy atractivos por diversas razones: suelen funcionar durante largos periodos sin vigilancia ni supervisión; suelen tener más capacidad de CPU y memoria que los portátiles individuales; y pueden ocupar un espacio privilegiado en la red, teniendo a menudo acceso a los datos más sensibles y valiosos del funcionamiento de una empresa. Así, pueden permitir a un atacante persistente establecerse en una posición de lo más atractiva. Estas características no cambiarán en 2021 y Sophos prevé que el volumen de ataques dirigidos a servidores seguirá aumentando.
La mayoría de los ataques dirigidos a servidores se ajustan a uno de estos tres perfiles: ransomware, criptomineros y exfiltración de datos, cada uno con su correspondiente y distintivo conjunto de tácticas y técnicas empleadas por los atacantes. Las prácticas recomendadas para los administradores de servidores consisten en evitar ejecutar desde el servidor aplicaciones de escritorio convencionales, como clientes de correo electrónico o navegadores web, como medida de protección contra las infecciones, por lo que los ataques dirigidos a los servidores requieren necesariamente un cambio de táctica.
Los servidores abiertos a Internet que ejecutan Windows reciben un aluvión interminable de intentos de acceso por fuerza bruta a través del RDP, una táctica de ataque que, al menos durante los últimos tres años, se ha asociado con mayor frecuencia a los ataques de ransomware (y se ha usado más para predecirlos). Según el equipo de Sophos Rapid Response, con frecuencia la causa raíz de los ataques de ransomware que investiga implica un acceso inicial a la red del destinatario a través del RDP, seguido del uso de esos equipos para afianzarse dentro de la red y tomar el control de servidores DC, desde los cuales pueden organizar el resto del ataque. Por el contrario, los ataques de criptojacking tienden a dirigirse a una gama más amplia de vulnerabilidades en Windows y en las aplicaciones que normalmente se ejecutan en el hardware de los servidores, como el software de bases de datos.
Por ejemplo, un método utilizado por el criptominero Lemon_Duck implica un ataque por fuerza bruta contra los servidores conectados a Internet que ejecutan Microsoft SQL Server. Una vez que los atacantes adivinan la contraseña correcta de la base de datos, utilizan la base de datos misma para volver a ensamblar la carga del criptojacker, la escriben en el sistema de archivos del servidor y la ejecutan. Luego, el equipo infectado trata de explotar las vulnerabilidades de EternalBlue y/o SMBGhost en un intento de propagar el criptojacker.
Lemon_Duck es un atacante que fomenta la igualdad de oportunidades y puede infectar servidores Linux. El malware intenta atacar por fuerza bruta las contraseñas de SSH tomadas de una lista relativamente pequeña. Si lo consigue, los atacantes cargan un shellcode malicioso, que luego establece persistencia explotando las carencias de un servicio llamado Redis. El criptojacker también puede ocultarse ejecutando los comandos para iniciarse desde dentro de clústeres Hadoop.
Fig. 3. Uno de los criptojackers más prolíficos, llamado MyKings, distribuyó los componentes necesarios para la instalación de la red de bots (resaltada en verde) dentro de un archivo zip junto con varios de los exploits filtrados de la NSA por The Shadow Brokers. Fuente: SophosLabs.
Ocasionalmente, los delincuentes atacan servidores porque, en lugar de obtener una paga rápida o un flujo constante de criptomonedas, quieren robar datos de valor almacenados en ellos. En 2020, Sophos descubrió un atacante que se dirigía a servidores Linux usando un malware que llamamos Cloud Snooper. Los servidores en cuestión estaban alojados en un clúster de informática en la nube, y eludieron la detección inventando un ingenioso sistema de retransmisión de mensajes, incorporando sus mensajes de comando y control en conexiones HTTP rutinarias.
Fig. 4. Una ilustración de la metáfora del «lobo con piel de cordero» sobre cómo el malware de APT Cloud Snooper ocultaba sus comandos y exfiltraba datos en forma de solicitudes y respuestas HTTP convencionales, con la ayuda de una herramienta que monitorizaba el tráfico de red y reescribía los paquetes TCP/IP en tiempo real. Fuente: SophosLabs.
0 comentarios