¿Quién Necesita el Malware?Entendiendo los Ataques de Fileless y ¿Cómo Pararlos?

1 ¿Qué son los ataques fileless?

2 ¿Cómo funciona un ataque fileless?

3 Ejemplos del mundo real

4 ¿Por qué los enfoques tradicionales no funcionan?

Pregunta a la audiencia

Como califica usted sus ataques de conocidos de Fileless del 1 a 5 (1= Sin conocimiento. 5= Experto)

¿QUÉ ES UN ATAQUE FILELESS?

Un ataque que no requiere que un archivo ejecutable malicioso que se escriba en el disco

LA REALIDAD DE LOS ATAQUES DEL TIPO FILELESS

Las técnicas de los ataques tipos Fileless no son nuevas.

Más prevalente que el ransomware 24% contra 21%.

El 78% de las organizaciones están preocupadas por los ataques Fileless.

Solo 51% de las brechas incluyen malware.

No todos los ataques son 100% Fileless.

El 80% de los ataques utilizan algunas técnicas Fileless.

TÉCNICAS DE ATAQUE FILELESS

GOAL

HERRAMIENTAS

TÉCNICA

¿CÓMO UN ATAQUE FILELESS TIENE LUGAR?

COMANDO Y CONTROL

2

Ejecuta los comandos del sistema para averiguar dónde

estamos.

RECONOCIMIENTO

Sysinfo, Whoami

ESCALA DE PRIVILEGIOS

3

Ejecución de un PowerShell script como Mimikatz para

hacer volcados de contraseñas

PowerShell

CREDENCIALES DE DUMP

PERSISTENCIA

4

Modifica el Registro para crear una puerta trasera.

P.ej. Teclado en pantalla o teclas adhesivas

Registry

MANTENER LA PERSISTENCIA

EXFILTRACIÓN

5

Utiliza herramientas del sistema para recopilar datos y China Chopper Webshell para filtrar

datos.

VSSAdmin, Copy, NET use, Webshell

DATOS DE EXFILTRADO

CO M P RO M I SO IN I C IA L

Acceso remoto a un sistema utilizando un

navegador web. Puede ser lenguaje de scripts

web. P.ej. Chopper China

ACCEDER

WebShell

1

PUNTOS CLAVE

LA AMENAZA ES REAL AV TRADICIONAL NO SON SUFICIENTELAS DEFENSAS ACTUALES NO

FUNCIONAN

HAY QUE PENSAR MÁS ALLÁ DEL MALWARE Y CENTRARSE EN DETENER LA INFRACCIÓN.

Ing. Mario Arriaza

Webshells

1. ¿WEBSHELLS?

Herramientas de post-explotación. Los atacantes las utilizan a menudo para controlar un sistema comprometido.

• Una webshell es un script subido a un servidor web: PHP, ASP, Perl, Python, Ruby, Cold Fusion, C.

• Los atacantes aprovechan vulnerabilidades como:

• Cross-Site Scripting (XSS)

• Inyección SQL (iSQL)

• Servicios vulnerables (WordPress y otros CMS)

• Vulnerabilidades Remote File Include (RFI) and Local File Include (LFI)

• Portales de administración inseguros

¿QUÉ SON?

ATAQUES CLÁSICOS DE WEBSHELL

El atacante utiliza el

"web shell" para buscar archivos, cargar

herramientas y ejecutar comandos

El atacante escala los privilegios y gira

a objetivos adicionales según lo

permitido

abc.com

Network DMZ DCs

Employees

File Servers

Internal Network

DB Servers

HTTP

cmd.asp

InternetAttacker

El atacante carga una página web

dinámica maliciosa en un servidor web

vulnerable

ATAQUES CLÁSICOS DE WEBSHELL

El atacante utiliza el

"web shell" para buscar archivos, cargar

herramientas y ejecutar comandos

El atacante escala los privilegios y gira

a objetivos adicionales según lo

permitido

abc.com

Network DMZ DCs

Employees

File Servers

Internal Network

DB Servers

HTTP

cmd.asp

InternetAttacker

El atacante carga una página web

dinámica maliciosa en un servidor web

vulnerable

MITIGACIÓN: RED

Contener al Atacante

Aislamiento DMZ:¡Sigue siendo un problema

común!−Tráfico de DMZ a la Red

Interna−Tráfico de la Red Interna a

DMZ−La limitación de los

dominios unidos, confianzas entre bosques

−Cajas de "salto" para acceso de administrador

VPN Server

Corporate Network

Corporate DMZ

Attacker Client

Web Shell Access

MITIGACIÓN: HOST

Application Whitelisting, HIDS− May detect what an attacker does with a web shell

− May not detect latent web shells

− Monitoring all file system changes within all web roots on all servers may generate a lot of noise

“Least-privilege” for web server & application user context

Host-based controls are likely to fail if the attacker already has admin privileges

MITIGACIÓN EN EL PERIMETRO -- VIRTUAL PATCHING L7

Web Application Firewall Avanzado -- INDISPENSABLE

• C99• B374K• WSO• China Chopper• Gamma Group

• php-reverse-shellhttp://pentestmonkey.net/tools/web-shells/php-reverse-shell

• Kali webshells/usr/share/webshells/

LOS VIPS

MED

IA

Autenticación SI/NO

Ofuscación SI/NO

Manipulación Ficheros

ALT

A

Autenticación

Ofuscación

Ocultación

Manipulación Ficheros

Capacidades Ofensivas

Eliminación

Complejidad / Características

BA

JA

Una sola línea(s)

CLASIFICACIÓN

2. HOY EN EL MENU TENEMOS…

529 rootshell cybershell predator soldierofallah simple_cmd dmc

winX zaco NTDaddy myshell phantasma ngh kral

ironshell lamashell AK-74 bm shellroot shutdown57 B0s0k

jkt48 angelshell DKShell cpanel 1n73action SaudiShell fatal

lolipop matamu PHPSpy ru24 simattacker safe0ver sincap

ASpy reader remexp zehir aspcmdshell pouyashell kacak

list up browser jspbd jspshell up_win32 cmd

dc pws fx GS cgitelnet mst stres

MUCHAS OTRAS

WEBSHELL: SIMPLES

North Korean Cyber Warfare Group

http://gsec.hitb.org/materials/sg2016/D1%20-%20Moonbeom%20Park%20and%20Y oungjun%20Park%20-%20Understanding%20Your%20Oppon ent%20Attack%20Profiling.pdf

WEBSHELL: DMC

• Multiplataforma• Listar ficheros• Información Sistema• Leer ficheros sensibles• Codificar / Decodificar

hashes• Mail bomber• Ejecutar comandos• Escaneador de puertos

WEBSHELL: LIFKA

WEBSHELL: SOLDIER OF ALLAH

WEBSHELL: SYRIAN SHELL

WEBSHELL: BLOODSEC 2

WEBSHELL: BLOODSEC 1

WEBSHELL: BLOODSEC 3

eval() assert() base64() gzdeflate() str_rot13()

OFUSCACIÓN

3. DETECCIÓN

• Según el US CERT:

• Sistemas actualizados / parches

• Política de Privilegios Mínimos

• Hardening servidores

• Backup

• Validar datos en aplicaciones

• Auditorías de seguridad periódicas

• Implantar WAF, AV, auditorías código, etc.

• Adicionalmente• Análisis de Logs

• Integridad de ficheros

• Desarrollo seguro

• Malware Hunting

SIN FORMULAS MÁGICAS

• La mayoría de las especies de nuestro zoo no son detectadas por los AV

DESDE ANTIVIRUS CON AMOR

• Shell-Detector (Python)

https://github.com/emposha/Shell-Detector

• PHP-Shell-Detector

https://github.com/emposha/PHP-Shell-Detector

• NeoPI

https://github.com/Neohapsis/NeoPI

HERRAMIENTAS

Hacking Time !!