{"id":1376195,"date":"2024-09-25T20:53:30","date_gmt":"2024-09-25T20:53:30","guid":{"rendered":"https:\/\/teknomers.com\/es\/investigadores-de-ciberseguridad-advierten-sobre-nueva-herramienta-de-post-explotacion-splinter-basada-en-rust\/"},"modified":"2024-09-25T20:53:35","modified_gmt":"2024-09-25T20:53:35","slug":"investigadores-de-ciberseguridad-advierten-sobre-nueva-herramienta-de-post-explotacion-splinter-basada-en-rust","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/investigadores-de-ciberseguridad-advierten-sobre-nueva-herramienta-de-post-explotacion-splinter-basada-en-rust\/","title":{"rendered":"Investigadores de ciberseguridad advierten sobre nueva herramienta de post-explotaci\u00f3n Splinter basada en Rust"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">25 de septiembre de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Pruebas de penetraci\u00f3n \/ Amenazas cibern\u00e9ticas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Investigadores-de-ciberseguridad-advierten-sobre-nueva-herramienta-de-post-explotacion-Splinter.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Los investigadores de ciberseguridad han se\u00f1alado el descubrimiento de una nueva herramienta de equipo rojo posterior a la explotaci\u00f3n llamada <strong>Astilla<\/strong> En la naturaleza.<\/p>\n<p>La Unidad 42 de Palo Alto Networks comparti\u00f3 sus hallazgos despu\u00e9s de descubrir el programa en los sistemas de varios clientes.<\/p>\n<p>&#8220;Tiene un conjunto est\u00e1ndar de caracter\u00edsticas que se encuentran com\u00fanmente en herramientas de prueba de penetraci\u00f3n y su desarrollador lo cre\u00f3 utilizando el lenguaje de programaci\u00f3n Rust&#8221;, dijo Dominik Reichel de Unit 42. <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/analysis-pentest-tool-splinter\/\" target=\"_blank\">dicho<\/a>&#8220;Si bien Splinter no es tan avanzado como otras herramientas de post-explotaci\u00f3n conocidas como Cobalt Strike, a\u00fan presenta una amenaza potencial para las organizaciones si se utiliza incorrectamente&#8221;.<\/p>\n<p>Las herramientas de pruebas de penetraci\u00f3n suelen utilizarse en operaciones de equipos rojos para detectar posibles problemas de seguridad en la red de una empresa. Sin embargo, los actores de amenazas tambi\u00e9n pueden utilizar estas herramientas de simulaci\u00f3n de adversarios para su propio beneficio. <\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/huntress-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/1727076560_257_El-nuevo-malware-PondRAT-oculto-en-paquetes-Python-ataca-a.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La Unidad 42 afirm\u00f3 que no ha detectado ninguna actividad de un actor de amenazas asociada con el conjunto de herramientas Splinter. Todav\u00eda no hay informaci\u00f3n sobre qui\u00e9n desarroll\u00f3 la herramienta.<\/p>\n<p>Los artefactos descubiertos por la empresa de ciberseguridad revelan que son &#8220;excepcionalmente grandes&#8221;, con un tama\u00f1o de alrededor de 7 MB, principalmente debido a la presencia de 61 cajas de Rust en su interior.<\/p>\n<p>Splinter no se diferencia de otros marcos de post-explotaci\u00f3n en que viene con una configuraci\u00f3n que incluye informaci\u00f3n sobre el servidor de comando y control (C2), que se analiza para establecer contacto con el servidor mediante HTTPS.<\/p>\n<p>&#8220;Los implantes Splinter est\u00e1n controlados por un modelo basado en tareas, algo com\u00fan entre los marcos de trabajo posteriores a la explotaci\u00f3n&#8221;, se\u00f1al\u00f3 Reichel. &#8220;Obtiene sus tareas del servidor C2 que el atacante ha definido&#8221;.<\/p>\n<p>Algunas de las funciones de la herramienta incluyen ejecutar comandos de Windows, ejecutar m\u00f3dulos a trav\u00e9s de inyecci\u00f3n de procesos remotos, cargar y descargar archivos, recopilar informaci\u00f3n de cuentas de servicios en la nube y eliminarse del sistema.<\/p>\n<p>&#8220;La creciente variedad subraya la importancia de mantenerse actualizado en las capacidades de prevenci\u00f3n y detecci\u00f3n, ya que es probable que los delincuentes adopten cualquier t\u00e9cnica que sea efectiva para comprometer a las organizaciones&#8221;, dijo Reichel.<\/p>\n<p>La revelaci\u00f3n se produce cuando Deep Instinct detall\u00f3 dos m\u00e9todos de ataque que podr\u00edan ser explotados por actores de amenazas para lograr una inyecci\u00f3n de c\u00f3digo sigilosa y una escalada de privilegios aprovechando una interfaz RPC en Microsoft Office y un ataque malicioso. <a rel=\"nofollow noopener\" href=\"https:\/\/techcommunity.microsoft.com\/t5\/ask-the-performance-team\/demystifying-shims-or-using-the-app-compat-toolkit-to-make-your\/ba-p\/374947\" target=\"_blank\">calce<\/a>respectivamente.<\/p>\n<p>&#8220;Aplicamos un shim malicioso en un proceso sin registrar un archivo SDB en el sistema&#8221;, dijeron los investigadores Ron Ben-Yizhak y David Shandalov. <a rel=\"nofollow noopener\" href=\"https:\/\/www.deepinstinct.com\/blog\/SHIM-Me-What-You-Got:-Manipulating-Shim-and-Office-for-Code-Injection\" target=\"_blank\">dicho<\/a>&#8220;Evitamos eficazmente la detecci\u00f3n de EDR escribiendo en un proceso secundario y cargando la DLL de destino desde el proceso secundario suspendido antes de que se pueda establecer cualquier enlace de EDR&#8221;.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/hkn-cis-secure-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Hackers-norcoreanos-utilizan-rootkit-FudModule-a-traves-de-exploit-de.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>En julio de 2024, Check Point tambi\u00e9n arroj\u00f3 luz sobre una nueva t\u00e9cnica de inyecci\u00f3n de procesos llamada Thread Name-Calling que permite implantar un shellcode en un proceso en ejecuci\u00f3n abusando de la API para descripciones de subprocesos mientras se eluden los productos de protecci\u00f3n de puntos finales.<\/p>\n<p>&#8220;A medida que se a\u00f1aden nuevas API a Windows, aparecen nuevas ideas para t\u00e9cnicas de inyecci\u00f3n&#8221;, dijo la investigadora de seguridad Aleksandra &#8220;Hasherezade&#8221; Doniec <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2024\/thread-name-calling-using-thread-name-for-offense\/\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Thread Name-Calling utiliza algunas de las API relativamente nuevas. Sin embargo, no puede evitar la incorporaci\u00f3n de componentes m\u00e1s antiguos y conocidos, como <a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/sync\/asynchronous-procedure-calls\" target=\"_blank\">Veh\u00edculo blindado<\/a> Inyecciones de API: API que siempre deben tenerse en cuenta como una amenaza potencial. De manera similar, la manipulaci\u00f3n de los derechos de acceso dentro de un proceso remoto es una actividad sospechosa&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/09\/cybersecurity-researchers-warn-of-new.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80225 de septiembre de 2024\ue804Ravie LakshmananPruebas de penetraci\u00f3n \/ Amenazas cibern\u00e9ticas Los investigadores de ciberseguridad han se\u00f1alado el<\/p>\n","protected":false},"author":1,"featured_media":1376196,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,5894,4661,23171,6370,4664,1086,12583,4667,239182,4654,239508,4658,4659,4653,212,148135,6562,246983,4665,246984,131,53922,246982,239484],"class_list":["post-1376195","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-advierten","tag-ataques-ciberneticos","tag-basada","tag-ciberseguridad","tag-como-hackear","tag-herramienta","tag-investigadores","tag-las-noticias-de-los-hackers","tag-malware-ransomware","tag-noticias-ciberneticas","tag-noticias-de-ciberseguridad-hoy","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-nueva","tag-postexplotacion","tag-rust","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sobre","tag-splinter","tag-violacion-de-datos","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1376195","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1376195"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1376195\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1376196"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1376195"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1376195"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1376195"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}