{"id":1430401,"date":"2024-11-07T10:41:44","date_gmt":"2024-11-07T10:41:44","guid":{"rendered":"https:\/\/teknomers.com\/es\/las-cinco-tecnicas-de-malware-mas-comunes-en-2024\/"},"modified":"2024-11-07T10:41:49","modified_gmt":"2024-11-07T10:41:49","slug":"las-cinco-tecnicas-de-malware-mas-comunes-en-2024","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/las-cinco-tecnicas-de-malware-mas-comunes-en-2024\/","title":{"rendered":"Las cinco t\u00e9cnicas de malware m\u00e1s comunes en 2024"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

Las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) forman la base de las estrategias de defensa modernas. A diferencia de los indicadores de compromiso (IOC), los TTP son m\u00e1s estables, lo que los convierte en una forma confiable de identificar amenazas cibern\u00e9ticas espec\u00edficas. Estas son algunas de las t\u00e9cnicas m\u00e1s utilizadas, seg\u00fan ANY.RUN. Tercer trimestre de 2024<\/a> Informe sobre tendencias de malware, completo con ejemplos del mundo real.<\/p>\n

Desactivaci\u00f3n del registro de eventos de Windows (T1562.002) <\/h2>\n

Interrumpir el registro de eventos de Windows ayuda a los atacantes a evitar que el sistema registre informaci\u00f3n crucial sobre sus acciones maliciosas.<\/p>\n

Sin registros de eventos, detalles importantes como intentos de inicio de sesi\u00f3n, modificaciones de archivos y cambios en el sistema no se registran, lo que deja a las soluciones de seguridad y a los analistas con datos incompletos o faltantes.<\/p>\n

El registro de eventos de Windows se puede manipular de diferentes maneras, incluso cambiando las claves de registro o usando comandos como “net stop eventlog”. La modificaci\u00f3n de las pol\u00edticas de grupo es otro m\u00e9todo com\u00fan.<\/p>\n

Dado que muchos mecanismos de detecci\u00f3n se basan en el an\u00e1lisis de registros para identificar actividades sospechosas, el malware puede funcionar sin ser detectado durante per\u00edodos m\u00e1s prolongados.<\/p>\n

Ejemplo: XWorm desactiva los registros del servicio de acceso remoto<\/span><\/h3>\n

Para detectar, observar y analizar diferentes tipos de TTP maliciosos en un entorno seguro podemos utilizar Sandbox interactivo de ANY.RUN<\/a>. El servicio proporciona m\u00e1quinas virtuales Windows y Linux altamente configurables que le permiten no s\u00f3lo detonar malware y ver su ejecuci\u00f3n en tiempo real, sino tambi\u00e9n interactuar con \u00e9l como en una computadora est\u00e1ndar.<\/p>\n

Gracias al seguimiento de todas las actividades del sistema y de la red, ANY.RUN le permite identificar f\u00e1cil y r\u00e1pidamente acciones maliciosas como la desactivaci\u00f3n del registro de eventos de Windows.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Sesi\u00f3n sandbox de ANY.RUN que muestra los resultados de la detonaci\u00f3n de XWorm<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Mira esto sesi\u00f3n de an\u00e1lisis<\/a> donde XWorm, un troyano de acceso remoto (RAT) muy extendido, utiliza T1562.002. <\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
El sandbox comparte detalles sobre el proceso malicioso y su modificaci\u00f3n del registro.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Espec\u00edficamente, modifica el registro para deshabilitar los registros de seguimiento de RASAPI32, que es responsable de administrar las conexiones de acceso remoto en el sistema.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
El malware desactiva los registros modificando varios nombres de registro.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Al establecer ENABLEAUTOFILETRACING y otros nombres de registro relacionados con RASAPI32 en 0, el atacante se asegura de que no se generen registros. Esto dificulta que el software de seguridad, como los antivirus, identifique el incidente.<\/p>\n

\n

Analice las amenazas de malware y phishing en la zona de pruebas en la nube de ANY.RUN de forma gratuita.<\/p>\n

Utilice todas las funciones PRO con una prueba de 14 d\u00edas<\/a><\/p>\n<\/div>\n

Explotaci\u00f3n de PowerShell (T1059.001) <\/h2>\n

PowerShell es un lenguaje de secuencias de comandos y un shell de l\u00ednea de comandos integrado en Windows. Los atacantes suelen aprovecharlo para realizar una variedad de tareas maliciosas, incluida la manipulaci\u00f3n de la configuraci\u00f3n del sistema, la extracci\u00f3n de datos y el establecimiento de acceso persistente a sistemas comprometidos.<\/p>\n

Al utilizar las amplias capacidades de PowerShell, los actores de amenazas pueden utilizar t\u00e9cnicas de ofuscaci\u00f3n, como comandos de codificaci\u00f3n o m\u00e9todos de secuencias de comandos avanzados, para evitar los mecanismos de detecci\u00f3n. <\/p>\n

Ejemplo: BlanGrabber usa PowerShell para deshabilitar la detecci\u00f3n <\/span><\/h3>\n

Considerar este an\u00e1lisis de una muestra de BlankGrabber<\/a>una familia de malware utilizada para robar datos confidenciales de sistemas infectados. Despu\u00e9s de la ejecuci\u00f3n, el programa malicioso inicia varios procesos, incluido PowerShell, para cambiar la configuraci\u00f3n del sistema y evitar la detecci\u00f3n.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
El sandbox muestra todas las operaciones realizadas por BlankGrabber a trav\u00e9s de PowerShell<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

ANY.RUN identifica instant\u00e1neamente todas las actividades del malware y las presenta en detalle. Entre otras cosas, BlankGrabber utiliza PowerShell para desactivar los servicios del sistema de prevenci\u00f3n de intrusiones (IPS), la protecci\u00f3n OAV y el monitoreo en tiempo real del sistema operativo Windows. La zona de pruebas tambi\u00e9n muestra el contenido de la l\u00ednea de comandos, mostrando los comandos reales utilizados por el malware.<\/p>\n

Abuso del Shell de comandos de Windows (T1059.003) <\/h2>\n

Los atacantes tambi\u00e9n suelen aprovechar el Shell de comandos de Windows (cmd.exe), otra herramienta vers\u00e1til utilizada para tareas administrativas leg\u00edtimas, como administrar archivos y ejecutar scripts. Su uso generalizado lo convierte en una opci\u00f3n atractiva para ocultar acciones da\u00f1inas.<\/p>\n

Al utilizar el shell de comandos, los atacantes pueden ejecutar una variedad de comandos maliciosos, desde descargar cargas \u00fatiles desde servidores remotos hasta ejecutar malware. El shell tambi\u00e9n se puede utilizar para ejecutar scripts de PowerShell para realizar m\u00e1s actividades maliciosas.<\/p>\n

Dado que cmd.exe es una utilidad confiable y ampliamente utilizada, los comandos maliciosos pueden mezclarse con actividades leg\u00edtimas, lo que dificulta que los sistemas de seguridad identifiquen y respondan a las amenazas en tiempo real. Los atacantes tambi\u00e9n pueden utilizar t\u00e9cnicas de ofuscaci\u00f3n dentro de sus comandos para evitar a\u00fan m\u00e1s la detecci\u00f3n.<\/p>\n

Ejemplo: Lumma emplea CMD en la ejecuci\u00f3n de la carga \u00fatil<\/span><\/h3>\n

\u00c9chale un vistazo al siguiente an\u00e1lisis de Lumma<\/a>un ladr\u00f3n de informaci\u00f3n muy utilizado que lleva activo desde 2022.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
El sandbox asigna una puntuaci\u00f3n de 100 al proceso cmd.exe, marc\u00e1ndolo como malicioso<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

ANY.RUN nos brinda una mirada en profundidad a las operaciones realizadas por el malware a trav\u00e9s de cmd. Estos incluyen iniciar una aplicaci\u00f3n con una extensi\u00f3n inusual y realizar cambios en el contenido ejecutable, lo que indica que los atacantes abusan del proceso. <\/p>\n

Modificaci\u00f3n de claves de ejecuci\u00f3n del registro (T1547.001)<\/h2>\n

Para garantizar que el software malicioso se ejecute autom\u00e1ticamente cada vez que se inicia un sistema, los atacantes agregan entradas a claves de registro espec\u00edficas dise\u00f1adas para iniciar programas al inicio. <\/p>\n

Los archivos maliciosos tambi\u00e9n se pueden colocar en la carpeta de inicio, que es un directorio especial que Windows escanea y ejecuta programas autom\u00e1ticamente cuando el usuario inicia sesi\u00f3n.<\/p>\n

Al utilizar las claves de ejecuci\u00f3n del registro y la carpeta de inicio, los atacantes pueden mantener la persistencia a largo plazo, lo que les permite continuar con sus actividades maliciosas, como la filtraci\u00f3n de datos, el movimiento lateral dentro de una red o una mayor explotaci\u00f3n del sistema.<\/p>\n

Ejemplo: Remcos gana persistencia mediante la tecla RUN<\/span><\/h3>\n

Aqu\u00ed hay un ejemplo de esta t\u00e9cnica<\/a> realizado por Remcos. En este caso, la clave de registro que se est\u00e1 modificando es HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
El sandbox asigna TTP relevantes a diferentes acciones maliciosas<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Al agregar una entrada a la clave RUN en el registro, la puerta trasera de Remcos garantiza que se iniciar\u00e1 autom\u00e1ticamente en cada nuevo inicio de sesi\u00f3n. Esto permite que el malware mantenga la persistencia en el sistema infectado.<\/p>\n

Evasi\u00f3n basada en el tiempo (T1497.003) <\/h2>\n

La evasi\u00f3n basada en el tiempo es una t\u00e9cnica utilizada por el malware para evitar la detecci\u00f3n por parte de soluciones de seguridad que dependen del sandboxing.. <\/strong>Muchas zonas de pruebas tienen per\u00edodos de monitoreo limitados, a menudo de solo unos minutos. Al retrasar la ejecuci\u00f3n del c\u00f3digo malicioso, el malware puede evitar la detecci\u00f3n durante esta ventana. <\/p>\n

Otro objetivo com\u00fan de este TTP es hacer que el malware parezca benigno durante el an\u00e1lisis inicial, lo que reduce la probabilidad de que se marque como sospechoso. Retrasar la ejecuci\u00f3n puede dificultar que las herramientas de an\u00e1lisis de comportamiento correlacionen el comportamiento benigno inicial con las actividades maliciosas posteriores.<\/p>\n

El malware suele depender de varios componentes o archivos para llevar a cabo su proceso de infecci\u00f3n. Los retrasos pueden ayudar a sincronizar la ejecuci\u00f3n de diferentes partes del malware. Por ejemplo, si el malware necesita descargar componentes adicionales desde un servidor remoto, un retraso puede garantizar que estos componentes se descarguen por completo y est\u00e9n listos antes de que se ejecute la carga principal. <\/p>\n

Algunas actividades maliciosas pueden depender de la finalizaci\u00f3n exitosa de otras tareas. Introducir retrasos puede ayudar a gestionar estas dependencias, garantizando que cada paso del proceso de infecci\u00f3n se complete en el orden correcto.<\/p>\n

Ejemplo: DCRAT retrasa la ejecuci\u00f3n durante un ataque<\/span><\/h3>\n

Dark Crystal RAT es una de las muchas familias de malware que dependen de t\u00e9cnicas de evasi\u00f3n basadas en el tiempo para permanecer fuera del radar en el sistema infectado.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
ANY.RUN ofrece una matriz MITRE ATT&CK incorporada para rastrear los TTP identificados durante el an\u00e1lisis<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

En el contexto de la siguiente sesi\u00f3n de sandbox<\/a>podemos observar como DCRAT permanece dormido durante apenas 2000 milisegundos, que son 2 segundos, antes de continuar con la ejecuci\u00f3n. Es probable que esto se haga para garantizar que todos los archivos necesarios para la siguiente etapa del proceso de infecci\u00f3n est\u00e9n listos para su ejecuci\u00f3n.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
El sandbox de ANY.RUN muestra detalles de cada proceso malicioso<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Otro de los intentos de evasi\u00f3n temporal de DCRAT detectado por ANY.RUN es el uso de la herramienta leg\u00edtima w32tm.exe para retrasar el proceso de ejecuci\u00f3n.<\/p>\n

Analice el malware con ANY.RUN Sandbox<\/h2>\n

ANY.RUN ofrece un entorno limitado basado en la nube para analizar malware y amenazas de phishing, proporcionando resultados r\u00e1pidos y precisos para mejorar sus investigaciones. Con sus funciones avanzadas, puede interactuar libremente con los archivos y URL enviados, as\u00ed como con el sistema, para profundizar en el an\u00e1lisis de amenazas.<\/p>\n