Los jardineros saben que los gusanos son buenos. Los profesionales de la ciberseguridad saben que los gusanos son malo<\/em>. Muy mal. De hecho, los gusanos son literalmente la fuerza m\u00e1s devastadora del mal conocida en el mundo de la computaci\u00f3n. los mi destino<\/a> El gusano ocupa la dudosa posici\u00f3n del malware inform\u00e1tico m\u00e1s costoso alguna vez<\/em> \u2013 responsable de algunos $ 52 mil millones<\/a> en da\u00f1o En segundo lugar\u2026 Tan grande<\/a>otro gusano.<\/p>\n Resulta, sin embargo, que hay excepciones a cada regla. Algunos gusanos biol\u00f3gicos son en realidad no son bienvenidas<\/a> en la mayor\u00eda de los jardines. Y algunos gusanos cibern\u00e9ticos, al parecer, pueden usar sus poderes para hacer el bien… <\/p>\n Las herramientas de detecci\u00f3n no son buenas para capturando la propagaci\u00f3n no basada en exploits<\/a>, que es lo que mejor hacen los gusanos. La mayor\u00eda de las soluciones de ciberseguridad son menos resistentes a los m\u00e9todos de ataque de gusanos como la suplantaci\u00f3n de tokens y otros que aprovechan configuraciones internas deficientes: PAM, segmentaci\u00f3n, almacenamiento de credenciales inseguro y m\u00e1s.<\/p>\n Entonces, \u00bfqu\u00e9 mejor manera de vencer a un gusano sigiloso que con… otro gusano sigiloso?<\/p>\n \u00a1Y as\u00ed naci\u00f3 Hopper! Hopper es un gusano real, con comando y control, escalada de privilegios integrada y muchas m\u00e1s de las capacidades m\u00e1s tortuosas de los gusanos. Pero al contrario de la mayor\u00eda de los gusanos, Hopper fue construido para hacer el bien<\/em>. En lugar de causar da\u00f1o, Hopper les dice a sus operadores White Hat d\u00f3nde y c\u00f3mo logr\u00f3 infiltrarse en una red. Informa hasta d\u00f3nde lleg\u00f3, qu\u00e9 encontr\u00f3 en el camino y c\u00f3mo mejorar las defensas. <\/p>\n El equipo de desarrollo de Cymulate bas\u00f3 a Hopper en un programa de malware com\u00fan: un peque\u00f1o ejecutable que sirve como carga \u00fatil inicial, con el objetivo principal de preparar una carga \u00fatil m\u00e1s grande. Nuestro stager tambi\u00e9n sirve como empaquetador de PE, un programa que carga y ejecuta programas indirectamente, generalmente desde un paquete.<\/p>\n El escenario de Hopper se escribi\u00f3 de tal manera que la carga \u00fatil inicial no tiene que cambiarse si hacemos una actualizaci\u00f3n de Hopper. Esto significa que la exclusi\u00f3n de hashes en cada actualizaci\u00f3n se convirti\u00f3 en historial, y los usuarios de Hopper solo necesitan excluir el hash del stager una vez. Escribir el escenario de esta manera tambi\u00e9n abri\u00f3 el camino para ejecutar otras herramientas que necesita Hopper.<\/p>\n Para maximizar la flexibilidad de Hopper, nuestro equipo agreg\u00f3 diferentes m\u00e9todos de ejecuci\u00f3n inicial, m\u00e9todos de comunicaci\u00f3n adicionales, varias formas de obtener la carga \u00fatil de la primera etapa, diferentes m\u00e9todos de inyecci\u00f3n y m\u00e1s. Y, para crear un gusano muy sigiloso, debemos permitir la m\u00e1xima personalizaci\u00f3n de las funciones sigilosas, por lo que realizamos configuraciones controladas casi en su totalidad por el operador: <\/p>\n Ejecuci\u00f3n inicial de Hopper<\/a> es in-mem y en etapas. La primera etapa es un trozo peque\u00f1o con capacidad limitada. Este stub sabe c\u00f3mo ejecutar un c\u00f3digo m\u00e1s importante en lugar de contener el c\u00f3digo dentro de s\u00ed mismo, lo que hace que sea m\u00e1s dif\u00edcil marcarlo como un archivo malicioso. Para la escalada de privilegios, elegimos diferentes m\u00e9todos de omisi\u00f3n de UAC, explotando servicios vulnerables como Spooler y usando servicios mal configurados o ejecuciones autom\u00e1ticas para obtener elevaci\u00f3n de privilegios o persistencia. La idea aqu\u00ed es que Hopper use los privilegios m\u00ednimos necesarios para lograr sus objetivos. Por ejemplo, si una m\u00e1quina proporciona acceso de usuario a nuestra m\u00e1quina de destino, es posible que Hopper no necesite elevar los privilegios para propagarse a esa m\u00e1quina de destino. <\/p>\n Hopper cuenta con administraci\u00f3n centralizada de credenciales, lo que le permite distribuir credenciales entre instancias de Hopper seg\u00fan sea necesario, lo que significa que todos los Hopper tienen acceso a las credenciales recopiladas, lo que elimina la necesidad de duplicar la base de datos de credenciales confidenciales en otras m\u00e1quinas.<\/p>\n Para propagarse, Hopper prefiere configuraciones err\u00f3neas a exploits. \u00bfLa raz\u00f3n? Los exploits pueden colapsar potencialmente los sistemas, se destacan m\u00e1s y son f\u00e1cilmente identificados por los productos de monitoreo de red\/IPS y los productos EDR. Las configuraciones incorrectas, por otro lado, no se detectan f\u00e1cilmente como actividad maliciosa. Por ejemplo, las configuraciones incorrectas de Active Directory pueden hacer que un usuario obtenga acceso a un recurso al que no deber\u00eda haber tenido acceso y, por lo tanto, provocar la propagaci\u00f3n. Del mismo modo, las configuraciones incorrectas del software pueden permitir que un usuario ejecute c\u00f3digo de forma remota y, por lo tanto, provoque la propagaci\u00f3n.<\/p>\n El equipo de Cymulate eligi\u00f3 la ejecuci\u00f3n en memoria para Hopper, ya que cifrar el c\u00f3digo de malware en la memoria una vez que ya no est\u00e1 en uso puede interrumpir la capacidad de los productos EDR para tomar huellas digitales del contenido en memoria. Adem\u00e1s, la ejecuci\u00f3n en memoria utiliza llamadas directas al sistema en lugar de llamadas API, que pueden ser monitoreadas por productos EDR. Si Hopper necesita usar las funciones de la API, detecta y descarga los ganchos EDR antes de hacerlo.<\/p>\n Para mantener el sigilo, Hopper se comunica con Command and Control durante las horas de trabajo enmascarando la actividad con la actividad normal de las horas de trabajo en patrones de tiempo aleatorios. Tambi\u00e9n se comunica solo con servidores incluidos en la lista de permitidos o servidores que no se consideran maliciosos, como canales de Slack, Hojas de c\u00e1lculo de Google u otros servicios p\u00fablicos.<\/p>\n Para adelantarse a los ataques de gusanos, un Hopper similar a un gusano White Hat es una soluci\u00f3n ideal. Al ver la red desde la perspectiva de un gusano, por as\u00ed decirlo, Hopper convierte la mayor ventaja del gusano en el la mayor ventaja del defensor<\/em>.<\/p>\n Nota: este art\u00edculo est\u00e1 escrito y contribuido por Yoni Oren, l\u00edder del equipo, investigador y desarrollador s\u00e9nior de seguridad en Cymulate<\/a>.<\/p>\n <\/p>\n<\/div>\nConoce a Hopper, el gusano bueno<\/strong><\/h2>\n
De cerca y en persona con Hopper <\/strong><\/h2>\n
\n
Ejecuci\u00f3n, gesti\u00f3n de credenciales y difusi\u00f3n<\/strong><\/h2>\n
Comunicaciones Stealth y C&C<\/strong><\/h2>\n
La l\u00ednea de fondo<\/strong><\/h2>\n