Security Art Work

Este artículo marca el inicio de una serie dedicada a explorar los Actores Estados más activos de los últimos años, con el propósito de comprender en profundidad sus operaciones, modus operandi, victimología y otros aspectos clave. En esta primera entrega, analizaremos el clúster Forest Blizzard y algunas de sus operaciones desde el inicio del conflicto entre Rusia y Ucrania en 2022.

El clúster Forest Blizzard – también conocido como APT28 o Fancy Bear – ha sido atribuido de forma colectiva por el Servicio de investigación del Congreso de EEUU a las unidades 26165, 74455 y 54777 del Directorio Principal del Alto Estado Mayor de las Fuerzas Armadas de la Federación de Rusia (GRU). Estas unidades han sido identificadas como responsables de diversas operaciones ofensivas y de campañas de  desinformación. En concreto, la unidad 26165 ha estado implicada en operaciones a entidades políticas estadounidenses, como el Comité Nacional Demócrata junto a otras entidades como el IRA (Internet Research Agency) y el SVR (Servicio de Inteligencia Exterior), mientras que la Unidad 74455 ha realizado ciberataques como el malware NotPetya en 2017, o la liberación de correos electrónicos robados durante las elecciones presidenciales de 2016. Por su parte, la Unidad 54777, conocida como el 72º Centro de Servicios Especiales, se ha focalizado en operaciones psicológicas y campañas de desinformación a gran escala. La siguiente imagen muestra la estructura jerárquica de las organizaciones de inteligencia y sus respectivos clústers, basada en los análisis realizados por múltiples agencias de inteligencia gubernamentales y privadas.

Dentro de un ejercicio de Red Team, el Command and Control (C2) actúa como el engranaje principal dentro de la Cyber Kill Chain, ya que permite al adversario mantener el control sobre los sistemas comprometidos y, de esta manera, facilitar la obtención del control completo de la infraestructura de una organización.

Importancia

Un C2 permite desplegar un punto de control dentro de un ejercicio donde se prioriza el sigilo, de manera que crea el entorno clave de dominio sobre los defensores, dado que otorga un sistema de comunicación encubierta sobre los sistemas infectados. De esta manera, proporciona una serie de ventajas a un atacante, dado que permite efectuar comandos, exfiltrar datos sensibles y expandir su presencia por la red sin llegar a ser detectados.

Extrapolemos los puntos claves de un C2:

1. Persistencia, dado que permite mantener un control sobre los sistemas comprometidos a largo plazo.
2. Exfiltración, dado que permite extraer información de las redes víctimas sin llegar a ser detectado.
3. Pivoting, dado que permite realizar movimientos laterales para poder desplazarse y explotar sistemas de redes adyacentes.

Técnicas Implementadas

El objetivo de un C2 es mantener una comunicación continua y encubierta con los sistemas comprometidos por el Red Team. Con este objetivo en mente, implementan técnicas como las siguientes:

• Tunelización DNS: Permite la transmisión de datos a través de la encapsulación de los mismos mediante el protocolo DNS. Abusa de la confianza de la esencialidad del tráfico DNS en las redes corporativas, que generalmente suele estar permitido por los diferentes dispositivos de seguridad.
• C2 basado en HTTPS: Permite el establecimiento de la comunicación cifradas mediante HTTPS entre el atacante y el sistema comprometido. Con esta técnica se permite camuflar el tráfico malicioso del atacante con el tráfico web legítimo.
• Beaconing: Permite la comunicación mediante beacons a intervalos regulares o aleatorios, desde el sistema comprometido al C2. Normalmente se debe hacer una instalación de un implante malware en el sistema comprometido, pero la ventaja que tiene es que ayuda a evitar aquellos sistemas de seguridad más avanzados que se basan en una detección por patrones.
• C2 en Cloud: Permite la comunicación con el C2 mediante el uso de servicios cloud, como AWS, Drive, Dropbox, Azure, entre otros. La ventaja radica en que, si se ha detectado el uso de una de estas tecnologías durante la fase de reconocimiento, sería una buena aproximación utilizar está técnica para camuflar el tráfico malicioso como operaciones normales del usuario.
• C2 Satelital^[1]: Es una técnica donde se establece la comunicación entre el C2 y los sistemas comprometidos haciendo uso de enlaces satelitales. Este escenario requiere un alto nivel de sofisticación y recursos; sin embargo, proporciona un grado elevado de sigilo e indetectabilidad frente a los equipos de seguridad de las organizaciones. Este modelo tiene varias ventajas:
  • El tráfico C2 pasa a través de redes satelitales, evitando las rutas de internet convencionales. El rastreo de una dirección IP asociada a comunicaciones satelitales hacia una ubicación física resulta sumamente complejo de realizar.
  • Permite la simultaneidad en la unidireccionalidad y bidireccionalidad de la comunicación C2 según convenga. De este modo, reduce la posibilidad de ser detectado y facilita tanto el envío de comandos como la exfiltración de datos.
• P2P: Este modelo es interesante, dado que implica la generación de redes P2P entre los sistemas comprometidos para que se comuniquen directamente entre sí, de esta manera formando una red descentralizada. Esta técnica elimina la necesidad de un servidor C2 centralizado, aumentando la resiliencia de la red maliciosa.

En el dinámico y siempre cambiante entorno de la ciberseguridad, adelantarse a las amenazas es más crucial que nunca.

En S2 Grupo, en colaboración con el Centro Criptológico Nacional (CCN), hemos desarrollado y mejorado continuamente CARMEN, una herramienta innovadora diseñada para proteger a las organizaciones frente a las amenazas más sofisticadas.

¿Qué es CARMEN?

CARMEN (Centro de Análisis de Registros y Minería de Datos), es una solución integral para la detección y respuesta ante amenazas, específicamente diseñada para hacer frente a la evolución de las amenazas persistentes avanzadas (APTs). Esta herramienta es fundamental para los procesos de Threat Hunting, permitiendo a los equipos de seguridad identificar y neutralizar riesgos de manera proactiva.

El principal objetivo de CARMEN es generar inteligencia a partir del tráfico de red y las actividades de los usuarios dentro de la organización, filtrando y priorizando la información crítica. De esta manera, ayuda a evitar brechas de seguridad y a mitigar el impacto de los ciberataques. Con CARMEN, las organizaciones logran una visibilidad total de su infraestructura, facilitando tanto la detección temprana de amenazas como una respuesta ágil y efectiva.

En el contexto actual de la ciberseguridad se enfrentan dos bandos claramente diferenciados:

Por un lado, la industria del cibercrimen, que se ha consolidado como una de las principales fuerzas económicas a nivel global, ocupando uno de los primeros puestos en la economía mundial. Con ingresos que superan a muchas industrias legales, su objetivo principal es obtener beneficios económicos a través de ataques que van desde el robo de información y extorsión hasta la interrupción de servicios esenciales, ejecutados con un alto grado de habilidad técnica. Esto la convierte en una amenaza cada vez más y peligrosa sofisticada para gobiernos, empresas y ciudadanos.

Por otro lado, las organizaciones legales, que están obligadas a implementar diversas estrategias de ciberseguridad para reducir el impacto de posibles incidentes, cumplir con los mínimos en prevención y neutralización de amenazas, además de cumplir con normativas y estándares. Algunas de estas estrategias incluyen: evaluaciones de madurez (maturity assessment), herramientas de prevención, centros de operaciones de seguridad (SOC), herramientas de detección y respuesta en endpoints (EDR), evaluaciones de riesgos (risk assessment), simulacros, prevención de pérdida de datos (data loss prevention), entre otros.

Sin embargo, para considerarse verdaderamente maduras en ciberseguridad, las organizaciones deben ir más allá de lo básico y desarrollar estrategias avanzadas y alineadas con las tácticas del cibercrimen, dado que los adversarios no se limitan a técnicas convencionales. Por ejemplo, aparte de contar con herramientas de prevención, también es necesario conocer que un thread hijacking manipula el registro RIP/EIP del CPU para ejecutar su shellcode, o que las capacidades de Nobelium tienden a operar en memoria y menos en disco. De lo contrario, estaríamos abordando el problema de manera superficial.

El desafío radica en que muchas de estas organizaciones enfrentan limitaciones significativas, ya sea por presupuestos restringidos o por la falta de personal capacitado para enfrentar adversarios sofisticados. La detección de estas técnicas requiere un equipo especializado y proactivo, capaz no solo de identificar ataques avanzados, sino también de ofrecer una visión detallada del estado de la arquitectura de seguridad de la organización, superando el modelo reactivo o convencional de detección.

Por esta razón, el objetivo de este artículo es ayudar a estos equipos a identificar su madurez real en términos de capacidades de detección y neutralización, complejidad técnica y costes asociados. Para lograrlo, se presentan dos estrategias de detección distintas:

En una próspera ciudad costera, rodeada por el mar y montañas, se encontraba una empresa de compraventa de productos comestibles muy respetada, conocida por su enfoque innovador y atención al detalle. Para dar soporte a sus servicios, la empresa tenía desplegado un servidor de correo electrónico, utilizado para intercambiar mensajes, compartir datos confidenciales y coordinar proyectos con los clientes.

Una mañana, un cliente de la empresa recibió un correo aparentemente inofensivo de un remitente conocido. Dentro del mensaje había un enlace que prometía llevar a un sitio web con información interesante. Sin saberlo, al hacer clic en el enlace, el cliente activó un pequeño fragmento de código JavaScript oculto en el correo. Este código era el inicio de un ataque de Cross Site Scripting (XSS), una vulnerabilidad que permitía a un atacante inyectar scripts maliciosos en las páginas web visitadas por otros usuarios.

El ataque aprovechaba una vulnerabilidad XSS pública, cuyo CVE es CVE-2020-8512. Esta vulnerabilidad permite que los scripts maliciosos se ejecuten directamente en los navegadores de los usuarios afectados cuando abren los correos infectados. En este caso, cada vez que alguien interactuaba con estos mensajes, el script malicioso se activaba, capturando información confidencial, como credenciales de inicio de sesión y correos electrónicos, enviándola al atacante sin dejar rastro visible.

La trampa del ciberdelincuente había sido planificada de manera sigilosa. El atacante sabía que al haber detectado una vulnerabilidad de alta criticidad podía aprovecharla con el objetivo de robar los datos de los clientes. De esta manera, decidió revisar diversas herramientas que le pudieran permitir efectuar el ataque que él esperaba y encontró la herramienta JS-TAP.

En el mundo de la ciberseguridad existe una vulnerabilidad ampliamente conocida como Path Traversal, que puede afectar a los servidores web, entre ellos los Nginx. Esta representa una amenaza significativa para la integridad y seguridad de la información.

¿En qué consiste?

Esta vulnerabilidad permite que un atacante pueda acceder y leer archivos fuera del directorio raíz designado. Por lo tanto, un atacante podría manipular las solicitudes de archivos para llegar a recursos que no deberían ser accesibles.

¿Cómo se aprovecha dicha vulnerabilidad? Esto se consigue mediante la manipulación de rutas de directorio en las URLs de solicitudes HTTP.

En la siguiente imagen se puede ver un ejemplo de cómo se accedería al archivo passwd del servidor a través de la web. Los símbolos de “..” indican la cantidad de directorios que hay entre los archivos mostrados en la web y la ubicación de la carpeta raíz del servidor.

Que las defensas se prueban con ataques es algo ya plenamente asumido por muchas organizaciones. Hace ya muchos años que los ejercicios de Red Team se han convertido en un elemento fundamental para evaluar y mejorar la seguridad de las infraestructuras TI más avanzadas. En ellos, uno o varios hackers simulan el comportamiento de un atacante y ponen a prueba durante un tiempo determinado tanto la seguridad de un conjunto de activos o usuarios como las capacidades defensivas del centro de operaciones de seguridad (SOC) de la organización, cuyos miembros no deben saber que el ejercicio se está llevando a cabo.

Los resultados obtenidos se reflejan en un informe que contiene una o varias narrativas de ataque e información sobre las debilidades identificadas. Este informe es utilizado luego por la organización para mejorar la seguridad, minimizando el impacto de futuros ataques reales.

Los ejercicios de Red Team son un excelente recurso, no solamente para mejorar las defensas de la organización, sino también para que el personal del SOC se enfrente a una situación de ataque realista de la que poder aprender, con la ventaja añadida de que luego puede sentarse tranquilamente con los atacantes a comentar la jugada.

En los últimos años hemos presenciado la publicación de un gran número de C2s en distintos lenguajes: Covenant en .NET, Merlin y Sliver en Go o Mythic en Python son algunos ejemplos. Todos ellos se suman a las herramientas más clásicas y establecidas en años anteriores (Cobalt, Empire, …) creando un gran ecosistema donde en ocasiones se hace complicado elegir entre todos ellos.

Entre toda esta marabunta de C2 se publica en github en septiembre de 2022 Havoc, un C2 escrito en múltiples lenguajes (C++, Golang, C y ASM) que ha conseguido desde entonces gran notoriedad en el mundo de la ciberseguridad ofensiva gracias a su modularidad y su eficacia, y se ha convertido en uno de los go-to dentro de los C2 gratuitos.

En este post vamos a ver su proceso de instalación, así como su funcionamiento y sus capacidades.

Instalación

La instalación de Havoc es simple y la podemos encontrar en la documentación de la herramienta, para ello lo primero que vamos a hacer es clonar el repositorio:

En el dinámico y siempre cambiante panorama de la ciberseguridad, las Amenazas Persistentes Avanzadas (APTs, por sus siglas en inglés) se destacan como uno de los desafíos más relevantes. Estas amenazas, caracterizadas por su sofisticación y su capacidad para evadir las defensas tradicionales, pueden infiltrarse en las redes corporativas y gubernamentales, manteniéndose indetectables durante largos periodos. La detección efectiva de APTs es, por tanto, una prioridad crítica para proteger la integridad y la confidencialidad de la información.

Las APTs se caracterizan por su alta sofisticación y persistencia en los sistemas objetivo. Los atacantes, a menudo respaldados por recursos significativos, implementan tácticas complejas para obtener acceso no autorizado a los sistemas y extraer datos sensibles o causar daños prolongados. Estas tácticas incluyen el uso de malware personalizado, explotación de vulnerabilidades desconocidas (zero-day), y técnicas avanzadas de ingeniería social. En el plano defensivo, la matriz MITRE ATT&CK proporciona un marco integral que detalla los distintos métodos y técnicas que los atacantes utilizan en cada fase del ciclo de vida de un ciberataque, permitiendo una mejor comprensión y defensa contra estas amenazas avanzadas.

En este contexto, la inteligencia artificial (IA) emerge como una herramienta prometedora para fortalecer las capacidades de detección de APTs. La IA, con su capacidad para analizar vastas cantidades de datos y detectar patrones anómalos, ofrece una solución avanzada frente a las técnicas tradicionales de ciberseguridad. A diferencia de los métodos convencionales, que a menudo dependen de firmas predefinidas y reglas estáticas, la IA puede adaptarse y aprender de nuevas amenazas en tiempo real.