Security Art Work

En el dinámico y siempre cambiante entorno de la ciberseguridad, adelantarse a las amenazas es más crucial que nunca.

En S2 Grupo, en colaboración con el Centro Criptológico Nacional (CCN), hemos desarrollado y mejorado continuamente CARMEN, una herramienta innovadora diseñada para proteger a las organizaciones frente a las amenazas más sofisticadas.

¿Qué es CARMEN?

CARMEN (Centro de Análisis de Registros y Minería de Datos), es una solución integral para la detección y respuesta ante amenazas, específicamente diseñada para hacer frente a la evolución de las amenazas persistentes avanzadas (APTs). Esta herramienta es fundamental para los procesos de Threat Hunting, permitiendo a los equipos de seguridad identificar y neutralizar riesgos de manera proactiva.

El principal objetivo de CARMEN es generar inteligencia a partir del tráfico de red y las actividades de los usuarios dentro de la organización, filtrando y priorizando la información crítica. De esta manera, ayuda a evitar brechas de seguridad y a mitigar el impacto de los ciberataques. Con CARMEN, las organizaciones logran una visibilidad total de su infraestructura, facilitando tanto la detección temprana de amenazas como una respuesta ágil y efectiva.

En el contexto actual de la ciberseguridad se enfrentan dos bandos claramente diferenciados:

Por un lado, la industria del cibercrimen, que se ha consolidado como una de las principales fuerzas económicas a nivel global, ocupando uno de los primeros puestos en la economía mundial. Con ingresos que superan a muchas industrias legales, su objetivo principal es obtener beneficios económicos a través de ataques que van desde el robo de información y extorsión hasta la interrupción de servicios esenciales, ejecutados con un alto grado de habilidad técnica. Esto la convierte en una amenaza cada vez más y peligrosa sofisticada para gobiernos, empresas y ciudadanos.

Por otro lado, las organizaciones legales, que están obligadas a implementar diversas estrategias de ciberseguridad para reducir el impacto de posibles incidentes, cumplir con los mínimos en prevención y neutralización de amenazas, además de cumplir con normativas y estándares. Algunas de estas estrategias incluyen: evaluaciones de madurez (maturity assessment), herramientas de prevención, centros de operaciones de seguridad (SOC), herramientas de detección y respuesta en endpoints (EDR), evaluaciones de riesgos (risk assessment), simulacros, prevención de pérdida de datos (data loss prevention), entre otros.

Sin embargo, para considerarse verdaderamente maduras en ciberseguridad, las organizaciones deben ir más allá de lo básico y desarrollar estrategias avanzadas y alineadas con las tácticas del cibercrimen, dado que los adversarios no se limitan a técnicas convencionales. Por ejemplo, aparte de contar con herramientas de prevención, también es necesario conocer que un thread hijacking manipula el registro RIP/EIP del CPU para ejecutar su shellcode, o que las capacidades de Nobelium tienden a operar en memoria y menos en disco. De lo contrario, estaríamos abordando el problema de manera superficial.

El desafío radica en que muchas de estas organizaciones enfrentan limitaciones significativas, ya sea por presupuestos restringidos o por la falta de personal capacitado para enfrentar adversarios sofisticados. La detección de estas técnicas requiere un equipo especializado y proactivo, capaz no solo de identificar ataques avanzados, sino también de ofrecer una visión detallada del estado de la arquitectura de seguridad de la organización, superando el modelo reactivo o convencional de detección.

Por esta razón, el objetivo de este artículo es ayudar a estos equipos a identificar su madurez real en términos de capacidades de detección y neutralización, complejidad técnica y costes asociados. Para lograrlo, se presentan dos estrategias de detección distintas:

En una próspera ciudad costera, rodeada por el mar y montañas, se encontraba una empresa de compraventa de productos comestibles muy respetada, conocida por su enfoque innovador y atención al detalle. Para dar soporte a sus servicios, la empresa tenía desplegado un servidor de correo electrónico, utilizado para intercambiar mensajes, compartir datos confidenciales y coordinar proyectos con los clientes.

Una mañana, un cliente de la empresa recibió un correo aparentemente inofensivo de un remitente conocido. Dentro del mensaje había un enlace que prometía llevar a un sitio web con información interesante. Sin saberlo, al hacer clic en el enlace, el cliente activó un pequeño fragmento de código JavaScript oculto en el correo. Este código era el inicio de un ataque de Cross Site Scripting (XSS), una vulnerabilidad que permitía a un atacante inyectar scripts maliciosos en las páginas web visitadas por otros usuarios.

El ataque aprovechaba una vulnerabilidad XSS pública, cuyo CVE es CVE-2020-8512. Esta vulnerabilidad permite que los scripts maliciosos se ejecuten directamente en los navegadores de los usuarios afectados cuando abren los correos infectados. En este caso, cada vez que alguien interactuaba con estos mensajes, el script malicioso se activaba, capturando información confidencial, como credenciales de inicio de sesión y correos electrónicos, enviándola al atacante sin dejar rastro visible.

La trampa del ciberdelincuente había sido planificada de manera sigilosa. El atacante sabía que al haber detectado una vulnerabilidad de alta criticidad podía aprovecharla con el objetivo de robar los datos de los clientes. De esta manera, decidió revisar diversas herramientas que le pudieran permitir efectuar el ataque que él esperaba y encontró la herramienta JS-TAP.

En el mundo de la ciberseguridad existe una vulnerabilidad ampliamente conocida como Path Traversal, que puede afectar a los servidores web, entre ellos los Nginx. Esta representa una amenaza significativa para la integridad y seguridad de la información.

¿En qué consiste?

Esta vulnerabilidad permite que un atacante pueda acceder y leer archivos fuera del directorio raíz designado. Por lo tanto, un atacante podría manipular las solicitudes de archivos para llegar a recursos que no deberían ser accesibles.

¿Cómo se aprovecha dicha vulnerabilidad? Esto se consigue mediante la manipulación de rutas de directorio en las URLs de solicitudes HTTP.

En la siguiente imagen se puede ver un ejemplo de cómo se accedería al archivo passwd del servidor a través de la web. Los símbolos de “..” indican la cantidad de directorios que hay entre los archivos mostrados en la web y la ubicación de la carpeta raíz del servidor.

Que las defensas se prueban con ataques es algo ya plenamente asumido por muchas organizaciones. Hace ya muchos años que los ejercicios de Red Team se han convertido en un elemento fundamental para evaluar y mejorar la seguridad de las infraestructuras TI más avanzadas. En ellos, uno o varios hackers simulan el comportamiento de un atacante y ponen a prueba durante un tiempo determinado tanto la seguridad de un conjunto de activos o usuarios como las capacidades defensivas del centro de operaciones de seguridad (SOC) de la organización, cuyos miembros no deben saber que el ejercicio se está llevando a cabo.

Los resultados obtenidos se reflejan en un informe que contiene una o varias narrativas de ataque e información sobre las debilidades identificadas. Este informe es utilizado luego por la organización para mejorar la seguridad, minimizando el impacto de futuros ataques reales.

Los ejercicios de Red Team son un excelente recurso, no solamente para mejorar las defensas de la organización, sino también para que el personal del SOC se enfrente a una situación de ataque realista de la que poder aprender, con la ventaja añadida de que luego puede sentarse tranquilamente con los atacantes a comentar la jugada.

En los últimos años hemos presenciado la publicación de un gran número de C2s en distintos lenguajes: Covenant en .NET, Merlin y Sliver en Go o Mythic en Python son algunos ejemplos. Todos ellos se suman a las herramientas más clásicas y establecidas en años anteriores (Cobalt, Empire, …) creando un gran ecosistema donde en ocasiones se hace complicado elegir entre todos ellos.

Entre toda esta marabunta de C2 se publica en github en septiembre de 2022 Havoc, un C2 escrito en múltiples lenguajes (C++, Golang, C y ASM) que ha conseguido desde entonces gran notoriedad en el mundo de la ciberseguridad ofensiva gracias a su modularidad y su eficacia, y se ha convertido en uno de los go-to dentro de los C2 gratuitos.

En este post vamos a ver su proceso de instalación, así como su funcionamiento y sus capacidades.

Instalación

La instalación de Havoc es simple y la podemos encontrar en la documentación de la herramienta, para ello lo primero que vamos a hacer es clonar el repositorio:

En el dinámico y siempre cambiante panorama de la ciberseguridad, las Amenazas Persistentes Avanzadas (APTs, por sus siglas en inglés) se destacan como uno de los desafíos más relevantes. Estas amenazas, caracterizadas por su sofisticación y su capacidad para evadir las defensas tradicionales, pueden infiltrarse en las redes corporativas y gubernamentales, manteniéndose indetectables durante largos periodos. La detección efectiva de APTs es, por tanto, una prioridad crítica para proteger la integridad y la confidencialidad de la información.

Las APTs se caracterizan por su alta sofisticación y persistencia en los sistemas objetivo. Los atacantes, a menudo respaldados por recursos significativos, implementan tácticas complejas para obtener acceso no autorizado a los sistemas y extraer datos sensibles o causar daños prolongados. Estas tácticas incluyen el uso de malware personalizado, explotación de vulnerabilidades desconocidas (zero-day), y técnicas avanzadas de ingeniería social. En el plano defensivo, la matriz MITRE ATT&CK proporciona un marco integral que detalla los distintos métodos y técnicas que los atacantes utilizan en cada fase del ciclo de vida de un ciberataque, permitiendo una mejor comprensión y defensa contra estas amenazas avanzadas.

En este contexto, la inteligencia artificial (IA) emerge como una herramienta prometedora para fortalecer las capacidades de detección de APTs. La IA, con su capacidad para analizar vastas cantidades de datos y detectar patrones anómalos, ofrece una solución avanzada frente a las técnicas tradicionales de ciberseguridad. A diferencia de los métodos convencionales, que a menudo dependen de firmas predefinidas y reglas estáticas, la IA puede adaptarse y aprender de nuevas amenazas en tiempo real.

Si no vives debajo de una piedra y haces uso de las redes sociales, seguro has sido testigo o protagonista de esas publicaciones en tu cafetería de confianza, cerca de casa, en el trabajo, de viaje, o en esas fiestas épicas inolvidables al estilo Proyecto X. Nos encanta compartir esos momentos, ¿verdad?

A menudo, ni siquiera nos damos cuenta de la montaña de información que entregamos al mundo cada vez que publicamos algo en nuestras redes sociales. Nos exponemos ante Internet sin pensar en las posibles consecuencias. Es como aventurarse en la jungla digital sin un mapa, sin saber qué depredadores acechan.

Pero, ¿sabes qué es lo más loco? Que con cada publicación estamos arrojando pistas sobre nuestra ubicación, nuestra rutina diaria, nuestras actividades, nuestra familia, nuestros amigos, entre otras muchas cosas. Es como si estuviéramos dejando migas de pan digitales para que cualquiera las siga, revelando nuestra vida a un público invisible y potencialmente peligroso.

Y no se trata solo de la información que sabemos que compartimos, sino también de aquella que compartimos sin siquiera ser conscientes de ello, porque claro, no nos olvidemos de los metadatos. Cuando, por ejemplo, sacamos una foto con nuestro móvil, esa imagen puede contener una gran cantidad de información que, a simple vista, podríamos pasar por alto. Desde la ubicación exacta donde se tomó la foto, hasta la marca, modelo y versión del software del dispositivo utilizado, e incluso detalles sobre la configuración de la cámara. Pequeños detalles que, a primera vista, parecen inofensivos pero que, al contrario de lo que podamos pensar, revelan mucha información, que nos hacen vulnerables a posibles ataques por aquellos que saben buscarla.

En el ámbito de la seguridad informática, nos encontramos con retos cada vez más complejos que prueban nuestras habilidades de defensa digital. Recientemente, hemos sido testigos de un ataque sin precedentes realizado por el ramsomware Black Basta.

Más de 500 organizaciones en todo el mundo, desde pequeñas empresas hasta grandes corporaciones, han sido afectadas por Black Basta, que ha demostrado ser una amenaza significativa. El alcance del ataque ha generado inquietud y ha cuestionado la solidez de nuestra infraestructura digital.

Su capacidad para eludir las defensas tradicionales y el cifrado de datos críticos hace que Black Basta sea particularmente preocupante en comparación con otros ramsomware.