Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Comprensión de la nueva generación de servidores de comando y control

La inteligencia artificial continúa evolucionando, pero la mayoría de los sistemas de TI aún necesitan la intervención humana para mantenerse operativos. Los actores de amenazas enfrentan el mismo problema cuando controlan su malware.

Considere la cadena de muerte cibernética de malware. Sus componentes siguen siendo los mismos, pero cuando profundiza en los detalles, muchos aspectos han cambiado, lo que requiere que las empresas actualicen sus protecciones. Muchos aspectos del escaneo en busca de sistemas vulnerables, propagación y redes de comando y control de botnets (C&C) se han automatizado, pero también aquí, muchos detalles han cambiado en los últimos cinco años.

Veamos cómo han evolucionado los sistemas de C&C y los pasos que deben tomar las empresas para proteger sus operaciones.

En la antigüedad, cuando las botnets y sus servidores C&C usaban Internet Relay Chat (IRC) para comunicarse, una empresa podía simplemente bloquear el puerto IRC para romper la conexión C&C y terminar con ella. Debido a que el tráfico de IRC generalmente no estaba encriptado o se intercambiaba a través de servidores de IRC públicos, las empresas también podían monitorear fácilmente la conexión.

Los sistemas modernos de C&C se basan en nuevos esquemas para ir más allá de las conexiones IRC, incluido el uso del Protocolo de mensajes de control de Internet o túneles del servidor de nombres de dominio, el Protocolo simple de transferencia de correo o incluso las conexiones VPN, pero muchas herramientas de seguridad de red pueden marcar estas tácticas como potencialmente maliciosas. . Como resultado, los atacantes están agregando nuevas alternativas a sus tácticas de C&C, entre ellas el algoritmo de generación de dominio (DGA), las comunicaciones peer-to-peer (P2P), las redes sociales, los servicios en la nube y la red de anonimato Tor.

CONTENIDO RELACIONADO  Cómo replicar los recursos de Azure para lograr velocidad y agilidad

Es tan importante para un atacante tener un C&C sólido como lo es para una empresa tener los medios para proteger legítimamente sus puntos finales.

El objetivo de un atacante: mantener la perseverancia

Una red C&C debe ser lo suficientemente confiable para que un comando llegue a la mayoría de los sistemas en una red, y debe ser difícil para los objetivos identificar y bloquear. Una red C&C no necesita ser 100% confiable, ya que miles, cientos de miles o incluso más sistemas participan en una botnet. Para los ataques dirigidos, la confiabilidad puede ser más importante.

En la antigüedad, cuando las botnets y sus servidores C&C usaban Internet Relay Chat para comunicarse, una empresa podía simplemente bloquear el puerto IRC para romper la conexión C&C y terminar con ella.

Un servidor de C&C puede usar múltiples capas de desvío y una variedad de métodos para establecer y mantener conexiones de red. Cuanto más difícil sea para un objetivo identificar un sistema infectado, más tiempo podrá un atacante mantener la persistencia en la red del objetivo. Sin embargo, mantener la persistencia no significa pasar desapercibido; más bien, significa que el atacante puede mantener el acceso para lograr sus objetivos.

Un enfoque común para mantener la persistencia es escalar los comandos. Un endpoint infectado puede tener una tarea muy simple como primer comando: conectarse a un servidor de comando y control. Luego, el sistema puede ordenar al punto final que se conecte a un C&C de la siguiente etapa, que es donde puede tener lugar la comunicación real o donde el punto final carga los datos robados, como un punto muerto.

El C&C también puede usar autenticación y cifrado para dificultar el análisis de su presencia. Si, por ejemplo, se crea un C&C sobre un servicio existente, podría ser difícil para el objetivo diferenciar el tráfico malicioso del tráfico legítimo. En entornos de alta seguridad, los canales laterales no solo se pueden utilizar para robar datos específicos, sino que también pueden alojar el propio C&C.

Con Tor, DGA, redes sociales y comunicaciones P2P, es fácil ver cómo se puede abusar de estos servicios para crear un C&C. Los DGA y P2P existen desde hace un tiempo, pero los atacantes continúan implementándolos en nuevos programas maliciosos debido a su efectividad para establecer la primera etapa de una conexión C&C. Es difícil evitar que el malware use DGA a menos que las herramientas de seguridad empresarial puedan monitorear los DGA en uso. Mientras tanto, Tor también se ha utilizado para admitir un mecanismo C&C completo en otro malware.

Instagram, Twitter y otros servicios en la nube también son objetivos favoritos de los autores de malware. En muchos casos, el tráfico hacia y desde sitios web infectados puede atravesar las defensas empresariales. Además, ese tráfico suele estar cifrado, por lo que es difícil bloquear o analizar las comunicaciones.

Además, las botnets de IoT, que incluyen dispositivos de red de consumo, cámaras de seguridad y sistemas integrados, se han convertido en una seria amenaza. Por ejemplo, se informó que el ataque VPNFilter del año pasado infectó a más de 500.000 dispositivos en todo el mundo.

Arquitectura de comando y control de botnet

Defensas empresariales contra servidores de comando y control

Para combatir la evolución de los sistemas de C&C, las empresas deben utilizar herramientas actualizadas que aborden nuevas tácticas. Los firewalls y la supervisión de la red identifican el tráfico de red sospechoso que podría ser un C&C. Algunas empresas también emplean proxies para controlar el acceso fuera de la red local. Estos pueden inspeccionar todo el tráfico, incluido el tráfico cifrado, aunque se deben tener en cuenta las implicaciones de privacidad.

Las empresas con la tolerancia al riesgo más baja pueden llegar a autorizar individualmente cualquier conexión de red, implementar LAN virtuales privadas para aislar los extremos entre sí e incluso usar firewalls basados ​​en host configurados para denegar todas las conexiones excepto aquellas que permite explícitamente. El nivel de supervisión necesario para este enfoque podría ser demasiado significativo para la mayoría de las empresas, por lo que los administradores pueden querer buscar sistemas automatizados que se basan en la inteligencia artificial o el aprendizaje automático para autorizar adecuadamente las conexiones necesarias.

Otras tácticas incluyen canalizar el tráfico web del punto final a través de un proxy que requiere que los usuarios finales autentiquen y autoricen manualmente las conexiones, pero este enfoque podría permitir a los usuarios autorizar involuntariamente conexiones de red maliciosas. Los servidores proxy pueden ser más fáciles de monitorear en busca de conexiones de red anómalas y pueden investigar para determinar el origen de esas conexiones de red.

Identificar conexiones de red anómalas es clave para identificar servidores de comando y control, ya que pocos de ellos imitan el comportamiento humano, al menos, por ahora. Con ese fin, las empresas deben vigilar de cerca los servicios en la nube y los servicios de colaboración, como Slack, Box, Dropbox y Salesforce, para determinar un plan apropiado para responder si los atacantes abusan de la nube para crear un C&C.

Los usuarios domésticos no son inmunes. Las herramientas de seguridad de terminales, ya sean integradas por la empresa, incluidas en dispositivos de red domésticos de nivel de consumidor o proporcionadas por el proveedor de servicios de Internet (ISP), deben incluir la capacidad de bloquear posibles conexiones C&C.

Los ISP pueden ser reacios a bloquear el tráfico que se conecta a un C&C conocido debido a las quejas de los clientes, pero se podrían usar sistemas de clasificación automatizados para reducir esa carga. Los ISP también deben implementar líneas de base seguras para garantizar que sus dispositivos de consumo estén libres de posibles conexiones C&C.

Con suerte, la IA se convertirá en parte de las defensas empresariales para combatir a los atacantes que intentan orquestar operaciones maliciosas. Mientras tanto, las empresas deben vigilar de cerca sus plataformas de seguridad, actualizándolas continuamente ante la evolución de las amenazas y las redes de bots.

Es poco probable que el malware desaparezca alguna vez. Mantener una estrategia de seguridad coherente y analizar continuamente cómo los atacantes están transformando sus técnicas puede ayudar a las empresas a comprender dónde deben implementar sus defensas y cuándo.

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Infor CloudSuite ofrece un sistema ERP modular en la nube

Infor CloudSuite es el software ERP en la nube de Infor diseñado específicamente para industrias seleccionadas. Infor implementa CloudSuite principalmente como una nube pública, pero ofrece a las industrias con requisitos de cumplimiento la opción

4 casos de uso para escritorios Linux en la empresa

servirá. Los profesionales de TI deben prepararse para brindarles a los usuarios lo que piden, y pueden obtener algunos beneficios sorprendentes e inesperados. Dado que Linux actualmente se ejecuta en aproximadamente el 2% de los

Principales estrategias de gestión de la nube privada

¡Gracias por unirte! Accede a tu Pro+ Contenido a continuación. Agosto 2012 Principales estrategias de gestión de la nube privada Después de considerar brevemente la computación en la nube pública, muchas empresas están optando por

¿Qué es la plataforma de prueba común (CTP)?

Una plataforma de prueba común (CTP), también llamada estándar de prueba abierta (OTS), es un conjunto de especificaciones que definen métodos de prueba para diversos componentes de sistemas informáticos y electrónicos que se comercializarán como

¿Qué es Clonezilla? – Definición de Krypton Solid

¿Qué es Clonezilla? Clonezilla es una aplicación gratuita de clonación de discos de código abierto basada en Debian. Al igual que otras aplicaciones de clonación de discos, Clonezilla copia el contenido de un disco duro

Lista de archivos del sistema SAP que se pueden eliminar

Nuestro sistema de archivos SAP se está llenando porque inicialmente se definió demasiado pequeño. ¿Cuáles son los archivos no obligatorios que … se puede eliminar del sistema SAP? Estamos utilizando HP-UX NetWeaver2004s en una base

Por qué Microsoft quiere que se traslade a Office 365

Con el lanzamiento reciente de Office 365, Microsoft ahora ofrece un servicio de suscripción basado en la nube que incluye acceso a Exchange Online, SharePoint Online, su servicio de colaboración Lync y, en algunos paquetes,

Organismos de estándares de diseño de centros de datos

Varias organizaciones producen normas, mejores prácticas y pautas de diseño de centros de datos. Este glosario le permite realizar un seguimiento de qué organismo produce qué estándares y qué significa cada acrónimo. Imprima o marque

Consideraciones para comprar la herramienta CRM adecuada

Muchas organizaciones buscan el producto de gestión de relaciones con el cliente (CRM) adecuado sobre el cual construir su estrategia de participación del cliente. Las características, la funcionalidad, la entrega de aplicaciones, el soporte y

Las tiendas de Microsoft adoptan Visual Studio Online

Fuente: squadcsplayer / Fotolia Microsoft Visual Studio Online es la versión SaaS basada en la nube de Visual Studio y el servidor básico del equipo de herramientas de administración ALM de Microsoft. Actualmente opera con

¿Qué es Fujitsu Ltd.? – Definición de Krypton Solid

Fujitsu Ltd. es una empresa de tecnología japonesa que se especializa en electrónica industrial y de consumo. Los productos de Fujitsu incluyen servidores, PC, portátiles, centros multimedia, tabletas, hardware de almacenamiento, pantallas, unidades de aire

¿Cómo se comparan las últimas versiones?

El costo, aunque importante, es solo un factor cuando compara Hyper-V con vSphere para ver cuál se adapta mejor a su centro de datos. Microsoft ha logrado avances significativos para cerrar la brecha de características

Deja un comentario