ShadowMove, osquery y el Threat Hunting

En esta publicación se va a abordar una breve introducción al Threat Hunting y algunas herramientas como osquery o PolyLogyx, tomando como objeto de estudio la técnica de movimiento lateral, ShadowMove.

Palabras clave: amenazas cibernéticas, Threat Hunting, osquery, ciberseguridad

Las amenazas cibernéticas y los problemas actuales de la seguridad informática

Existe una definición tradicional sobre que es una amenaza cibernética, la cual se describe como una acción o evento que puede negar, interrumpir, destruir o explotar un entorno habilitado para diferentes dispositivos en una infraestructura de comunicaciones. Estas amenazas tienen consecuencias negativas para las operaciones y recursos de una organización. Se compone por la capacidad y el intento.

Es importante tomarle el pulso a la situación presente, para que se nos permita actuar proactivamente en el diseño de estrategias de seguridad defensiva, así como tener en cuenta que estas amenazas no paran de evolucionar.

En la actualidad, nos encontramos con un nuevo paradigma en las intrusiones observadas en los últimos años. La suma de factores que las componen, es realizada mediante la capacidad, el intento y el conocimiento.

• La capacidad incluye las herramientas y la habilidad de acceso.
• El intento es la motivación.
• El conocimiento es específico, es una habilidad sofisticada para operar dentro de una red o sistema, después de haber obtenido el acceso inicial a una red interna.

Este nuevo paradigma se puede aplicar a las amenazas cibernéticas de más alto nivel, en el que se analizan con especial atención la ventaja del ciberactor y la desventaja del equipo de seguridad.

Por un lado, los ciberactores sólo necesitan tener éxito una vez. Son determinados, habilidosos, persistentes y, a menudo, también son cibercriminales financiados. Disponen de un arsenal de artefactos maliciosos personalizados, con los que realizan ciberataques.

Por otro lado, los equipos técnicos de seguridad informática siempre necesitan más personal, necesitando que los integrantes de estos equipos sean casi expertos multidisciplinares, así como se añade el problema de una insuficiente financiación.

La infraestructura tecnológica aumenta en su complejidad debido a la integración de soluciones de virtualización, teletrabajo, entornos Cloud y el empleo de los propios dispositivos personales para tener que trabajar.

Cabe añadir que la longitud de tiempo en la que un ciberactor se mantiene sin ser descubierto, también conocido como el tiempo de permanencia (en inglés, dwell time), se ha estimado en 24 días. Estos detalles deben tenerse en cuenta, así como los siguientes:

• Tanto dispositivos finales como redes internas siempre tienen un grado de vulnerabilidad tecnológica.
• Las organizaciones tienen dificultades en prevenir que los ciberatacantes obtengan acceso inicial en su infraestructura.
• Algunos cibercriminales emplean técnicas avanzadas para realizar intrusiones en las que pueden mantenerse escondidos durante meses, algunas veces incluso años, antes de ser detectados.

Sin conocer el actual estado del compromiso, tenemos una imagen incompleta para nuestra postura frente a la seguridad informática.

Introducción al Threat Hunting

El Threat Hunting (en español, caza de amenazas) es un enfoque proactivo en la seguridad informática defensiva. Los procesos de TI realizan descubrimientos iterativos a largo de redes, dispositivos y otros elementos estructurales, para detectar y responder a las amenazas que, algunas veces, consiguen evadir las soluciones de seguridad actuales.

Esto es diferente a las medidas de gestión de amenazas habituales como los firewalls, los sistemas IDS, las soluciones sandbox para malware y las plataformas SIEM que típicamente involucran una investigación basada en las evidencias, tras obtener una advertencia sobre una posible amenaza.

Se obtiene una telemetría de investigación mediante operaciones como servicios de monitorización, generación de comparativas entre indicadores de compromiso, rastreo de tickets, perfilados de ciberactores, plataformas para compartir inteligencia sobre amenazas cibernéticas como MISP, así como el análisis y el procesado de nuevas características en malware, cambios en características actuales de los artefactos o eventos de cualquier índole maliciosa.

El alcance y priorización en la cobertura de fuentes de datos, el desarrollo de capacidades de detección o la obtención de visibilidad en tácticas, técnicas y procedimientos (también conocidos como TTPs), son capacidades que pueden desarrollar los equipos técnicos de seguridad para poder realizar una caza de amenazas.

La prevención tecnológica, eventualmente, falla o ya ha fallado sin nuestro conocimiento. Al asumir una mentalidad de “considérate comprometido” se incrementa la comprensión y la visibilidad de posibles activos afectados.

Las capacidades de caza son altamente dependientes de las fuentes de datos. Por lo tanto, tener un entorno en el que se puedan realizar peticiones o consultas hacia la infraestructura tecnológica de las organizaciones mediante herramientas específicas como osquery o PolyLogyx establecen un método para iniciar un análisis de carácter exploratorio.

La plataforma Polylogyx y la tecnología de monitorización de osquery

Mediante la tecnología osquery, la cual constituye un software que permite la instrumentación de los siguientes sistemas operativos, con mayor o menos éxito en la captura de eventos de sistema de S.O. como Windows, OS X, Linux y FreeBSD.

Una correcta implementación de agentes osquery en los dispositivos finales de una infraestructura tecnológica, permite realizar análisis o supervisiones del sistema operativo a bajo nivel, de una forma muy eficaz e intuitiva. Para ello, expone los sistemas operativos como si fueran una base de datos relacional, permitiendo escribir consultas SQL que exploren los datos del S.O. Algunas de las tablas de osquery representan los siguientes conceptos:

• Procesos en ejecución.
• Módulos de kernel cargados.
• Conexiones de red abiertas.
• Eventos en hardware.
• Hashes de archivos.

La plataforma de control y visibilidad para dispositivos endpoint, llamada Polylogyx es una solución sofisticada, flexible y extensible que está muy enfocada hacia agentes de osquery que operan en entornos Windows.

Se puede implementar en la nube o en directamente en una máquina en red, pudiendo realizar servicios de monitorización, detección de amenazas y respuesta ante incidentes.

La plataforma Polylogyx tiene disponible la versión Community y la versión Enterprise, para que se pueda investigar sobre esta tecnología en local o pueda ser desplegada dentro de una infraestructura empresarial.

Sus características emplean el factor principal de la monitorizar información relacionada con flotas de dispositivos que se encuentran en observación constante. Esto permite obtener información, en tiempo real, sobre determinados comportamiento en una red.

Gracias a la adaptación para Windows de Polylogyx, se pueden obtener los sucesivos eventos:

• Acciones en los ficheros (crear, eliminar, timestomp y modificar)
• Operaciones en el Registro (crear y modificar)
• Actividades de los procesos (abrir, crear, terminar, mapear y abrir conexiones/handles)
• Eventos de red (como sockets, peticiones DNS y respuesta, HTTP y credenciales TLS)
• Eventos de medios extraíbles, como un USB.
• Estado de EPP (protección endpoint)
• Creación remota de hilos
• Resultados del escaneo YARA
• Análisis forense de la memoria
• Adquisición de archivos

Habiendo establecido un entorno que tenga desplegadas estas soluciones para poder obtener datos que permitan desarrollar la caza de amenazas, se puede elegir una técnica que se pueda emular para realizar métodos de detección.

Ciertas TTPs, pruebas de concepto o experimentos de red team pueden ser objetivo para un proceso de caza de amenazas, como puede ser la técnica novel de movimiento lateral que ha sido documentada por los investigadores, Amirreza Niakanlahiji, Jinpeng Wei, Rabbi Alam, Qingyang Wang y Bei-Tseng Chu, la cual bautizaron como ShadowMove.

Esta técnica emplea comunicaciones ya establecidas por servicios legítimos, duplicando un socket que esté siendo utilizado por una aplicación de cliente que se esté comunicando con una aplicación de servidor. Tras el abuso de este socket, inyecta paquetes en una sesión TCP, entre cliente y servidor. Finalmente, el servidor maneja los paquetes inyectados y, sin intención, guarda o ejecuta una nueva instancia de ShadowMove.

Esto permite que una amenaza cibernética pueda moverse lateralmente dentro de una red que haya sido comprometida, sin escalar privilegios, ni realizar inyecciones en procesos o recopilar credenciales de cuentas privilegiadas.

Su funcionamiento se realiza mediante diferentes llamadas a la API de Windows, que se observan en el código desarrollado para diferentes pruebas de concepto de ShadowMove y se compila en un ejecutable, el cual un cibercriminal puede armar como artefacto malicioso.

Debido a que ShadowMove se restringe a sí mismo de reusar conexiones establecidas con sistemas vecinos, puede garantizar que los sistemas de detección que generan alertas por conexiones inesperadas no detecten su funcionamiento, ya que no se está generando una nueva conexión. De manera adicional, este tipo de ciberataque también consigue bypassear la fase de autenticación requerida para establecer una nueva conexión.

CONCLUSIÓN

En siguientes publicaciones se realizará un estudio más profundo y detallado sobre una vertiente de ShadowMove, denominada como FTPShadowMove.

Se describirá el desarrollo de sistemas prototipo que fueron establecidos de los investigadores Amirreza Niakanlahiji, Jinpeng Wei, Rabbi Alam, Qingyang Wang y Bei-Tseng Chu. Obtuvieron resultados positivos de funcionamiento bajo la instalación por defecto de FTP y sin requisitos de elevación de privilegios.

A día de hoy, osquery puede ser evadido mediante FTPShadowMove, pero se investigará la posibilidad de generar métodos de detección empleando las herramientas descritas y se publicarán resultados, en pos de mejorar el estado global de la seguridad informática.

Silvia Hernández Sánchez – Cyber Threat Intelligence Technical Analyst en Mnemo

Bibliografía

M-Trends 2021: https://content.fireeye.com/m-trends/rpt-m-trends-2021

ShadowMove: A Stealthy Lateral Movement Strategy: https://www.usenix.org/system/files/sec20summer_niakanlahiji_prepub.pdf

Glosario de Seguridad Cibernética: https://portalcip.org/wp-content/uploads/2019/12/HA-CIP-Glosario-de-Seguridad-Cibern%C3%A9tica-ESP.pdf

PolyLogyx Endpoint Platform – Endpoint Monitoring at scale: https://github.com/polylogyx/platform-docs

Welcome to osquery: https://osquery.readthedocs.io/en/latest/