Análisis de amenazas en ataques dirigidos tipo APT: caso práctico con el método CORAS

En este post vamos a realizar un análisis detallado del modo en que se pueden materializar algunos escenarios  típicos de ataques dirigidos tipo APT.  Esperamos que el ejercicio pueda ser de utilidad para aquellas organizaciones  interesadas en evaluar su grado de vulnerabilidad a este tipo de amenazas,  a quienes invitamos a adaptar o reutilizar el material en la medida que deseen.

Para nuestro análisis usaremos una adaptación de la técnica de modelado de amenazas CORAS que considero muy útil y sencilla de utilizar. El uso de una técnica visual como CORAS permite capturar, de una manera muy eficiente y fácilmente comprensible para un amplio tipo de usuarios, la visión general de cómo diferentes amenazas interaccionan entre sí para materializarse en riesgos concretos. Se trata de una técnica que es muy útil para equipos heterogéneos que intenten identificar vulnerabilidades y amenazas a sus activos de valor. Nuestro análisis no desarrollará sin embargo todos los pasos de la metodología CORAS al completo, sino que se detendrá en el punto de identificación de amenazas y vulnerabilidades. En posteriores artículos desarrollaremos en mayor profundidad esta útil metodología.

El análisis que desarrollamos es aplicable a un amplio abanico de empresas, aunque el escenario de partida para nuestro ejercicio es el de una empresa hipotética que desarrolla productos de alta tecnología que comercializa directamente a través de un portal web a una cartera de clientes registrados. De los clientes se almacena en los sistemas de la empresa, además de los datos básicos personales, los datos de tarjetas de crédito para facilitar los procesos de pago.

En cuanto al ataque sobre el que se centrará nuestro análisis, se trata de una intrusión por parte de atacantes externos a los sistemas de la compañía. El objetivo es infectar el equipo de algún empleado para desde ahí tratar de extenderse a otros sistemas, ocultando al máximo la presencia y tratando de identificar y robar información de valor.

 PASO 1: IDENTIFICAR AQUELLO QUE HAY QUE PROTEGER

El primer paso en cualquier análisis de riesgos es identificar aquello que es de valor y puede verse en peligro. Normalmente a estos elementos de valor se les suele denominar activos y en la metodología CORAS se les representa en forma de bolsa con el símbolo $.

En el caso de nuestra empresa hipotética, es muy probable que los responsables del negocio estuviesen de acuerdo en que los principales activos que podrían de verse afectados por un ataque dirigido tipo APT serían:

  •  Información estratégica de la empresa; por ejemplo, documentación técnica de nuevos productos en desarrollo, planes de márketing, etc…
  •  Bases de datos con las contraseñas y los datos identificativos y financieros de los clientes de la empresa.
  •  Usuarios y contraseñas de acceso a los sistemas corporativos por parte de los empleados; especialmente de los usuarios adminsitradores de sistemas y de bases de datos.
  •  Dinero de la compañía o de los clientes

Otros activos que podrían verse afectados serían:

  • La reputación de la marca y la compañía
  • La ventaja competitiva de la compañía

CORAS_01_ACTIVOS

PASO 2: CUÁLES SON LOS SUCESOS QUE TEMEMOS QUE PUEDAN OCURRIR

Una vez identificados los activos de valor para la organización, el siguiente paso del equipo encargado del análisis es identificar las consecuencias peores que podrían derivarse de una intrusión APT en la organización. En nuestro caso de estudio:

  • El robo de la base de datos de clientes por parte de los hackers.
  • La divulgación y/o venta por Internet de los datos de clientes o sus contraseñas de acceso.
  • El uso por parte de ciberdelincuentas de los datos de acceso robados a los clientes (ej: números de tarjetas de crédito) para realización de compras fraudulentas
  • La venta por parte de los hackers de información confidencial de la compañía a sus competidores (ej: secretos industriales).
  • Robo de otra información de valor, como por ejemplo las claves de banca online usadas por la compañía para efectuar el pago de nóminas a sus empleados. Los delincuentes podrían usar esta información para realizar transferencias fraudulentas.

En los siguientes diagramas se representan estos incidentes, así como los agentes que los llevan a cabo (hackers, la competencia) y los activos que se ven afectados.

En el primer diagrama se muestran las consecuencias del robo de datos de clientes y la realización de fraude contra los mismos. Obsérvese como en este caso se han considerado las posibles consecuencias negativas para la reputación de la marca de la compañía al conocerse el incidente, el quebranto económico sufrido por los clientes (que habrá que reparar) y las posibles sanciones que la compañía tendría que afrontar; por ejemplo, debido a sanciones.

CORAS_02_SUCESOS_01

El siguiente diagrama representa el robo de información confidencial de la compañía y su venta a la competencia, con la consiguiente pérdida de la ventaja competitiva:

CORAS_02_SUCESOS_02

El siguiente diagrama representa el robo de las contraseñas de banca online usadas por el departamento de recursos humanos y su uso por los delincuentes para realizar operaciones fraudulentas:

CORAS_02_SUCESOS_03

PASO 3: ENTENDER CÓMO PUEDEN LLEGAR A PRODUCIRSE LOS SUCESOS

A la hora de analizar qué secuencia de amenazas habrán de materializarse para que puedan llegar a producirse los sucesos no deseados identificados en el paso anterior, podríamos contar en nuestro análisis con expertos externos e internos en cibercrimen, así como con literatura técnica existente sobre el tema y noticias sobre ataques reales sufridos por otras compañías.

Las fases habituales de un ataque sofisticado tipo APT son:

 Estudio preliminar de la víctima y preparación de estrategia

Haciendo uso de información pública sobre la empresa, los atacantes podrán identificar a empleados de la misma que podrán ser elegidos como víctimas a los que dirigir el ataque incial, asicomo otra información que permitirá definir una estrategia de ataque

 Ataque inicial e infiltración

En nuestro caso de estudio, vamos a suponer que los atacantes hacen uso de un programa espía que podrá instalarse en el ordenador de la víctima aprovechando alguna vulnerabilidad “zero day” del software típico, como puede ser el navegador Internet, lectores de archivos pdf, etc… Los hackers incluirán enlaces al programa espía en correos electrónicos fraudulentos dirigidos a algún empleado de la empresa o en redes sociales que se sabe serán usados por empleados de la compañía. En otras ocasiones el programa espía irá camuflado en un adjunto de un correo electrónico.

Para que esta fase tenga la mayor probabilidad de éxito, deben darse las siguientes circunstancias:

  1. El correo electrónico ha de ser creíble por parte de la víctima. Para ello, los hackers harán uso de toda la información preliminar obtenida sobre la empresa y sus empleados; por ejemplo, si se sabe que la víctima ha asistido recientemente a un congreso se puede enviar un correo suplantando la organización del evento y camuflando el programa espía, por ejemplo, en un artículo relacionado con la temática del congreso.
  2. La instalación del programa espía deberá facilitarse explotando alguna vulnerabilidad del software habitual y que aún no haya sido publicada (“zero day”).
  3. El empleado debe tener acceso a Internet desde su puesto de empleado y debe acceder confiado al link o ejecutar el archivo que contiene el programa espía.

Si esta fase de ataque tiene éxito, el resultado será que el ordenador de la víctima habrá quedado infectado. A partir de aquí, el programa espía inicial, establecerá contacto con el centro de control de los atacantes haciendo uso de manera discreta y sigilosa de la conexión de Internet de la víctima.

 Establecimiento de un punto de apoyo

Una vez establecido contacto con el centro de control de los atacantes, éstos tratarán de descargar software adicional para facilitar y ocultar sus actividades posteriores. El modo en que se comunique el programa espía con el centro de control de los hackers podrá ir desde la simple descarga desde Internet de una lista de comandos para ser ejecutados, hasta métodos más sofísticados como la ejecución de una consola remota interactiva. Sin embargo, el éxito del ataque dependerá en gran medida de que la actividad de control sea sigilosa y esté camuflada al máximo en el tráfico legítimo de navegación del empleado.

Sea cual sea el método empleado, en esta fase los hackers habrán establecido una “cabeza de playa”; un punto de apoyo desde el que extender sus actividades. En esta fase el programa espía contiene ya una funcionalidad completa de hacking y es capaz de enviar por Internet los resultados de las actividades ordenadas por los hackers

Consolidación de la instrusión, ocultando la presencia

Los siguientes pasos irán orientados a hacer modificaciones en el ordenador de la víctima para poder oculta al máximo las actividades de los delincuentes y pasar desapercibidos. Para ello, los hackers analizarán toda la información disponible en el equipo de la víctima para poder (si es que no lo habían conseguido ya) ser administradores locales del ordenador.

Exploración y movimiento lateral

En este momento, los hackers comienzan a explorar la red de la empresa, tratando de localizar servidores u ordenadores personales donde se almacene información de interés. Los delicuentes, haciendo uso de técnicas de hacking, tratarán de comprometer las contraseñas de los administradores de bases de datos y especialmente la de los administradores del dominio, lo que les proporcionará la llave de acceso a otras máquinas sobre las que extender su influencia, instalando en ellas otros programas espías para controlarlas. Extendidos así por la red de la empresa, tendrán acceso a ingente información que habrá de ser analizada, como por ejemplo; documentos, correos electrónicos, bases de datos

Obtención y extracción de datos

A medida que los atacantes van obteniendo información de valor, éstos la van consolidando en ficheros comprimidos y cifrados que podrán almacenar temporalmente en alguna máquina comprometida. De modo ideal, los delincuentes usarán los métodos estándar de la compañía (ej: Internet, correo electrónico, ftp) para poder enviar al exterior estos “paquetes de información”.

Borrado de huellas

Idealmente, el ataque debería pasar inadvertido para la víctima. El borrado de huellas sería pues la fase final de este tipo de ataque, pero además los atacantes tratarán de ir borrando las huellas de cada acción durante el transcurso del ataque que podrá llegar a durar meses…

En el siguiente diagrama, pueden verse representadas todas las amenazas que acabamos de describir y las fases de ataque en las que se encuadran. Como puede apreciarse, en la metodología CORAS las amenzas se representan con literales dento de óvalos con la señal de peligro:

CORAS_03_CICLO_APT

PASO 4: OBTENIENDO LA VISIÓN DE CONJUNTO

Podemos ahora resumir toda la información obtenida hasta el momento en nuestro análisis, en el siguiente diagrama. En él podemos ver una panorámica general de cómo intervienen los distintos actores y de cómo las distintas amenazas conforman una red causal que puede terminar propiciando que ocurran los sucesos negativos sobre los activos de la compañía.

CORAS_04_OVERVIEW

PASO 5: IDENTIFICACIÓN DE VULNERABILIDADES

Para el siguiente paso, deberemos contar con la ayuda del personal cualificado del departamento de tecnología y/o expertos de seguridad que forman parte del equipo de análisis. Se trata de identificar todas las vulnerabilidades técnicas y/o circunstancias que favorezcan la materialización de las amenazas identificadas en el paso anterior. Dichas amenazas serán incluidas en el diagrama.

Es muy importante tener en cuenta que hay que identificar y registrar todas las vulnerabilidades potenciales  con independencia de que éstas existan o no en el caso concreto de la empresa que está realizando el análisis. La razón de ello es dar completitud al ejercicio y ayudar a documentar, en fases posteriores, tanto los controles que será necesario implantar como aquellos ya implantados con anterioridad al análisis.

Volviendo al caso de nuestra hipotética empresa, las principales vulnerabilidades identificadas son:

  • La confianza del empleado al que se dirige el ataque inicial y que facilita que ejecute el programa espía: Hay que considerar que es muy difícil eliminar esta vulnerabilidad, especialmente si los atacantes son expertos en el uso de la ingeniería social. Incluso un empleado experto en seguridad puede ser víctima de un engaño si este está bien urdido. No olvidemos que los APT son ataques perpetrados por expertos cualificados que diseñan una estrategia de intrusión a la medida de la víctima.
  • Los permisos de navegación o de uso del correo electrónico y los sistemas del empleado al que se dirige el ataque, ya que es por esta vía por la que los atacantes son capaces de llegar a la víctima: Esta es otra vulnerabilidad que es muy difícil de evitar ya que obedece no a un descuido o error, sino a una decisión justificada por las necesidades de trabajo del empleado. Sería muy poco realista y práctico plantear como solución al problema del APT el que ningún empleado tenga acceso a Internet o al uso del correo electrónico.
  • Controles antivirus y parcheo del sistema deficientes: Como hemos mencionado, en realidad, un ataque APT bien dirigido hace uso de vulnerabilidades de tipo “zero day”, para las cuales no hay protección aun cuando el sistema tenga los últimos parches de seguridad (de aplicación o sistema) aplicados; por otro lado, los programas espía que se diseñan para la intrusión están diseñados para “esquivar” los sistemas antivirus…
  • Deficiente configuración de seguridad. Unas buenas prácticas de configuración de seguridad de los equipos puede ayudar a contener una intrusión; por ejemplo, si el usuario del ordenador tiene permisos limitados en el sistema, entonces la instalación del software espía puede verse dificultada.
  • Deficiente monitorización de seguridad: La monitorización de seguridad es un control detectivo fundamental; por ejemplo, si cada vez que se instala software no inventariado como “oficial” en un equipo salta una alerta, esto puede ayudar a abortar de manera temprana un ataque, del mismo modo que la monitorización activa de las actividades de usuario como por ejemplo los intentos de acceso fallidos a otros servidores o equipos de la red.
  • Débil segmentación de red: Una red interna bien segmentada es una barrera de contención muy eficaz para prevenir o al menos dificultar la propagación de infecciones; de esta manera, el software espía no tendrá ocasión de propagarse a otros sistemas en segmentos de la red a los que el empleado víctima no tenga acceso. Lamentablemente, si el ataque está bien organizado, los hackers habrán seleccionado a un empleado víctima que tenga acceso a sistemas e información valiosa.
  • Política de Contraseñas frágil: Esta vulnerabilidad facilita enormemente la tarea de los atacantes a la hora de crackear las contraseñas de usuario de los que tengan conocimiento.
  • Datos no cifrados: En caso de acceso no autorizado, el cifrado la información sensible puede dificultar seriamente el éxito del ataque (especialmente si se usan técnicas criptográficas robustas).

A continuación se muestran estas vulnerabilidades incluidas en el diagrama en el contexto de las amenazas para las cuales son relevantes (en metodología CORAS las vulnerabilidades se representan con el símbolo de un candado abierto).

CORAS_04_VULNERAB

 

PASO 6: EVALUACIÓN DEL GRADO DE VULNERABILIDAD

Llegado a este punto, los miembros del equipo de análisis deberán valorar en qué medida estas vulnerabilidades están controladas en su organización. Ello implica identificar los controles de seguridad implantados (por ejemplo, si las bases de datos sensibles están cifradas o si los sistemas tienen configurada una política de contraseñas fuerte) y valorar su eficacia. Esta revisión dará una idea del grado de vulnerabilidad presente y de la facilidad con que las diferentes amenazas se podrían materializar. Esta valoración será el punto de partida para fases posteriores en las que se identificarán posibles medidas adicionales para reducir el grado de vulnerabilidad.

EPÍLOGO

Cerramos aquí este artículo  habiendo cubierto las fases necesarias para una evaluación de las amenazas y vulnerabilidades. Describir las fases posteriores de gestión del riesgo, así como la valoración de riesgos con la metodología CORAS queda fuera del alcance de este post y es algo que esperamos tratar en futuras entregas. Hasta entonces un fuerte abrazo.

 

Deja un comentario