Existen cinco tipos de comportamiento que le pueden ayudar a detectar una infección
Una Amenaza Persistente Avanzada (APT, por sus siglas en inglés) es una forma elegante de decir que una persona u organización ha sido el blanco específico de una entidad maliciosa —generalmente un grupo de atacantes sofisticados y determinados que realizan una campaña de robo de propiedad intelectual y buscan comprometer redes gubernamentales y comerciales.
Anatomía de una operación APT
• Reconoce el blanco. Lo primero en un ataque APT es buscar datos públicos disponibles sobre empleados específicos. Para este fin las redes sociales como LinkedIn, Facebook y los motores de búsqueda tales como Google siempre son los favoritos.
• Intrusión inicial. Con la información recaudada de las redes sociales sobre una persona en específico los atacantes pueden enviar a ese usuario un correo electrónico de Spear Phishing —por ejemplo un mensaje particular que intenta convencer al blanco de abrir un vínculo URL para ganar acceso y divulgar información—. A menudo el correo electrónico utiliza contenido relevante para el blanco; si la víctima se encuentra en el departamento financiero puede dar consejos sobre controles regulatorios.
• Ingresa por la puerta trasera. El próximo paso en una APT típica es instalar algún tipo de herramienta de administración remota (RAT) que permite al atacante controlar la máquina.
• Gana mayor acceso. Al configurar el acceso remoto el atacante empezará a robar nombres de usuario y contraseñas y a buscar cuentas de usuarios con grandes privilegios.
• Realiza exfiltración de datos. El atacante intenta enviar datos comprometidos de forma codificada y comprimida a través de servidores con fachada de regreso. (“Exfiltración” es el término usado para describir el sacar los datos de un lugar, en vez de tratar de infiltrarlo).
• Echa raíces. Por último el atacante instalará más RAT y es posible que mande actualizaciones al malware para mejorar su capacidad de permanecer bajo el radar.
Existen cinco tipos de comportamiento que le pueden ayudar a detectar cuando un dispositivo puede estar infectado con una APT:
1. El malware generalmente tratará de conectarse a anfitriones inexistentes mediante internet. Si experimenta una serie de conexiones fallidas a internet éste puede ser un síntoma de una infección de malware.
2. Un anfitrión que instala una aplicación P2P se puede considerar peligroso para una empresa. Por favor revise las políticas de su compañía relacionadas con aplicaciones autorizadas.
3. Múltiples visitas a sitios de países con mucha piratería es una señal de alto riesgo. Verifique esos sitios con una lista de su compañía para identificar direcciones legítimas.
4. Cuando un dispositivo comienza a escuchar en un puerto para recibir una conexión exterior pero no ha empezado esa conexión esto puede ser una infección APT.
5. Si su dispositivo visita sitios de apuestas, adultos o de malware conocidos al conectarse a internet puede ser un síntoma de una infección APT.
¿Cómo Check Point puede mitigar ataques APT?
Al generar consciencia de la seguridad dentro de la compañía entre empleados nuevos y veteranos se puede evitar la intrusión inicial de APT. La capacitación sobre ataques de spear phishing, por ejemplo, puede ser útil. Una organización debe tener una política de seguridad definida y personalizada hecha a la medida de las necesidades de la compañía. Esto puede ayudar mucho a bloquear el acceso dentro de la organización. La compañía debe tener seguridad en capas profundas y refuerzo de reglas en capas las cuales incluyen tecnologías IPS, firewall y DLP. Si vemos todo lo mencionado esto es exactamente donde entra la seguridad 3D de Check Point.
Check Point Threat Emulation previene las amenazas al vetar los archivos descargados y anexos de correo comunes como PDF y archivos de Microsoft Office. Los archivos sospechosos se abren dentro de la caja de arena del software blade Emulación de Amenazas y se monitorean simultáneamente para el comportamiento inusual del sistema incluyendo cambios anormales en el registro del sistema, las conexiones de red o procesos de sistemas, brindando evaluación del comportamiento del archivo en tiempo real. Si los archivos son maliciosos se bloquean en el gateway. Las firmas nuevas que se descubren se comparten inmediatamente con Check Point ThreatCloud™ y se distribuyen a los gateways suscritos para la protección automática contra el nuevo malware. (Fuente: Check Point)
Revista Protocolo
