¿Qué es una amenaza persistente avanzada (APT)?
Una amenaza persistente avanzada (APT) es un ataque que alcanza una posición no autorizada con el fin de ejecutar un ataque prolongado y continuo durante un largo periodo de tiempo. Aunque en comparación con otros tipos de ataques malintencionados no son frecuentes, las APT deben considerarse una amenaza grave y costosa. De hecho, según el 13.º informe «Annual Worldwide Infrastructure Security Report» para Arbor de NETSCOUT, solo el 16 % de las organizaciones empresariales, educativas o de la administración pública experimentaron estas amenazas en 2017, pero el 57 % de estas las consideran una de las principales preocupaciones en 2018.
La mayoría de los programas maliciosos ejecutan un ataque dañino y rápido, pero las APT adoptan un enfoque diferente, más estratégico y sigiloso. Los atacantes acceden a través de programas maliciosos tradicionales, como los troyanos o la suplantación de identidad, pero luego borran su rastro según se desplazan en secreto y colocan su software de ataque en toda la red. A medida que se afianzan, pueden lograr su objetivo durante un periodo de meses o incluso años. Este objetivo casi siempre es extraer datos de forma continua y persistente.

Proteja su centro de datos con un cortafuegos interno diseñado expresamente para ello

Persecución avanzada de amenazas y respuesta a incidentes con Enterprise EDR
Las amenazas persistentes avanzadas siempre aplican una secuencia de ataque
Los atacantes que ejecutan APT utilizan un enfoque de ataque secuencial un tanto estándar para lograr sus objetivos. Le mostramos un breve resumen de los pasos característicos que suelen seguir:
- Desarrollar una estrategia específica. Los atacantes de APT siempre tienen un objetivo específico en mente cuando atacan, por lo general, se trata de robar datos.
- Obtener acceso. Los ataques suelen iniciarse mediante técnicas de ingeniería social que identifican los objetivos vulnerables. Los correos electrónicos de suplantación de identidad o los programas maliciosos de sitios web habituales se utilizan para obtener acceso a las credenciales y a la red. Por lo general, los atacantes intentan imponer su mando y control una vez en la red.
- Establecer una posición y sondear. Una vez establecida su presencia en la red, los atacantes se desplazan lateral y libremente por el entorno, explorando y planificando la mejor estrategia de ataque para obtener los datos deseados.
- Preparar el ataque. El siguiente paso es preparar los datos objetivo para robarlos, centralizándolos, cifrándolos y comprimiéndolos.
- Capturar los datos. Llegados a este punto, resulta fácil robar los datos y trasladarlos por todo el mundo de forma sigilosa, normalmente sin previo aviso.
- Persistir hasta la detección. Este proceso se repite durante largos periodos de tiempo a través del bastión oculto de los atacantes hasta que finalmente se les detecta.
Indicios de una APT en un entorno empresarial
Dado que las APT casi siempre tienen la finalidad de robar datos, los atacantes dejan indicios de su actividad maliciosa. Estos son algunos de los más reveladores, según CSO:
- Aumento de los inicios de sesión en horas inusuales, como a altas horas de la noche
- Detección de programas troyanos de puerta trasera
- Grandes flujos inexplicables de datos
- Paquetes inesperados de datos agregados
- Detección de herramientas de piratería informática «pass-the-hash»
- Campañas de suplantación de identidad focalizadas que usan archivos PDF de Adobe Acrobat
Algunos expertos en seguridad ofrecieron más información durante una reciente serie de seminarios web sobre persecución de amenazas en la que se trataba sobre qué se debe buscar para detectar actividades maliciosas a fin de alertar a las empresas sobre los ataques de APT.
A sugerencia de estos expertos, deben buscarse shells de comandos (WMI, CMD y PowerShell) que establezcan conexiones de red o bien herramientas de administración remota de red o servidores en sistemas que no requieran administradores. También sugirieron buscar documentos de Microsoft Office o Flash o bien incidencias de Java que invoquen nuevos procesos o generen shells de comandos.
Otra pista es cualquier diferencia en el comportamiento normal de las cuentas de administrador. La creación de nuevas cuentas localmente o la presencia de procesos de Windows o de dominios de una empresa (como LSASS, SvcHost o csrss) con elementos principales extraños también puede ser una prueba de que hay una APT en el entorno.
«El 57 % de las organizaciones empresariales, educativas y de la administración pública consideran que las APT son una de las principales preocupaciones de seguridad».
Panorama del sector: visión de los expertos sobre un ataque de APT
Como ejemplo de una APT bien ejecutada, a continuación describimos brevemente la APT10, una campaña que posiblemente empezara ya en 2009. La APT10, que quizá sea una de las amenazas a la ciberseguridad más prolongada de la historia, atacó hace poco a algunas empresas a través de proveedores de servicios gestionados en múltiples sectores de muchos países, así como a algunas empresas japonesas, y causó una cantidad desconocida de daños a través del robo de grandes volúmenes de datos.
Estos ataques, que estaban activos desde finales de 2016, los descubrieron PwC UK y BAE Systems. En «Operation Cloud Hopper», un informe conjunto sobre esta campaña, estas organizaciones admiten que es posible que nunca se llegue a saber el alcance total de los daños causados por la APT10.
Los siguientes son algunos aspectos destacados de lo que estas organizaciones aprendieron sobre la APT10, extraídos del informe:
- Lo más probable es que la campaña estuviera organizada por un atacante establecido en China.
- Se inició en 2009, o antes, y utiliza varios tipos de programas maliciosos para obtener un acceso sin precedentes a lo largo del tiempo.
- Los atacantes de la APT10 transforman continuamente sus métodos de ataque utilizando herramientas avanzadas de nuevo desarrollo que ayudan a aumentar la escala y las funciones de los ataques.
- Como la mayoría de los ataques de APT, la APT10 busca la propiedad intelectual y los datos confidenciales.
- PwC UK y BAE creen que el atacante tiene un personal y un conjunto de recursos que aumentan a un ritmo considerable, y que posiblemente cuenta con varios equipos de atacantes altamente cualificados trabajando sin descanso.
Cómo detectar una APT: perseguir amenazas para encontrar rastros
A medida que se descubren más APT, a las organizaciones de seguridad cada vez se les da mejor descubrir estas sigilosas amenazas. Uno de los aspectos en constante cambio es la persecución de amenazas, que combina tecnología innovadora e inteligencia humana en un enfoque proactivo e iterativo que identifica ataques que a la seguridad estándar de los terminales se le escapan.
De media, se tardan 150 días en detectar una vulneración. Sin embargo, con la persecución de amenazas, las organizaciones pueden detectar ataques como las APT en fases más tempranas de la secuencia de ataque, gracias a la observación de datos históricos y sin filtrar de terminales para encontrar comportamientos inusuales y relaciones entre actividades anómalas.
Un buscador de amenazas inicia la persecución con un conjunto de herramientas tecnológicas innovadoras, inteligencia para la detección de amenazas y conocimientos humanos. Después, perfecciona el proceso de persecución mediante búsquedas iterativas que permiten descubrir las causas principales. A continuación, responde a las amenazas desactivándolas y utiliza la información y la inteligencia obtenidas para proteger el entorno en adelante.
- Para empezar, un buscador de amenazas puede utilizar las características conocidas de una amenaza concreta, junto con conocimientos humanos sobre posibles secuencias de ataque. El buscador puede iniciar una serie de búsquedas iterativas con herramientas que buscan en los entornos a la vez que supervisan, registran y almacenan toda la actividad de los terminales.
- Por ejemplo, PwC UK y BAE Systems descubrieron que los atacantes utilizaban archivos de Excel maliciosos que se distribuían a través de campañas de correo electrónico de suplantación de identidad a través de Outlook. Los investigadores también descubrieron que, al abrir esos archivos, se colocaban en una carpeta temporal nuevos archivos que actuaban como agentes de escucha de mando y control (C2) y que después salían por el puerto 8080.
- Una búsqueda inicial puede devolver un gran volumen de datos, por lo que un buscador de amenazas suele necesitar delimitar una búsqueda. En el caso de una APT10, un criterio de búsqueda podrían ser las máquinas de recursos humanos, ya que contienen datos esenciales y confidenciales. A continuación, utilizando información de inteligencia conocida, el buscador de amenazas puede indagar aún más buscando archivos de Excel que hayan llegado como archivos adjuntos de correo electrónico en Outlook. El siguiente criterio lógico de búsqueda sería una conexión de mando y control, que podría detectarse buscando conexiones de red con más de una conexión.
- Esta búsqueda generaría un conjunto de datos más pequeño que, a continuación, se podría ver como un árbol de análisis de procesos que desvelaría el archivo temporal malicioso. Una vez identificado, se podría trazar la actividad del archivo para ver si este ha intentado crear una conexión de red a través del puerto 8080.
- Esta secuencia de actividades confirma que hubo un ataque de APT10 activo en este entorno. Mediante la persecución de amenazas y las herramientas antivirus avanzadas de nueva generación, el ataque se puede aislar en el ordenador host para eliminarlo de la red. Otra opción es prohibir el valor de hash para que no se pueda ejecutar.
- La última actividad del buscador de amenazas es proteger el entorno ante futuros ataques. La forma de hacerlo es generalizar y ampliar la secuencia de consultas descrita más arriba para crear una lista de seguimiento. La herramienta de seguridad identifica dichas actividades y envía alertas automáticas por correo electrónico para que se puedan tomar medidas correctivas inmediatamente.
Productos y soluciones relacionados
NSX Sandbox
Efectúe análisis completos de los programas maliciosos.
NSX Network Detection and Response
Utilice la detección y respuesta de red (NDR) con tecnología de inteligencia artificial.
NSX Distributed Firewall
Proteja su centro de datos con un cortafuegos de pila completa.