En esta era digital la mejor forma de aprender a defendernos es conocer la forma en que los Hackers trabajan, las herramientas que utilizan y las tácticas que aplican, el NCSC Centro Nacional de Ciberseguridad de Reino Unido, ha publicado recientemente un nuevo documento donde destacan las cinco herramientas de hacking más comunes que están disponibles públicamente.
Así que si has intentado probar tus habilidades de Hacker estas herramientas son ideales para conocer qué elementos y/o aspectos deben tener en cuenta; también servirán mucho para conocer de que forma pueden maximizar la detección y la protección.
Lo interesante de este informe del NCSC es que fue elaborado desde cero. De acuerdo con José de la Cruz, director técnico de Trend Micro este es un síntoma de los tiempos que corren: un recordatorio de cómo el mundo del cibercrimen ha democratizado las herramientas de hacking para su uso generalizado.
Este informe que sirve como guía se realizó en colaboración con especialistas en ciberseguridad de Australia, Canadá, Nueva Zelanda, Reino Unido y Estados Unidos, los países que integran la alianza Five Eyes.
Aquí te compartimos las cinco herramientas que los hackers suelen utilizar para su estrategia de ataque y los tips que debes conocer para protegerte:
Es importante mencionar que el punto de entrada inicial suele estar relacionado con la explotación de vulnerabilidades de software o sistemas mal configurados.
1) Troyanos de acceso remoto (RATs) - JbiFrost
Puede utilizarse para instalar backdoors y key loggers, realizar capturas de pantalla y extraer datos.
¿Cómo me protejo? El parcheo y las actualizaciones al día, en conjunto con un programa antivirus moderno detienen la mayoría de las variantes. Como tip la NSCS dice que las organizaciones deberían poder recopilar detecciones de antivirus de manera centralizada. La conciencia organizacional enfocada en el phishing y las buenas prácticas para evitarlo también es crucial.
2) WebShells - China Copper
Scripts maliciosos que ofrecen capacidades de administración remota.
¿Cómo me protejo? Para detectar los WebShell los administradores de la red deben concentrarse en la detección de la ejecución de cualquier actividad inusual o procesos sospechosos en los servidores web (por ejemplo, los procesos de generación de binarios PHP) o las conexiones de red fuera del patrón de los servidores web.
3) Herramientas de volcado de credenciales - Mimikatz
Roban los registros de usuarios para que un agente pueda moverse internamente a través de una red objetivo.
¿Cómo me protejo? Al ser una herramienta de código abierto, tanto los defensores como los atacantes pueden desarrollar complementos personalizados ya sea de defensa o de ataque.
Una buen tip para empezar es que se deben deshabilitar el almacenamiento de contraseñas de texto sin cifrar en la memoria LSASS. Este es el comportamiento predeterminado para Windows 8.1 / Server 2012 R2 y versiones posteriores, pero se puede especificar en sistemas más antiguos que tienen instalados los parches de seguridad relevantes.
4) Frameworks de movimiento lateral - PowerShell Empire.
Permiten a los atacantes moverse una vez que esté dentro de una red.
¿Cómo me protejo? El tip de NSCS aquí es identificar los scripts potencialmente maliciosos, la actividad de PowerShell debe registrarse de manera integral. Esto debería incluir el registro de bloque de secuencias de comandos y las transcripciones de PowerShell. Así que, una combinación de firma de código de secuencia de comandos, listas blancas de aplicaciones y modo de lenguaje restringido evitarán o limitarán el efecto de PowerShell malintencionado en caso de que la intrusión sea exitosa.
5) Herramientas de ofuscación C2 - HTran.
Ayudan a ocultar la ubicación de los atacantes cuando se compromete a una víctima.
¿Cómo me protejo? Aquí el monitoreo y los firewalls de nueva generación, configurados correctamente también pueden detectar conexiones no autorizadas de herramientas como HTran.
HTran también incluye una condición de depuración que es útil para el equipo de defensa. el caso de que un destino no esté disponible, HTran genera un mensaje de error, este mensaje se transmite al cliente de conexión en claro.
El NCSC señala que los defensores pueden monitorear este mensaje de error para detectar potencialmente instancias de HTran activas en sus entornos.
El objetivo principal de este informe es ayudar a todos los profesionales y administradores de sistemas o TIcon consejos para limitar la efectividad de estas herramientas y poder detectar su uso en una red.
El NCSC tiene recomendaciones específicas para mitigar y protegerse de tales amenazas, pero entre los consejos clave están:
- Mantener al día los parches y actualizaciones de sistemas
- Utilizar “sistemas y software modernos”
- Contar con firewalls y sistemas de monitorización de red
- Segmentar la red forma ágil y eficaz
- Desplegar detección de intrusiones basada en Host
- Implementar soluciones que permitan White-Listing y Black-Listing de aplicaciones
- Utilizar un antivirus de confianza
- Colaboración en materia de seguridad
>>Cómo limitar la efectividad de las herramientas comúnmente utilizadas por los hackers<<
Nuestro equipo trabaja de la mano con el equipo de Trend Micro para introducir las buenas prácticas y emplear herramientas tecnológicas ágiles y eficientes a fin de evitar intrusiones y mitigar impactos, esto apoyados de:
- Antimalware, firewall, inspección de registros, reputación web, monitorización de integridad, IDS/IPS y control de aplicaciones
- Controles de seguridad integrales implementados automáticamente a medida que se activa cada nueva máquina virtual
- Parcheo virtual para mantener las aplicaciones/servidores protegidos contra las amenazas emergentes hasta que un parche esté disponible.
- Compatibilidad con NSX para la seguridad basada en hypervisor, permitiendo la microsegmentación
Todo bajo una arquitectura diseñada para optimizar el rendimiento en entornos virtuales y ofrecer una mejor visibilidad de la TI en la Nube desde una sola consola.
Si quieres conocer cómo debes hacer para limitar la efectividad de las estrategias de ataque y detectar el usos de herramientas en tu red, habla con un consultor experto ahora.