Seguridad Informática para Empresas – Servicios de Ciberseguridad

Amenaza Persistente Avanzada (APT) 

Claudia Ardid Valero  // 20 de Diciembre de 2018

R3 CyberSecurity

Una APT o Amenaza Persistente Avanzada es el conjunto de técnicas y procesos informáticos empleados para desarrollar un elaborado ciberataque. 

Este ataque tiene como objetivo infiltrarse en un sistema y mantenerse en él durante un largo periodo de tiempo.  Durante el tiempo que dure el ataque, los atacantes tendrán acceso a la información de la víctima.

Es un tipo de ataque muy dirigido, ya que se diseña expresamente para cada objetivo en concreto. Por ello, en una primera instancia, se realiza un estudio exhaustivo del sistema que será víctima del ataque.

Son amenazas dirigidas y persistentes. Por un lado, la estrategia seguida y el malware generado no es reutilizable para otros ataques.  Por el otro, los atacantes no escatimarán tiempo ni recursos para penetrar en el sistema objetivo.

R3 Cybersecurity

¿Cómo se desarrollan?

1. Reconocimiento

Los atacantes realizan un reconocimiento y recopilación de información inicial de la empresa/organización objetivo. Esta recopilación se puede realizar desde fuentes como Google, Facebook y otras redes sociales.  Con ello, se identifican los individuos de interés, que pueden ser desde miembros de alta dirección hasta asistentes administrativos.  El objetivo es desarrollar un software específico en función de contra quién se vaya a lanzar el ciberataque.

PYME R3 CyberSecurity

2. Intrusión inicial en la red

Los atacantes emplean diversas técnicas para conseguir el acceso a los sistemas e instalar el software malicioso que tienen preparado. Estas técnicas suelen ser relativamente sencillas en un inicio, siendo más rebuscadas a medida que pasa el tiempo.  Algunas de ellas son las siguientes:

Spear Phishing

Dejar un USB olvidado que contenga software malicioso

Documentos ofimáticos con software malicioso embebido

Ingeniería social

Generalmente el objetivo de una APT suele ser un alto directivo de la empresa.  No obstante, los primeros intentos de intrusión se dirigen a empleados sin poder, ya que el acceso es más sencillo.

 

3. Establecimiento de una puerta trasera (backdoor) en la red

Los atacantes tratan de instalar una puerta trasera en los equipos infectados, que les permita tener acceso a dichos equipos.  Con esto, consiguen propagarse por la red e infectar dispositivos tanto principales como secundarios.

El malware empleado para la infección de los otros equipos se actualiza continuamente, asegurando así que no será detectado.

4. Obtener credenciales de usuario

El objetivo en este punto es ir consiguiendo tantas credenciales de usuario legítimas como sea posible. De esta forma se podrá seguir con la expansión del ataque y la obtención de información.

Las primeras credenciales se obtienen de los sistemas localmente comprometidos. Después, se intentan obtener más credenciales, por ejemplo, mediante el acceso a controladores de dominio.

5. Instalación de utilidades

Empleando las credenciales conseguidas, los atacantes instalan distintos programas en los equipos a los que tienen acceso. Los programas instalados tienen distintos objetivos, a modo de ejemplo:

Obtención de buzones de correo

Listar procesos en ejecución

Ejecutar procesos 

Volcar contraseñas

Espiar conexiones, para detectar la ubicación de la información objetivo.

6. Escalada de privilegios / movimiento lateral / extracción de datos

En este punto,los atacantes pueden desplazarse por la red y realizar cualquier acción que estimen oportuna.  Asimismo, suelen generar conexiones seguras al exterior para extraer los datos que quieren sin ser detectados.

 

7. Mantenerla persistencia

Esto significa mantener su posición dentro de la red de la empresa. Para ello, siguen mutando el malware y recopilando contraseñas de los equipos infectados, para almacenar, si se modifican, nuevas contraseñas.

Mecanismos de protección

Se debe tener en cuenta que las APT están diseñadas en función del sistema objetivo. Como consecuencia, es posible que las herramientas que se emplean usualmente no consigan detectar los intentos de intrusión.

Así mismo, no se pueden establecer mecanismos generales que sirvan para todos los escenarios que se puedan plantear. Por eso, cada empresa necesita realizar un análisis de riesgos de sus activos y emprender las acciones necesarias para protegerlos.  Además, deberán mantener estas protecciones actualizadas e ir las modificando en función de los cambios en la tecnología.

Pese a que las APT son difíciles de prevenir, sí que se recomendarían las siguientes acciones:

Mantener el software actualizado.

Utilizar contraseñas seguras, que se cambien regularmente.

Aislar la red de la organización.

Implantar un sistema SOC o un servicio SOCaaS.

 

Realizar autorías técnicas de tipo Pentesting o hacking ético.

Tener un servicio de ciber inteligencia.

Concienciar y formar a los empleados para que no caigan víctimas de la ingeniería social.

Utilizar cualquier herramienta de protección alternativa que consideren necesaria en función de sus sistemas.

Claudia Ardid Valero |  Consultor en Ciberseguridad R3 CyberSecurity

Comparte el post con tus amigos

CON LA CONFIANZA DE

logos2

ÚNETE AL EQUIPO

Conoce todas las oportunidades profesionales que te permitirán alcanzar tus metas personales.

R3 Ciberseguridad

© R3 CyberSecurity