M O D E L O S C O L A B O R AT I V O S

Ciberamenazas emergentes:
a qu nos enfrentamos y cmo
las combatimos
En los ltimos aos las bandas del cibercrimen han evolucionado en la forma de robar
informacin. Cada vez ms, estas organizaciones se estn industrializando y profesionalizando, evolucionando junto con el mundo real, y del mismo modo que las organizaciones y
sus mecanismos de proteccin cambian, tambin lo hacen las ciberamenazas que afectan
a los usuarios de Internet. A causa del dinamismo que estas amenazas estn adoptando,
las herramientas de proteccin clsicas pierden, da a da, la capacidad de proteger al
completo a las organizaciones frente a ataques
producidos desde Internet. Por este motivo, es necesario evolucionar, una vez ms, los mecanismos
de seguridad hacia modelos colaborativos que
permitan compartir informacin de inteligencia.
Vctor Acin Sanz / Ramn Vicens Lillo
Las bandas organizadas de cibercrimen estn
formadas por criminales que siguen las leyes de la
oferta y la demanda, como cualquier industria. As,
por la misma razn por la que se pueden encontrar mercados negros y formas ilcitas de ganar o
gestionar dinero en el mundo real, se puede encontrar lo mismo en el ciberespacio. Estos mercados
negros operan utilizando tcnicas parecidas a las
que se encuentran en el mundo real, teniendo como
objetivos el rendimiento y el beneficio, alimentando
toda una cadena de cibercriminalidad y explotando
las ventajas que proporciona Internet en cuanto a
anonimato y comunicaciones.
Dentro de las muchas posibilidades que ofrecen estos mercados negros, es posible comprar
exploits, software malicioso (malware) y ran
somware, kits de phishing que nicamente hay
que instalar en un servidor, sin necesidad de llevar
a cabo configuraciones complicadas, y software
en general que permiten o facilitan a un atacante
llevar a cabo sus acciones sin la necesidad de tener
conocimientos extensos de seguridad, facilitando
la tarea a los criminales de engaar y robar a los
usuarios de Internet, llegando a lucrarse enormemente, vendiendo los datos robados a travs de
foros, tiendas en lnea, y servicios de transacciones
como bitcoins u otros servicios.
Proceso de ataque: Kill Chain
Una de las amenazas ms peligrosas que se
pueden encontrar hoy en da en Internet son las
botnets, las cuales se construyen a travs de un
proceso comnmente conocido como Kill Chain
(ver Figura 1).
Las primeras fases de este proceso se puede
agrupar en pre-ataque (Reconnaissance y Weaponi
zation), durante el cual los atacantes obtienen la
informacin y software necesarios (exploit kits, phi
shing kits, cuentas de correo-e...) para llevar a cabo el
ataque. Seguidamente, se produce dicho ataque (Lure,
Redirection and Exploitation e Infection) en el cual el
usuario es vctima de una campaa de distribucin
90

de correos con el objetivo de infectarlo mediante un

software malicioso que ser el encargado de recibir
las rdenes del centro de control (C&C Command
and Control). Desde este mismo instante, el equipo
afectado forma parte de una red de ordenadores infectados (o bots ) por el mismo software malicioso. En la
arquitectura clsica de dichas redes, cada bot puede
recibir instrucciones operativas, disponiendo as de
una red de ordenadores con un control centralizado
y operado por las redes del cibercrimen para llevar a
cabo multitud de ataques como robo de informacin,
ejecucin de transacciones bancarias, ataques distri-

principales afectados son las empresas del sector

financiero.
Algunas de las funcionalidades ms tpicas que
se pueden encontrar en cualquiera de los bots de
estas botnets son el robo de cookies, certificados,
y combinaciones de usuario y contrasea utilizando
mecanismos como: keyloggers, capturas de pantalla, capturas de peticiones HTTP/HTTPS mediante
ataques de Man-in-the-Middle, o ataques de Manin-the-Browser. Esta ltima tcnica se caracteriza
por realizar el ataque directamente al navegador del
usuario mediante WebInjects o proxies HTTP/Socks
interceptando de este modo las comunicaciones
entre cliente y servidor.
Una caracterstica notable de este tipo de
malware es el uso de una tcnica conocida como
DGA o Domain Generation Algorithm, basada en
cambiar el dominio del servidor C&C de forma dinmica, utilizando dominios generados de forma
pseudoaleatoria, para evitar que los bloqueos de las
compaas y los ISP impidan las comunicaciones
entre los bots y el servidor de C&C. Comprender
estos algoritmos se ha convertido en una pieza clave para poder contener este tipo de botnets ms
avanzadas como Zeus P2P, Dyre u otros.
Otro tipo de botnets especialmente peligrosas
por el tipo de datos que recopilan son las llamadas
PoS, las cuales tienen como objetivo infectar este
tipo de sistemas y buscar software instalado tpicamente en ellos, como los drivers de comunicacin
con un TPV (Terminal Punto de Venta), pudiendo
de esta forma buscar los datos de las tarjetas de
crdito de clientes y usuarios del host infectado.
Una vez recuperados dichos datos, se mandan a
un servidor en el cual se almacenan principalmente
tarjetas de crdito para venderlas posteriormente.
Las empresas de venta directa a clientes, como las

Figura 1

buidos de denegacin de servicio, minera de bitcoins

o incluso la carga de otro software malicioso.
Para llevar a cabo cada uno de los ataques anteriormente enumerados, se utilizan, segn objetivo,
diferentes tipos de software malicioso, comnmente conocidos como caballos de Troya bancarios,
malware de terminal de punto de venta (PoS Point
of Sale), malware de robo de credenciales, RATs
(Remote Access Toolkits), DDoS, etc.
Los tipos de botnets ms comunes de robo
de informacin
Las botnets basadas en caballos de Troya
bancarios son aquellas que se especializan en robar las credenciales bancarias de los usuarios o
incluso llegar a realizar transacciones bancarias de
forma transparente para el usuario, por lo que los

grandes superficies, suelen ser las ms afectadas

por este tipo de botnet, ya que, tras observar el
modus operandi de las bandas del cibercrimen, se
ha visto que en la actualidad aprovechan vulnerabilidades sencillas como contraseas por defecto
y vulnerabilidades de actualizacin de software, las
cuales permiten a los atacantes, penetrar en redes
de TPVs y poder de este modo infectarlos.
Uno de los tipos de botnets ms extendidos en
la actualidad son las que se caracterizan por robar
credenciales de los hosts infectados, utilizando
tcnicas como keylogging, capturas de pantalla e
interceptacin de comunicaciones, pero adems,
tambin roban informacin de las contraseas
guardadas en los distintos exploradores del equipo (Chrome, Firefox, IExplorer...) y de software en
particular, como clientes FTP, SSH o Telnet. Este
tipo de botnets son, con diferencia, de las ms
ABRIL 2015 / N114 /

SiC

M O D E L O S C O L A B O R AT I V O S

donde los expertos en seguridad

de las distintas compaas y CERTs
pueden compartir inteligencia de
los diferentes tipos de ataques,
campaas activas, reputacin de
IP/Dominio y recursos afectados
que afecten a sus respectivas
organizaciones. Utilizando toda
esta informacin, dichos expertos podrn evitar ataques que se
encuentren en las primeras fases
de la kill chain y prevenir fugas de
informacin de los que se encuentren en los ltimos estados.
Debido a la mejora e incremento de ataques que sufren
las organizaciones hoy en da, la
seguridad tradicional ya no puede
proteger de forma efectiva a una
organizacin, por lo que existe
una necesidad cada vez mayor de
poder llevar a cabo correlaciones
entre los datos de la propia com-

peligrosas para la mayora de organizaciones del

sector financiero, consumo, infraestructuras, energticas, etc., ya que roban credenciales de manera
indiscriminada sin aplicar ninguna clase de filtrado
o seleccin de datos a robar. Un host infectado en
una compaa puede permitir a un atacante acceder a la red interna o a aplicaciones de la misma,
comprometiendo informacin confidencial, pudiendo realizar ataques de denegacin de servicio
contra la organizacin desde su interior, o daando
la imagen corporativa.
Del mismo modo que con los dos casos anteriores, todas las credenciales robadas se mandan
a un servidor remoto, donde se almacenan para
posteriormente venderlas en foros, chats y mercados negros.
Cmo combatir estos ataques?
El mejor modo de combatir este tipo de amenazas o ataques es mediante herramientas de inteligencia, Threat Intelligence Platforms (TIP)[2], las
cuales permiten a las organizaciones agrupar informacin de estas actividades ilcitas, para permitir
que stas puedan prevenir ataques y, en el caso
de que este se haya llegado a producir, mitigar los
daos sufridos y prevenir que vuelva a ocurrir.
A diferencia de otras herramientas TIP, la desarollada por Blueliv genera su propia inteligencia
para prevenir y correlacionar datos relacionados
con ataques, ya que, tal y como se ha explicado anteriormente, todas las clases de botnets tienen un
factor clave en comn: deben comunicarse con un
servidor C&C para recibir rdenes y almacenar los
datos robados, ya sean datos bancarios, tarjetas de
crdito o credenciales, y ste es su punto dbil.
Toda esta informacin de servidores C&C y de
almacenamiento de datos se encuentra dentro de
los propios bots o, en su defecto, en la configuraciones que reciben. Dichas configuraciones pueden
ser extradas utilizando una sandbox de anlisis automatizado con un post-procesado inteligente de
cada una de las muestras y sus respectivas configuraciones, pudiendo de este modo proporcionar
informacin dirigida a cada organizacin para que
pueda tomar medidas respecto a estas posibles
amenazas como, por ejemplo, evitando cualquier
tipo de comunicacin hacia estas IPs. El proceso
de extraccin de las mismas se efecta tal y como
se muestra en la Figura 2.
En primer lugar, una muestra de cualquiera de
nuestras mltiples fuentes de informacin llega al
sistema de anlisis. Utilizando la sandbox para anlisis de malware, se lleva a cabo un anlisis esttico
y dinmico de la muestra. Con la ayuda de un sistema de clasificacin de malware basado en YARA[2],
la muestra se clasifica automticamente y pasa a
manos del software de extraccin de informacin.
Este software utiliza la informacin generada por el informe para extraer la informacin que
posteriormente se sirve a los usuarios del servicio;
como las distintas IPs de los servidores a los que
se conecta la muestra de malware, los archivos
modificados o creados por la muestra u otra informacin relevante que depende del tipo de muestra
analizada. Una vez se ha obtenido esta informacin, se proporciona un formato con el que los
usuarios puedan tratar con facilidad, para poder
92

Figura 2

Figura 3

integrarlo en el SIEM empelado (Splunk, ArcSight,

Alien Vault...).
Modelos colaborativos en la lucha contra el
cibercrimen
Desde Blueliv se ha decidido liberar la informacin de forma gratuita, sobre estos servidores
a los que se conectan las muestras de malware,
que puede ser recogida mediante el uso de la API
pblica gratuita y representada en el mapa de la
Figura 3[3].
Esta API proporciona informacin sobre los
servidores maliciosos, como por ejemplo la IP,
la localizacin geogrfica del servidor, cundo se
vio el servidor por primera vez, el tipo ataque, o
el nombre del host en el que se encuentra. Toda
esta informacin puede ser utilizada por las organizaciones para mejorar sus polticas de seguridad,
prevenir ataques o para proporcionar informacin
adicional a sus equipos de respuesta ante incidentes, pudiendo de esta manera obtener inteligencia
relacionada con ataques externos y correlacionarla
con la propia informacin y registros internos.
El objetivo principal es proporcionar un modelo
colaborativo para la lucha contra el cibercrimen,

paa y los datos proporcionados por plataformas

de inteligencia sobre ciberamenazas. Y, cada vez
con ms frecuencia, ser necesaria la colaboracin entre dichos expertos, ya que solo a travs
de entornos colaborativos de inteligencia, se puede combatir el dinamismo los ataques cometidos
a travs de Internet.

Vctor Acin Sanz

Analista de Threat Intelligence
victor.acin@blueliv.com

Ramn Vicens Lillo

VP de Threat Intelligence
ramon.vicens@blueliv.com
BLUELIV

Referencias
[1]

Gartner Technology Overview for Threat

Intelligence Platforms, diciembre 2014.
Gartner Market Guide for Security Threat
Intelligence Services, octubre 2014.

[2]

YARA project. http://plusvic.github.io/yara/

[3]

Blueliv Cyber Threat Map.

https://map.blueliv.com

ABRIL 2015 / N114 /

SiC