Esta semana en ciberseguridad – Agosto, Semana 1

Investigadores logran ocultar malware en una red neuronal

Una prueba de concepto muestra cómo unos investigadores han logrado insertar malware en los nodos de una red neuronal sin afectar al rendimiento del modelo.
Un estudio presentado por los investigadores Zhi Wang, Chaoge Liu, y Xiang Cui han mostrado cómo esta técnica permite incluir malware en una arquitectura como AlexNet. Dicha arquitectura, una red neuronal convolucional (CNN), se compone de millones de parámetros y múltiples capas de neuronas, incluyendo capas «ocultas» totalmente conectadas. El estudio concluye que modificar algunas neuronas no tiene un gran impacto en la precisión del modelo.
Utilizando muestras reales de malware, las pruebas afirman que un modelo de AlexNet con normalización por lotes o «batch normalization» puede incluir hasta 36.9MB de malware en un fichero de modelo de 178MB, perdiendo menos del 1% de la precisión del modelo, pasando inadvertido por el usuario que lo implemente. Esto hace además que sea indetectable por motores de antivirus, aunque esto se debe también al factor de que no hay analistas que hayan desarrollado un framework de detección para este tipo de modelos.

Añadiendo el malware a la red neuronal
El algoritmo desarrollado por los investigadores para incrustar el malware se basa en leer 3 bytes del mismo cada vez y convertirlos en números flotantes válidos con formato big-endian tras añadir los prefijos adecuados a los bytes. Estos números se convierten en tensores antes de ser incrustados en el modelo. Dado un modelo de red neuronal y una capa, se modifican las neuronas secuencialmente reemplazando los pesos o «weights» y el sesgo o «bias» en cada una. Se utilizan los pesos de cada neurona para almacenar los bytes de malware convertidos y el sesgo para almacenar la longitud y el hash del malware.

En el proceso inverso, para verificar la integridad del malware, el receptor necesita extraer los parámetros de la neurona en cada capa, convertir los parámetros a números flotantes, luego a bytes en formato big-endian y eliminar los prefijos de los bytes para obtener el flujo de bytes binario. Con la longitud almacenada en el «bias» de la primera neurona se puede ensamblar de nuevo el malware. Este proceso de extracción se puede verificar comparando el hash del malware con el hash almacenado en el «bias».

Escenarios de ataque
La presentación de esta técnica no supone un gran riesgo actualmente, dado que se trata más de un ejercicio de esteganografía que de un escenario real que puedan aprovechar los actores maliciosos. En el momento en el que el malware es ensamblado y ejecutado puede seguir siendo detectado mediante técnicas tradicionales como el análisis estático o dinámico. No obstante, hay que considerar que las redes neuronales también pueden llegar a ser maliciosas. Probablemente en un futuro, con la adopción generalizada de modelos de «machine learning» en el desarrollo de aplicaciones, aparezcan nuevos vectores de ataque que empleen este tipo de técnicas.

FUENTES: (1) https://unaaldia.hispasec.com/2021/07/investigadores-logran-ocultar-malware-en-una-red-neuronal.html (2) https://arxiv.org/pdf/2107.08590.pdf

El nuevo grupo de piratería APT pone foco en servidores Microsoft IIS con exploits ASP.NET

Un nuevo actor altamente capaz en el mundo de las amenazas persistentes a tomado como foco a las principales entidades públicas y privadas de alto perfil en los EE. UU. como parte de una serie de ataques de intrusión dirigidos mediante la explotación de Internet frente a los servidores de Microsoft Internet Information Services (IIS) para infiltrarse en sus redes.

La firma israelí de ciberseguridad Sygnia, que identificó la campaña, está rastreando al avanzado y sigiloso adversario bajo el sobrenombre de “Praying Mantis” o “TG2021“.

“TG2021 utiliza un framework de malware personalizado, construido alrededor de un núcleo común, hecho a medida para los servidores IIS. El conjunto de herramientas es completamente volátil, se carga de manera reflectante en la memoria de una máquina afectada y deja poco o ningún rastro en los objetivos infectados”

“TG2021 también utiliza “stealthy backdoor” adicional y varios módulos posteriores a la explotación para realizar el reconocimiento de la red, elevar los privilegios y moverse lateralmente dentro de las redes”

Los Investigadores de la firma Israelí

Además de exhibir capacidades que muestran un esfuerzo significativo para evitar la detección interfiriendo activamente con los mecanismos de registro y evadiendo con éxito los sistemas comerciales de detección y respuesta de puntos finales (EDR), se sabe que TG2021 aprovecha un arsenal de exploits de aplicaciones web ASP.NET para obtener una ventaja, punto de apoyo inicial y puerta trasera de los servidores mediante la ejecución de un implante sofisticado llamado “NodeIISWeb” que está diseñado para cargar archivos DLL personalizados, así como para interceptar y manejar las solicitudes HTTP recibidas por el servidor.
Las vulnerabilidades que aprovecha el actor incluyen:

  • Checkbox Survey RCE Exploit (CVE-2021-27852)
  • VIEWSTATE Deserialization Exploit
  • Altserialization Insecure Deserialization
  • Telerik-UI Exploit (CVE-2019-18935 y CVE-2017-11317)

Curiosamente, la investigación de Sygnia sobre Las tácticas, técnicas y procedimientos (TTP) de TG2021 han descubierto “superposiciones importantes” con una táctica llamada “Compromisos de copiar y pegar”, como se detalla en un aviso publicado por el Centro Australiano de Seguridad Cibernética (ACSC) en junio de 2020., dirigida a la infraestructura de cara al público, principalmente a través del uso de fallas en la interfaz de usuario de Telerik que no estaban parchados.y los servidores IIS. Sin embargo, aún no se ha realizado una atribución formal.

“Praying Mantis, es un ejemplo de una tendencia creciente de ciberdelincuentes que utilizan métodos de ataque sofisticados de estado-nación para atacar organizaciones comerciales”

Los Investigadores de Sygnia

Las actividades forenses continuas y la respuesta oportuna a incidentes son esenciales para identificar y defender eficazmente de los ataques de este tipos de actores.

FUENTES: https://thehackernews.com/2021/08/new-apt-hacking-group-targets-microsoft.html

Seis Scrips maliciosos del Shell de Linux usados para eludir defensas y como pararlos.

Uptycs Threat Research describe cómo se utilizan los scripts maliciosos del shell de Linux para ocultar los ataques y cómo los defensores pueden detectarlos y mitigarlos.

Las técnicas de evasión utilizadas por los atacantes son antiguas, cuando se usaba base64 y otros esquemas de codificación comunes. Hoy en día, los atacantes están adoptando nuevas tácticas y técnicas de scripting de shell de Linux para deshabilitar firewalls, monitorear agentes y modificar listas de control de acceso (ACL).

En este articulo se cubrirán técnicas de scripting de shell evasivas comunes como:

  • Desinstalación de agentes de monitoreo
  • Deshabilitación de cortafuegos e interrupciones
  • Deshabilitación de módulos de seguridad de Linux (LSM)
  • Modificación de ACL
  • Cambio de atributos
  • Cambio de nombres de utilidades comunes.

Técnica 1: Desinstalación de agentes de monitoreo
Los agentes de monitoreo son los componentes de software que monitorean regularmente las actividades que ocurren en el sistema relacionadas con el proceso y la red. Los agentes de monitoreo también crean varios registros, lo que ayuda durante la investigación de cualquier incidente.

El script malicioso encontrado intenta:

  • Desinstalar el agente de monitoreo relacionado con la nube Aegis (agente de detección de amenazas de Alibaba Cloud), deteniendo el servicio Aliyun.
  • Desinstale Yunjeng, que es el agente de seguridad de host de Tencent
  • Desinstale el agente de administración de clientes de BCM, que generalmente se instala en los endpoint para mitigar los resgos

Técnica 2: Desactivación de cortafuegos e interrupciones
La mayoría de los sistemas y servidores implementan cortafuegos como mecanismo de defensa En el script malicioso, los atacantes intentan desactivar el cortafuegos, es decir, cortafuegos ininterrumpido (ufw) como táctica de evasión de defensa, Junto con eso, los atacantes también eliminan las reglas de iptables (iptables -F) porque se usa ampliamente para administrar las reglas de firewall en sistemas y servidores Linux.

Técnica 3: Deshabilitar los módulos de seguridad de Linux (LSM)
El script malicioso también deshabilita los módulos de seguridad de Linux como SElinux, Apparmor. Estos módulos están diseñados para implementar políticas de control de acceso obligatorio (MAC). Un administrador de servidor podría simplemente configurar estos módulos para proporcionar a los usuarios acceso restringido a las aplicaciones instaladas o en ejecución en el sistema.

AppArmour es una función de seguridad en Linux que se utiliza para bloquear aplicaciones como Firefox para aumentar la seguridad. Un usuario puede restringir una aplicación en la configuración predeterminada de Ubuntu otorgando un permiso limitado a una determinada aplicación.

SElinux es otra característica de seguridad en los sistemas Linux mediante la cual un administrador de seguridad podría aplicar el contexto de seguridad en ciertas aplicaciones y utilidades. En algunos servidores web, el shell está deshabilitado o restringido, por lo que los adversarios de RCE (ejecución remota de código) generalmente evitan / deshabilitan esto:

Técnica 4: Modificación de ACL
ACL, o listas de control de acceso, contienen las reglas por las cuales los permisos sobre archivos y utilidades. Las ACL del sistema de archivos le dicen a los sistemas operativos qué usuarios pueden acceder al sistema y qué privilegios tienen los usuarios. La utilidad Setfacl en Linux se usa para modificar, eliminar la ACL, en el script podemos ver el uso de setfacl que establece los permisos de chmod para el usuario:

Técnica 5: Cambiando Atributos
Chattr en Linux se usa para configurar / desarmar ciertos atributos de un archivo. Los adversarios usan esto para sus propios archivos o para hacer que un usuario no pueda eliminarlos.

Técnica 6: Cambiar el nombre de las utilidades comunes
Una de los scripts maliciosos contenían utilidades comunes como wget, curl usado con diferentes nombres. Estas utilidades se utilizan generalmente para descargar archivos desde la IP remota. Los atacantes usan estas utilidades para descargar archivos maliciosos de C2. Algunas de las soluciones de seguridad cuyas reglas de detección monitorean los nombres exactos de las utilidades podrían no activar el evento de descarga si wget, curl se usan con nombres diferentes.

FUENTES: https://threatpost.com/six-malicious-linux-shell-scripts-how-to-stop-them/168127/