Fases del ataque

Actualmente los ataques son más “silenciosos” que hace unos años, por lo que es más difícil detectarlos y mitigarlos. Para detectar y mitigar los ataques hay que conocer y entender cómo actúan los “malos”, de esta manera sabremos los pasos que sigue un atacante al querer comprometer nuestra infraestructura, así podremos prevenir y minimizar los daños causados por el ataque.

En esta entrada intentaré reflejar las fases que suele seguir un atacante, además de contra-medidas o recomendaciones, para poder detectar el ataque en fases tempranas y así poder mitigarlo de la manera más satisfactoria posible.

Fase de reconocimiento o sondeo

El objetivo de esta fase es la obtención de información (OSINT) sobre la organización a atacar. En esta primera fase se realiza el footprinting, scanning y enumeration. Se obtiene información mediante buscadores como Google o Bing, se analiza la web de la organización en busca de interfaces de autenticación, se realizan escaneo de servicios y puertos mediante herramientas como nmap y shodan, también se realizan análisis de vulnerabilidades mediante analizadores como OpenVas o Nessus, además de utilizar otras herramientas como scapy para la generación de paquetes. La ingeniería social también es utilizada para engañar a los trabajadores y obtener aún más información de la organización.

Como contra-medida es importante disponer de una monitorización continua, redirigir peticiones a honeypot, realizar correlación inteligente de amenazas, además de controlar el tráfico de datos.

Fase de ataque

El objetivo de esta fase es utilizar toda la información obtenida anteriormente para atacar la infraestructura de la organización. Para ello utilizan ingeniería social engañando a los trabajadores para que visiten URLs conformadas donde hay exploits remotos o se aprovechan vulnerabilidades del sistema del usuario, también se suelen realizar ataques SQLi mediante JSON o a formularios encontrados en la web de la organización, además de realizar ataques por fuerza bruta a todas las interfaces de autenticación encontradas en la fase de reconocimiento.

Como contra-medida es importante detectarlo rápido y reaccionar con una respuesta, que puede ser bloqueando el sitio o IP del atacante, crear reglas en el proxy/cortafuegos, enviar a cuarentena los equipos atacados o incluso desinfectar aplicaciones y bases de datos.

Fase de instalación y explotación

Si desgraciadamente no hemos detectado el ataque en las fases previas, el atacante en esta fase realizará cambios en los sistemas atacados, supervisará la actividad de los usuarios, instalará herramientas de administración remota (RAT), realizará cambios en el sistema de ficheros, instalará Bots, manipulará la memoria o incluso instalará puertas traseras para acceder a los sistemas cada vez que lo necesite.

Como contra-medida se debe monitorizar la integridad del sistema de fichero de los equipos, en caso de detectar cambios reconstruir el sistema de nuevo, también se puede crear listas blancas y denegar todas las conexiones no conocidas, además de bloquear las IPs de los atacantes y el acceso a servidores de comando y control (C&C).

Sistema comprometido

En ocasiones el atacante consigue comprometer los sistemas sin que los analistas de seguridad tengan la más mínima sospecha del ataque realizado, en este caso dependerá del objetivo del atacante el uso que haga de la infraestructura comprometida. El atacante podrá controlar los sistemas remotamente, podrá obtener información, manipulará los sistemas y los archivos a su antojo, e incluso podrá utilizar los recursos para atacar a otras organizaciones.

Por tanto los analistas deben monitorizar y reaccionar a los indicadores en cada una de las fases del ciclo del ataque para prevenir los ataques, o por lo menos minimizar el daño.

¿Qué medidas preventivas o reactivas habéis tomado en fases tempranas para evitar un ataque puntual?