Ataques basados ​​en scripts, qué son y cómo podemos defendernos

La mayoría de los productos de seguridad detectan bien los ataques basados ​​en archivos. Sin embargo, los scripts son una forma de eludir las capacidades de detección de amenazas de la mayoría de los productos de seguridad. Esta es una excelente manera para que los atacantes eviten realizar cambios en un disco, lo que dificulta su detección.

Actualmente, los scripts brindan acceso inicial, permiten el escape y también facilitan el movimiento lateral después de la infección. Los atacantes generalmente usan scripts de dos maneras. La primera forma era usar exactamente el equipo que quieres atacar. La segunda forma es incrustar este script en documentos de Office y PDF y luego enviarlos por correo electrónico a su víctima.

Evolución de los ciberataques con scripts en los últimos años

Los ataques basados ​​en secuencias de comandos aumentaron drásticamente en 2017 y han aumentado en más del 100 % desde entonces. Durante este mismo período, los estados-nación y los grupos de delitos cibernéticos han adoptado el uso de scripts y malware sin archivos como una de sus formas preferidas para lograr sus objetivos. Según el Informe de seguridad del Ponemon Institute 2020, los ataques basados ​​en scripts representan el 40 % de todos los ciberataques.

Entre 2019 y 2018, los métodos de ataque sin archivos se utilizaron cada vez más. Hubo un escepticismo particular en ese momento sobre el uso de aplicaciones legítimas y herramientas nativas como PowerShell para infectar computadoras. Naciones Unidas texto> pueden variar desde scripts de sistema simples hasta lenguajes de scripting avanzados utilizados para configuraciones de sistemas, así como para automatizar tareas complejas y otros propósitos generales.

Los lenguajes de script más comunes son:

1. VBScript.
2. JavaScript.
3. Potencia Shell.

A diferencia de las aplicaciones que se ejecutan después de compilar el código de la máquina, las computadoras interpretan los scripts directamente.

Así es como los ciberdelincuentes usan scripts

Después de una infección iniciada por un script, suceden dos cosas:

1. La pálasta quién realizará las acciones que el atacante quiere realizar. De esta manera, se busca la recopilación de información, el cifrado de archivos o la comunicación por la puerta trasera.
2. Le movimiento lateral lo que lleva a una infección adicional de la computadora dentro de la red.

El uso de scripts para el ciberdelito tiene muchos beneficios. La razón es que son fáciles de escribir y hacer, triviales de ocultar y extremadamente polimórficos. Además, existen muchos tipos de archivos script que podemos utilizar para atacar. Los más populares son PowerShell, JavaScript, HTA, VBA, VBS y scripts por lotes.

Un dato que no debemos olvidar es que se producen ataques de archivos sin memoria. Esto elimina la necesidad de detectar archivos estáticos tradicionales. Los scripts también complican el análisis, ya que muchos elementos relacionados con el ataque están en la memoria de una computadora y se pueden sobrescribir o eliminar al reiniciar.

Si queremos detectar estos scripts, lo haremos usando análisis heurístico y de comportamiento que en este caso es posible que nos permita detectar actividad maliciosa en memoria. el es Los ataques basados ​​en secuencias de comandos se ejecutan en casi todos los sistemas Windows .>Si tenemos en cuenta que son los más utilizados en nuestros equipos de sobremesa y portátiles, podemos decir que aumentan considerablemente el riesgo de ataque o infección.

Le mayor que desventaja de ataques basados sobre el guiones es decir, si no se implementa a través de la explotación, se requiere interacción del usuario para ejecutarlos. La secuencia de comandos en un archivo de correo electrónico puede ser normal. Para ejecutarlo, se requiere la acción del usuario para habilitar macros en un documento y ejecutar macros VBA. En RedesZone, recomendamos no abrir ni ejecutar archivos cuya fuente no sea completamente confiable. Sin embargo, comprobar estos archivos con un antivirus o un antimalware no siempre duele.

Por si no lo sabías, existen muchos tipos de malware que utilizan scripts. Por ejemplo, puede descargar un archivo ejecutable portátil (PE), guardarlo en el disco o ejecutarlo desde la memoria, según su nivel de sofisticación. Este script puede realizar acciones maliciosas, como obtener información de la víctima, el nombre de la computadora e incluso contraseñas seguras.

Deep Instinct Threat Intelligence, al estudiar una serie de ataques, por ejemplo, descubrió que el 75 % de las campañas sin archivos utilizaron scripts durante al menos una fase del ataque. Principalmente de tipo PowerShell, HTA, JavaScript y VBA.

Por ejemplo, el grupo OilRig con sede en Irán utiliza scripts en el ataque. Para ello, utiliza un documento de Microsoft Word que explota la vulnerabilidad CVE-2017-0199 y entrega un script HTA ejecutado por un proceso de Windows que utiliza el ejecutable HTML mshta.exe. Cuando se ejecuta, el script inicia el ataque y entrega el troyano Helminth como archivos PowerShell y VBS.

PowerShell, JavaScript, HTA y VBScript para ataques basados ​​en secuencias de comandos

Potencia Shell Es un marco utilizado para la gestión de la configuración y la automatización de tareas, con un cuadro de línea de comandos y un lenguaje de secuencias de comandos. Es por tanto una herramienta útil y versátil para los administradores de sistemas que automatiza los procesos de gestión de TI (tecnologías de la información).

Los atacantes usan PowerShell en sus ataques para cargar malware directamente en la memoria sin escribir en el disco. Esto evita que muchos productos de seguridad los detecten. PowerShell también lo usa para automatizar los procesos de infección y descifrado de datos utilizando marcos como Metasploit o PowerSploit.

Este método era un ataque bien conocido. Malware de cobalto explotando la vulnerabilidad CVE-2017-11882. Cuando el usuario abre el documento, el interesado en el documento descarga un JavaScript que, a su vez, ejecuta varios scripts de PowerShell, el último de los cuales incluye la DLL de Cobalt en el código del script. Estos se eliminan en la memoria de PowerShell sin vaciarlos en el disco. Usando este exploit, los atacantes llevaron a cabo un ataque sin un archivo, y la única acción realizada por el usuario fue abrir el cuentagotas de documentos.

Otra característica utilizada para atacar scripts es JavaScript. Por si no lo sabías, es un lenguaje utilizado en páginas web, aplicaciones web y navegadores. Además, JavaScript puede manipular y modificar archivos PDF con objetos implementados, enlaces a páginas web, etc.

En este caso, la mayoría de los ataques basados ​​en PDF utilizan un lector de PDF de software o un lector basado en navegador para ejecutar el código JavaScript en la máquina de la víctima.

Además, se pueden crear scripts maliciosos que interfieren con:

1. La aplicación HTML (HTA) ) es un archivo de Microsoft Windows diseñado para ejecutarse en Internet Explorer que combina código HTML con secuencias de comandos compatibles con Internet Explorer, como VBScript o JScript. Los archivos HTA se ejecutan a través del motor Microsoft HTA (mshta.exe).
2. VBScript (Edición de secuencias de comandos de Microsoft Visual Basic) Lenguaje de scripting de Microsoft basado en VBA (Visual Basic for Applications). Además del desarrollo completo de aplicaciones que ofrece VBA, VBS ofrece una implementación más sencilla, destinada a automatizar las tareas de los administradores de sistemas. Otra razón por la que es útil para los atacantes es el soporte de Microsoft para codificar scripts como archivos VBE.

Para que pueda protegerse de los ataques basados ​​en scripts

Muchos ataques basados ​​en secuencias de comandos ocurren todos los días. Nosotros, al igual que las empresas, debemos estar preparados para combatirlos. El primer paso básico que cualquier organización debe considerar es clasificar a los empleados en uno de los siguientes tres grupos:

1. Los que ejecutan scripts en su trabajo diario.
2. Aquellos que normalmente no ejecutan scripts, pero deberían usarlos algunas veces.
3. Aquellos que no necesitan ejecutar scripts.

Finalmente, una vez que se crean los grupos de trabajo, los equipos de seguridad deben asegurarse de que los scripts solo se puedan ejecutar desde ubicaciones de solo lectura a las que acceden máquinas específicas. Además, estos equipos de seguridad deben restringir y observar el uso de PowerShell interactivo en la empresa. Si lo hace de esta manera, será más fácil evitar ataques basados ​​en secuencias de comandos.

Ataques basados ​​en scripts, qué son y cómo podemos defendernos

La mayoría de los productos de seguridad detectan bien los ataques basados ​​en archivos. Sin embargo, los scripts son una forma de eludir las capacidades

adsl

es

https://adsltodo.es/static/images/adsl-ataques-basados-en-scripts-6602-0.jpg

2024-05-20

Si crees que alguno de los contenidos (texto, imagenes o multimedia) en esta página infringe tus derechos relativos a propiedad intelectual, marcas registradas o cualquier otro de tus derechos, por favor ponte en contacto con nosotros en el mail [email protected] y retiraremos este contenido inmediatamente