La carrera contrarreloj de los cibercriminales por evitar la detección
Imagen: Zdzisław Beksiński
Conforme avanza la tecnología y los sistemas de seguridad, los cibercriminales se enfrentan al desafío de mejorar sus técnicas de evasión lo más rápidamente posible. De acuerdo con un análisis de la unidad de investigación de SILIKN, más del 72.8% de los ataques recientes han estado centrados en evadir las defensas. Estos ataques incluyen técnicas de enmascaramiento, como archivos ejecutados desde /tmp y archivos o información ofuscados, como la carga dinámica de código.
En el 23.6% de los ataques, los cibercriminales utilizaron un malware residente en memoria y ha habido un aumento del 2,298 % en los ataques sin archivos. Esto indica claramente que los delincuentes ahora se están enfocando más en formas de evitar la detección para establecer un punto de apoyo más fuerte en el sistema comprometido.
Es importante mencionar que el cómputo en la nube ha revolucionado la forma en que las organizaciones diseñan, desarrollan, implementan y administran las aplicaciones. Si bien este enfoque brinda muchos beneficios, como escalabilidad, flexibilidad y agilidad, también presenta complejidades inherentes. Con el cambio a las arquitecturas nativas de la nube, la superficie de ataque se ha expandido significativamente, introduciendo nuevos riesgos de seguridad que deben abordarse.
En este sentido, la protección de los entornos de tiempo de ejecución requiere al menos un enfoque de supervisión que incluya el análisis de archivos maliciosos conocidos y comunicaciones de red, para luego bloquearlos y alertar cuando aparezcan, lo cual en la actualidad se presenta como algo insuficiente.
Una mejor solución incluye el monitoreo de indicadores o marcadores que también sugieran un comportamiento malicioso, por ejemplo, comportamientos como intentos no autorizados de acceder a datos confidenciales, intentos de ocultar procesos mientras se elevan los privilegios o la apertura de puertas traseras a direcciones IP desconocidas.
En última instancia, es fundamental implementar medidas de protección sólidas en los entornos de tiempo de ejecución para garantizar que los datos y las aplicaciones estén seguros y evitar ser vulnerables a los ataques.
Algunas de las técnicas utilizadas por los cibercriminales para evadir la detección de los sistemas de seguridad, incluyen:
Ofuscación de código: Los atacantes alteran el código malicioso para evitar que sea reconocido por los sistemas de seguridad. Esto implica cambiar el formato, cifrar el código o utilizar técnicas de empaquetado para dificultar su detección.
Uso de herramientas de evasión: Los cibercriminales emplean herramientas especializadas diseñadas para evadir sistemas de seguridad. Estas herramientas pueden modificar el tráfico de red o los patrones de comportamiento para pasar desapercibidos.
Ataques de día cero: Un ataque de día cero aprovecha vulnerabilidades desconocidas en el software o sistemas operativos para evadir los mecanismos de defensa. Al explotar una vulnerabilidad no parcheada, los atacantes pueden ingresar al sistema sin ser detectados.
Uso de técnicas de phishing avanzadas: Los cibercriminales emplean técnicas de phishing sofisticadas, como el spear phishing, para engañar a los usuarios y obtener acceso a sus credenciales. Estos ataques son personalizados y parecen legítimos, lo que dificulta su detección.
Tráfico cifrado: Los atacantes utilizan cada vez más el tráfico cifrado para ocultar sus actividades maliciosas. Esto les permite evadir la inspección profunda de paquetes (DPI) realizada por los firewalls y otros sistemas de seguridad.
Uso de botnets: Los cibercriminales utilizan botnets, redes de dispositivos infectados, para llevar a cabo ataques distribuidos y dificultar la detección. Al utilizar una gran cantidad de dispositivos comprometidos, los atacantes pueden evadir los mecanismos de defensa al distribuir la carga del ataque.
Ataques de fuerza bruta y diccionario: Los atacantes pueden intentar adivinar contraseñas utilizando técnicas de fuerza bruta o diccionario. Sin embargo, suelen implementar mecanismos para evitar la detección, como pausas entre intentos o uso de botnets para distribuir los intentos de inicio de sesión.
Para más información, visite: https://www.silikn.com/