El uso de exploits obsoletos en sistemas modernos

Los investigadores discuten la nueva táctica de los ciberdelincuentes para descargar archivos binarios obsoletos en ordenadores modernos y explotar sus vulnerabilidades.

Los ataques del tipo Living off the Land, que utilizan programas legítimos o características del sistema operativo para causar daños, no son nada nuevo, pero, dado que los expertos ya realizan un seguimiento del software actual susceptible a LotL, los ciberdelincuentes se han visto obligados a innovar. Los investigadores Jean-Ian Boutin y Zuzana Hromcova hablaron sobre una de esas innovaciones, el uso de componentes y programas legítimos de Windows XP, en la conferencia RSA 2021.

Living off the Land y los componentes vulnerables de Windows XP

Al estudiar la actividad del grupo InvisiMole, Boutin y Hromcova observaron que el hecho de que las herramientas de InvisiMole usen archivos del sistema operativo obsoleto les ayuda a permanecer fuera del radar. Los investigadores concedieron a esos archivos el nombre de VULNBins, similar a LOLBins, que la comunidad de seguridad aplica a los archivos utilizados en los ataques Living off the Land.

Por supuesto, descargar un archivo desactualizado en el ordenador de la víctima requiere acceso al equipo. Pero los VULNBins se utilizan generalmente para establecer la permanencia en un sistema específico sin ser percibido, no para la penetración real.

 

Algunos ejemplos específicos del uso de programas y componentes de sistemas obsoletos

Si un atacante no logra obtener los derechos de administrador, una táctica que puede usar para establecer la permanencia implica el uso de un reproductor de vídeo antiguo con una vulnerabilidad conocida de desbordamiento de búfer. A través del Planificador de tareas, los ciberdelincuentes crean una tarea programada regularmente que llama al reproductor, cuyo archivo de configuración ha sido modificado para aprovechar la vulnerabilidad, para cargar el código requerido necesario en la siguiente etapa del ataque.

Sin embargo, si los atacantes de InvisiMole logran obtener los derechos de administrador, pueden implementar otro método que utilice el componente legítimo del sistema setupSNK.exe, la biblioteca de Windows XP wdigest.dll y Rundll32.exe (también del sistema obsoleto), necesarios para ejecutar la biblioteca. Luego manipulan los datos que la biblioteca carga en la memoria y, como esta fue creada antes de la aplicación de la tecnología ASLR, los ciberdelincuentes conocen la dirección exacta de la memoria en la que se cargarán los datos.

Almacenan la mayor parte de la carga útil maliciosa en el registro en forma cifrada y todas las bibliotecas y ejecutables que utilizan son legítimas. Por tanto, lo único que podría delatar la presencia de un enemigo en su interior es el archivo con la configuración del reproductor y el pequeño exploit que se ocupa de las bibliotecas obsoletas. Como norma general, esto no es suficiente para despertar la sospecha de un sistema de seguridad.

Cómo mantenerse a salvo

Para evitar que los ciberdelincuentes utilicen archivos antiguos y componentes del sistema obsoletos (especialmente los firmados por un editor legítimo), tener una base de datos de dichos archivos sería un buen comienzo, ya que permitiría que las defensas existentes los bloqueen o al menos los rastreen (si por alguna razón el bloqueo no es posible). Pero eso es mirar hacia el futuro.

Hasta que exista dicha lista, utiliza nuestra solución de clase EDR para:

  • Detectar y bloquear la ejecución de componentes de Windows ubicados fuera de la carpeta del sistema.
  • Identificar archivos de sistema sin firmar (algunos archivos de sistema están firmados con un archivo de catálogo en lugar de una firma digital única, pero un archivo de sistema movido a un sistema que carece del archivo .cat requerido se considera sin firmar).
  • Crear una regla para detectar la diferencia entre la versión del sistema operativo y la versión de cada archivo ejecutable.
  • Crear una regla similar para otras aplicaciones, por ejemplo, para bloquear la ejecución de archivos compilados hace más de 10 años.

Como ya hemos comentado, para descargar algo en el ordenador de una víctima, los atacantes primero deben obtener el acceso. Para evitar que los VULNBins lleguen a tus estaciones de trabajo, instala soluciones de seguridad en todos los dispositivos habilitados con Internet, invierte en la concienciación de tus empleados en materia de ciberamenazas actuales y supervisa de cerca las herramientas de acceso remoto.

 

Consejos