Seguridad

Las cinco técnicas de malware más comunes en 2024

Las tácticas, técnicas y procedimientos (TTP) forman la base de las estrategias de defensa modernas. A diferencia de los indicadores de compromiso (IOC), los TTP son más estables, lo que los convierte en una forma confiable de identificar amenazas cibernéticas específicas. Estas son algunas de las técnicas más utilizadas, según ANY.RUN. Tercer trimestre de 2024 Informe de tendencias de malware con ejemplos del mundo real.

Deshabilitar el registro de eventos de Windows (T1562.002)

Interrumpir el registro de eventos de Windows ayuda a los atacantes a evitar que el sistema registre información crucial sobre sus acciones maliciosas.

Sin registros de eventos, detalles importantes como intentos de inicio de sesión, cambios de archivos y cambios en el sistema no se registran, lo que deja a los analistas y soluciones de seguridad con datos incompletos o faltantes.

El registro de eventos de Windows se puede manipular de varias maneras, incluido el cambio de claves de registro o el uso de comandos como “net stop eventlog”. La edición de políticas de grupo es otro método común.

Debido a que muchos mecanismos de detección se basan en el análisis de registros para identificar actividades sospechosas, el malware puede funcionar sin ser detectado durante largos períodos de tiempo.

Ejemplo: XWorm deshabilita los registros del servicio de acceso remoto

Para detectar, observar y analizar diferentes tipos de TTP maliciosos en un entorno seguro, podemos utilizar La zona de pruebas interactiva ANY.RUN. El servicio proporciona máquinas virtuales Windows y Linux altamente configurables que le permiten no solo detonar malware y ver su ejecución en tiempo real, sino también interactuar con él como en una computadora estándar.

Al rastrear todas las actividades del sistema y de la red, ANY.RUN le permite identificar fácil y rápidamente acciones maliciosas como deshabilitar el registro de eventos de Windows.

Sesión sandbox ANY.RUN que muestra los resultados de la detonación de XWorm

Mira esto sesión de análisis donde XWorm, un popular troyano de acceso remoto (RAT), utiliza T1562.002.

Sandbox comparte detalles sobre procesos maliciosos y su modificación de registro

Específicamente, modifica el registro para deshabilitar los registros de seguimiento de RASAPI32, que es responsable de administrar las conexiones de acceso remoto en el sistema.

El malware desactiva los registros cambiando varios nombres de registro

Al establecer ENABLEAUTOFILETRACING y otros nombres de registro relacionados con RASAPI32 en 0, el atacante se asegura de que no se generen registros. Esto hace que sea más difícil para el software de seguridad, como los antivirus, identificar el incidente.

Analice malware y amenazas de phishing de forma gratuita en el entorno limitado de pruebas en la nube de ANY.RUN.

Utilice todas las funciones PRO con una prueba de 14 días

Explotación de PowerShell (T1059.001)

PowerShell es un lenguaje de scripting y un shell de línea de comandos integrado en Windows. Los atacantes suelen aprovecharlo para realizar diversas tareas maliciosas, incluida la manipulación de la configuración del sistema, la extracción de datos y el establecimiento de acceso persistente a sistemas comprometidos.

Al utilizar las capacidades ampliadas de PowerShell, los actores malintencionados pueden utilizar técnicas de ofuscación, como comandos de codificación o métodos avanzados de secuencias de comandos, para eludir los mecanismos de detección.

Ejemplo: BlanGrabber usa PowerShell para deshabilitar la detección

Considerar este análisis de una muestra de BlankGrabberuna familia de malware utilizada para robar datos confidenciales de sistemas infectados. Después de la ejecución, el malware inicia varios procesos, incluido PowerShell, para modificar la configuración del sistema y evitar la detección.

El sandbox muestra todas las operaciones realizadas por BlankGrabber a través de PowerShell

ANY.RUN identifica instantáneamente todas las actividades de malware y las presenta en detalle. Entre otras cosas, BlankGrabber utiliza PowerShell para desactivar el sistema de prevención de intrusiones (IPS), la protección OAV y los servicios de monitoreo en tiempo real para el sistema operativo Windows. La zona de pruebas también muestra el contenido de la línea de comandos, mostrando los comandos realmente utilizados por el malware.

Abuso del shell de comandos de Windows (T1059.003)

Los atacantes también suelen aprovechar Windows Command Shell (cmd.exe), otra herramienta de propósito general utilizada para tareas administrativas legítimas, como la gestión de archivos y la ejecución de scripts. Su uso generalizado lo convierte en una opción interesante para ocultar acciones dañinas.

Usando el shell de comandos, los atacantes pueden ejecutar varios comandos maliciosos, que van desde descargar cargas útiles desde servidores remotos hasta ejecutar malware. El shell también se puede utilizar para ejecutar scripts de PowerShell para realizar otras actividades maliciosas.

Debido a que cmd.exe es una utilidad confiable y ampliamente utilizada, los comandos maliciosos pueden mezclarse con actividades legítimas, lo que dificulta que los sistemas de seguridad identifiquen y respondan a las amenazas en tiempo real. Los atacantes también pueden utilizar técnicas de ofuscación en sus comandos para evitar aún más la detección.

Ejemplo: Lumma usa CMD en la ejecución de la carga útil

Echa un vistazo a siguiendo el análisis de Lummaun ladrón de información ampliamente utilizado activo desde 2022.

El sandbox asigna una puntuación de 100 al proceso cmd.exe, marcándolo como malicioso

ANY.RUN nos brinda una visión profunda de las operaciones realizadas por el malware a través de cmd. Estos incluyen iniciar una aplicación con una extensión inusual y cambiar el contenido ejecutable, lo que indica que los atacantes están abusando del proceso.

Cambio de claves de ejecución del registro (T1547.001)

Para garantizar que el malware se ejecute automáticamente cada vez que se inicia un sistema, los atacantes agregan entradas a claves de registro específicas diseñadas para iniciar programas al inicio.

Los archivos maliciosos también se pueden colocar en la carpeta Inicio, que es un directorio especial donde Windows escanea y ejecuta programas automáticamente cuando el usuario inicia sesión.

Al utilizar las claves de ejecución del registro y la carpeta de inicio, los atacantes pueden mantener la persistencia a largo plazo, lo que les permite continuar con actividades maliciosas, como la filtración de datos, el movimiento lateral dentro de una red o la operación posterior del sistema.

Ejemplo: Remcos gana persistencia mediante la tecla RUN

Aquí hay un ejemplo de esta técnica realizado por Remcos. En este caso, la clave de registro que se está modificando es HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN.

Sandbox asigna TTP relevantes a diferentes acciones maliciosas

Al agregar una entrada a la clave RUN en el registro, la puerta trasera de Remcos garantiza que se iniciará automáticamente en cada nueva conexión. Esto permite que el malware mantenga su persistencia en el sistema infectado.

Escape basado en tiempo (T1497.003)

La evasión basada en el tiempo es una técnica utilizada por el malware para evitar la detección por parte de soluciones de seguridad que dependen del sandboxing.. Muchas zonas de pruebas tienen períodos de monitoreo limitados, a menudo de solo unos minutos. Al retrasar la ejecución del código malicioso, el malware puede evitar la detección durante esta ventana.

Otro objetivo común de este TTP es hacer que el malware parezca inofensivo durante el análisis inicial, reduciendo así la probabilidad de que se marque como sospechoso. Retrasar la ejecución puede dificultar que las herramientas de análisis de comportamiento correlacionen el comportamiento inofensivo inicial con la actividad maliciosa posterior.

El malware suele depender de varios componentes o archivos para llevar a cabo su proceso de infección. Los retrasos pueden ayudar a sincronizar la ejecución de diferentes partes del malware. Por ejemplo, si el malware necesita descargar componentes adicionales desde un servidor remoto, un retraso puede garantizar que estos componentes estén completamente descargados y listos antes de que se ejecute la carga útil principal.

Algunas actividades maliciosas pueden depender del éxito de otras tareas. Introducir retrasos puede ayudar a gestionar estas dependencias, garantizando que cada paso del proceso de infección se lleve a cabo en el orden correcto.

Ejemplo: DCRAT retrasa la ejecución durante un ataque

Dark Crystal RAT es una de las muchas familias de malware que se basa en técnicas de evasión basadas en el tiempo para permanecer fuera del radar del sistema infectado.

ANY.RUN ofrece una matriz MITRE ATT&CK incorporada para rastrear los TTP identificados durante el análisis

En el contexto de próxima sesión de pruebaspodemos observar cómo DCRAT permanece dormido solo 2000 milisegundos, o 2 segundos, antes de continuar con la ejecución. Es probable que esto se haga para garantizar que todos los archivos necesarios para la siguiente etapa del proceso de infección estén listos para ejecutarse.

ANY.RUN sandbox muestra detalles de cada proceso malicioso

Otro intento de evasión de tiempo DCRAT detectado por ANY.RUN es el uso de la herramienta legítima w32tm.exe para retrasar el proceso de ejecución.

Escanee en busca de malware con ANY.RUN Sandbox

ANY.RUN ofrece un entorno limitado basado en la nube para analizar malware y amenazas de phishing, proporcionando resultados rápidos y precisos para mejorar sus investigaciones. Con sus funciones avanzadas, puede interactuar libremente con los archivos y URL enviados, así como con el sistema, para analizar más a fondo las amenazas.

  • Simplemente cargue un archivo o URL para iniciar el proceso de escaneo
  • La detección de amenazas tarda menos de 60 segundos
  • El servicio extrae rápidamente información detallada sobre el comportamiento del malware y genera informes de amenazas.
  • Escriba, abra enlaces, descargue archivos adjuntos, ejecute programas en la VM
  • Utilice el modo de escaneo privado y herramientas de colaboración en equipo

Integre ANY.RUN Sandbox en el flujo de trabajo de su organización con una prueba gratuita de 14 días para prueba todo lo que tiene para ofrecer.

¿Te pareció interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Gorjeo Y LinkedIn para leer más contenido exclusivo que publicamos.

También puede interesarte

Seguridad

Gpuhammer: la nueva variante de ataque de Rowhammer degrada los modelos AI en las GPU de NVIDIA

4 meses ago
morelljuanjose@gmail.com
Seguridad

Los piratas explotan el defecto crítico de RCE en el servidor FTP Wing

4 meses ago
morelljuanjose@gmail.com
Seguridad

Más de 600 aplicaciones de Laravel expuestas a la ejecución del código remoto debido a la fuga de APP_Keys en GitHub

4 meses ago
morelljuanjose@gmail.com

No te lo pierdas

Criptomonedas

Bitcoin: de nicho a clase de activo global — y qué significa esto para América Latina

Eventos

LABITCONF 2025: el epicentro imparable que marca el rumbo del mundo cripto y financiero

NFT

NFTs en Latinoamérica 2025: US$ 35.9 M en ingresos y salto del 33% en gaming, RWA y fidelización

Fondeos

Fintech para empresas: el acceso al financiamiento digital en Argentina