Cyber Kill Chain en entornos móviles: cómo pensar una estrategia de defensa

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Los dispositivos móviles plantean grandes problemáticas en la implementación de redes corporativas. Además de las diversas plataformas y versiones de sistemas operativos móviles que se encuentran en el mercado, estos equipos tienen la capacidad de funcionar a ambos lados delfirewall, pudiendo filtrarse al exterior información de las redes empresariales. Conjuntamente, concentran enormes cantidades de datos confidenciales de alto valor para sus usuarios, y corren aplicaciones de dudosa reputación mientras manejan decenas de datos corporativos.

Por todo esto es que las tecnologías móviles constituyen un enrevesado conjunto de plataformas cuya inclusión en ámbitos empresariales despierta preocupación entre gerentes y administradores de sistemas. ¿Qué caminos pueden tomarse para solucionarlo?

Para comprender qué estrategias pueden desplegarse para gestionar la seguridad y fortalecer las redes de información, primero debemos preguntarnos qué pasos siguen los cibercriminales al momento de infectar dispositivos móviles, pues entender qué nos hace vulnerables será el primer paso en la construcción de un sistema robusto.

Etapas de un ataque móvil

Como mencionábamos con anterioridad en nuestra plataforma, Cyber Kill Chain referencia a un modelo de desarrollo de asaltos informáticos abordado desde la perspectiva ofensiva del atacante. Este enfoque se ve reflejado en numerosos ataques dirigidos, y puede guiar nuestro entendimiento sobre la prevención de ataques cibernéticos.

Aplicando Cyber Kill Chain en entornos móviles, podemos tomar este esquema como guía para la implementación de estrategias de defensa, ya que el escenario de compromiso de terminales móviles se sustenta en los mismos principios. En este contexto, se suman algunos factores que debemos tener en cuenta al realizar el análisis, como ser la movilidad de los equipos, y el establecimiento de procesos de autenticación multiplataforma.

cyber kill

  1. Reconocimiento (Reconnaissance)

La recolección de información del blanco, al tratarse de plataformas móviles, puede incluir datos sobre los modelos de dispositivos utilizados, los sistemas operativos que sobre ellos corren, o el tiempo de vida que tienen antes de ser cambiados por nuevos equipos. También números de serie, números telefónicos, tipo de conexión de datos, IMEI, apps normalmente utilizadas para comunicación formal e informal dentro de la organización, tales como nombres de usuario y dominios para clientes de correo electrónico, o perfiles en redes sociales.

Además, un atacante podría intentar determinar qué redes inalámbricas son utilizadas para los equipos móviles: ¿existe una red para invitados, o se utiliza la misma red de la empresa?

  1. Militarización (Weaponization)

En esta etapa el atacante deberá hacerse del exploit que le brindará acceso al sistema, y de la herramienta que luego permitirá ganar permisos de administrador y gestionar de manera remota el equipo. Paradójicamente, muchas veces la manera más sencilla de obtener estos permisos es simplemente peticionando por ellos al usuario.

Con este propósito, existen cientos de aplicaciones legítimas que han sido modificadas para albergar amenazas. Este fenómeno móvil resulta un método efectivo para un ciclo corto de desarrollo de amenazas que representarán altas tasas de infección.

Algo similar ocurre con las librerías utilizadas para el desarrollo de aplicaciones fidedignas. Éstas muchas veces poseen orígenes desconocidos, y podrían albergar código malicioso.

  1. Entrega (Delivery)

Las tecnologías móviles cuentan con numerosos canales para la propagación de códigos maliciosos. En este ambiente, existen múltiples actores que exhiben intrincadas relaciones entre ellos: desarrolladores de aplicaciones, desarrolladores de sistemas operativos, prestadores de servicios móviles, usuarios hogareños y corporativos, y fabricantes de dispositivos. Esta combinación de canales de distribución abre el abanico para la entrega de amenazas a los usuarios.

A pesar de los múltiples controles de detección, las plataformas oficiales para la distribución de aplicaciones resultan un medio de difusión de amenazas que, de ser vulneradas y otorgar permiso para la publicación de aplicaciones, se traduce en una mayor credibilidad para los cibercriminales, y consecuentemente en un mayor número de descargas.

La posibilidad de instalar kernels y firmware personalizados, sin conocer la reputación del autor, y sin evaluar previamente la funcionalidad que éste ha introducido, es otro posible vector de compromiso para ciertas plataformas.

Y si lo anterior no funciona, los atacantes siempre tienen la posibilidad de promover la difusión de aplicaciones desde mercados no oficiales, a través de Ingeniería Social, páginas falsas y campañas de BlackHat SEO, o bien, mensajes SMS.

  1. Explotación (Exploitation)

El aprovechamiento de vulnerabilidades en los sistemas móviles y en las aplicaciones que sobre él corren para de este modo ganar acceso al sistema resulta una técnica utilizada para perpetrar crímenes informáticos.

Muchas apps no utilizan correctamente las librerías para la autenticación de la comunicación o el cifrado de los archivos. Estas fallas pueden ser encontradas por terceros y aprovechadas para generar ataques Man-In-The-Middle (MITM), como vimos recientemente en el caso del teclado de Samsung, o explotar otras aplicaciones residentes en el equipo.

  1. Instalación (Installation)

El objetivo en la fase de instalación de la aplicación maliciosa se resume a la obtención de permisos de root. Esto puede alcanzarse a través de la carga de códigos maliciosos como rootkits o módulos maliciosos de kernel.

Estas herramientas normalmente son utilizadas como vectores de descarga de otras piezas maliciosas que permiten el control remoto del sistema: RATs. Una vez que estas últimas son instaladas, el móvil podrá recibir comandos de la mano de su creador.

  1. Mando y Control (Command & Control)

El atacante necesitará diseñar mecanismos para recopilar información de comandos ejecutados y actualizar el código para hacer frente a las nuevas versiones de soluciones antivirus. Para ello, cuenta con diferentes vías de comunicación, algunas compatibles con tecnologías de escritorio como HTTP, y otras exclusivas de plataformas móviles, como el envío de mensajes SMS. Dado que un diseño basado sólo en SMS sería ineficiente, un cibercriminal podría utilizar un esquema híbridoSMS-HTTP.

El proceso de envío y recepción de SMS es independiente de la plataforma y se basa en texto plano (comandos AT), por lo que es un proceso muy sencillo de implementar. El principal desafío planteado por esta tecnología es la inexistencia de firewalls o filtros en el sistema GSM, con lo cual la confiabilidad en la recepción de los comandos enviados es muy alta.

La comunicación vía SMS es más sencilla de detectar en un análisis estático de la amenaza, pero difícil de controlar desde un punto de vista anti-malware. Por ejemplo, cualquier estrategia de desmantelamiento de una botnet móvil basada en mensajes SMS requeriría probablemente acceso a registros de la/s compañía/s de telefonía móvil.

Desde el punto de vista del atacante, las principales desventajas son el costo económico para el usuario del smartphone infectado y la limitación en la cantidad de carga útil (payload) en las transferencias.

El envío/recepción de grandes cantidades de datos puede llevar un tiempo significativo en redes móviles, especialmente si el usuario y el código malicioso las utilizan simultáneamente. Para evitarlo, las transferencias podrían llevarse a cabo sólo al detectar conexiones de alta velocidad, preferentemente Wi-Fi dado que el servicio de datos también es pago, incluyendo mecanismos que detecten el estado de las redes.

  1. Acciones sobre Objetivos (Actions on Objectives)

El mayor inconveniente de una amenaza móvil instalada es cómo pasar desapercibida. Con la telefonía celular entran en juego nuevas variables: el rendimiento (cantidad de energía a consumir de la batería del smartphone) y la cantidad de dinero que implicará al equipo huésped en términos de prestación de servicio.

Mayormente, el objetivo de estos ataques se concentra en el robo de información confidencial, tanto aquella inherente al equipo como otros datos personales a través de engañoscuidadosamente preparados. En este sentido, el poco uso de prestaciones de cifrado en equipos móviles juega a favor de los atacantes.

Además, al obtener permisos sobre el micrófono y la cámara, será posible a los cibercriminales obtener datos sobre el ambiente físico en el cual está inmerso el usuario. Algunos podrían esperar que éste ejecute una amenaza tras haber conectado el terminal a una PC a través de un cable USB, para intentar propagar códigos maliciosos de escritorio (como ser ransomware) dentro de las redes de la compañía.

También, debemos tener en cuenta que los smartphones pueden unirse a redes Wi-Fi y obtener la velocidad necesaria para realizar ataques DDoS, con lo cual no es descabellado visualizar monstruosas botnets móviles perpetrando este tipo de ataques. Aún más, no debemos olvidar que con la tecnología móvil se incluye la participación de un tercer gran sistema: el sistema GSM. Bajo la misma línea de razonamiento, podrían plantearse redes maliciosas con el objetivo de degradar el servicio móvil para la verdadera comunidad de clientes.

El envío de spam es otra finalidad común en el malware para dispositivos móviles, con la particularidad que ofrece el sistema de envío de SMS: carencia de firewalls o filtros de mensajes no deseados. Así, una vez que el spam es enviado, es garantía su recepción. Aún más, el sistema de recibo de mensajes SMS es independiente de la plataforma. Una vez instalada, la aplicación podría acceder a la lista de contactos y a servicios de envío de correo electrónico.

Entonces, ¿qué debemos tener en cuenta al generar una estrategia de defensa?

Resulta clave comprender que los móviles de usuarios corporativos pueden ser utilizados para apalancar ataques sobre las redes de la organización. El apuntalamiento de nuestra defensa comienza con asimilar el riesgo que estos dispositivos presentan en la era de la interconexión multiplataforma.

Pero, ¿cómo podemos mantener políticas de seguridad sin invadir el espacio privado del personal? Una modalidad puede ser invertir en equipos para uso exclusivamente corporativo, que posean herramientas configuradas para la gestión remota del dispositivo, debidamente cifrados y conectados a la intranet empresarial sobre el uso de una VPN. Además, la separación del tráficomóvil de las redes empresariales transaccionales y la utilización de soluciones de seguridad en los terminales resultan imprescindibles en el marco de un enfoque preventivo.

Estas medidas deben ser acompañadas por el fortalecimiento de sistemas de Data Loss Prevention (DLP) y Content Monitoring and Filtering (CMF), y la creación de políticas que delineen la administración de aplicaciones móviles y la configuración de plataformas seguras.

Fuente:http://www.welivesecurity.com/

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone
Tags:, , , ,