Solo toma 15 segundos para entrar en una red y preparar el camino para un atacante.
Resulta que los botnets pueden ser una forma más fácil de entrar en una red, entre otras cosas, quitándoles el trabajo. No es un concepto nuevo, los investigadores de seguridad informática lo han visto antes con bots corriendo a través de listas de nombres de usuario y contraseñas predeterminados para secuestrar dispositivos de Internet of Things.
No es extraño ver botnets que realizan la explotación de dispositivos utilizando vulnerabilidades públicas y conocidas para entrar silenciosamente en dispositivos que se apoderen de ellos, robar datos o realizar ataques.
Una nueva investigación de Cybereason, con sede en Boston, quería probar la teoría de que se puede usar una botnet para entrar en una red.
Al crear una red honeypot, los investigadores de seguridad informática pudieron ver cómo los hackers están usando el mismo tipo de herramientas para su beneficio. Los hackers tomaron una botnet para llevar a cabo la explotación y el reconocimiento temprano sin necesidad de quedarse atrapados en sí mismos. Solo cuando la botnet tenía un pie en la puerta, el hacker saltó y se hizo cargo.
“Para los defensores, la explotación automática en cuestión de segundos significa que probablemente se verán abrumados por la velocidad a la que el robot puede infiltrarse en su entorno”, dijo el informe de Israel Barak, oficial de seguridad informática de Cybereason.
“La creciente automatización del reconocimiento de redes internas y el movimiento lateral es una preocupación aún mayor”, dijo.
Así es como funcionó. La empresa de seguridad estableció un honeypot, una firma financiera falsa, con varios puntos de ataque. La red era pequeña, pero consistía en dos servidores Ubuntu, uno para correo electrónico y un servidor dev-ops basado en Windows.
Primero, los investigadores dispersaron las credenciales del servidor “filtrado” en mercados web oscuros que permitirían a un atacante obtener acceso a la red a través del RDP, un sistema de acceso remoto ampliamente abusado que cuando se explota permite a los atacantes sentarse en un sistema comprometido como si estuvieran realmente ahi Luego se abrieron servicios adicionales de RDP desde el administrador local y las cuentas raíz usando contraseñas débiles como carnada.
De forma algo inesperada, las contraseñas arrojadas a la web oscura no fueron a ninguna parte.
“A pesar de disfrazar la información como un hacker de bajo nivel que tuvo suerte y no sabía a dónde ir desde allí, no se utilizó un solo conjunto de credenciales”, dijo Ross Rustici, director principal de Cybereason.
Pero en un par de horas, un bot se había infiltrado con las contraseñas débiles, había escaneado la red y creando nuevas cuentas de usuario administrador mediante la línea de comandos.
El bot también eliminó las credenciales de una máquina comprometida al buscar cookies del navegador, incluidos bancos comunes, servicios financieros, minoristas en línea y redes sociales y sitios de citas.
Dos días más tarde, un hacker humano se metió en el honeypot usando una de las credenciales de fondo, posiblemente para determinar qué datos necesitaban ser robados, dijo el profesional de seguridad informática. Al saber cómo se veía la red, se robaron más de tres gigabytes de datos ficticios.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad