Las tácticas, técnicas y procedimientos (TTP) forman la base de las estrategias de defensa modernas. A diferencia de los indicadores de compromiso (IOC), los TTP son más estables, lo que los convierte en una forma confiable de identificar amenazas cibernéticas específicas. Estas son algunas de las técnicas más utilizadas, según el informe del tercer trimestre de 2024 de ANY.RUN sobre tendencias de malware, completo con ejemplos del mundo real.
Desactivación del registro de eventos de Windows (T1562.002)
Interrumpir el registro de eventos de Windows ayuda a los atacantes a evitar que el sistema registre información crucial sobre sus acciones maliciosas.
Sin registros de eventos, detalles importantes como intentos de inicio de sesión, modificaciones de archivos y cambios en el sistema no se registran, lo que deja a los analistas y soluciones de seguridad con datos incompletos o faltantes.
El registro de eventos de Windows se puede manipular de diferentes maneras, incluso cambiando las claves de registro o usando comandos como “net stop eventlog”. La modificación de las políticas de grupo es otro método común.
Dado que muchos mecanismos de detección se basan en el análisis de registros para identificar actividades sospechosas, el malware puede funcionar sin ser detectado durante períodos más prolongados.
Ejemplo: XWorm desactiva los registros del servicio de acceso remoto
Para detectar, observar y analizar diferentes tipos de TTP maliciosos en un entorno seguro, podemos utilizar el Sandbox interactivo de ANY.RUN. El servicio proporciona máquinas virtuales Windows y Linux altamente configurables que le permiten no sólo detonar malware y ver su ejecución en tiempo real, sino también interactuar con él como en una computadora estándar.
Gracias al seguimiento de todas las actividades del sistema y de la red, ANY.RUN le permite identificar fácil y rápidamente acciones maliciosas como la desactivación del registro de eventos de Windows.
Sesión sandbox de ANY.RUN que muestra los resultados de la detonación de XWorm |
Consulte esta sesión de análisis donde XWorm, un troyano de acceso remoto (RAT) muy extendido, utiliza T1562.002.
El sandbox comparte detalles sobre el proceso malicioso y su modificación del registro. |
Específicamente, modifica el registro para deshabilitar los registros de seguimiento de RASAPI32, que es responsable de administrar las conexiones de acceso remoto en el sistema.
El malware desactiva los registros modificando varios nombres de registro. |
Al establecer ENABLEAUTOFILETRACING y otros nombres de registro relacionados con RASAPI32 en 0, el atacante se asegura de que no se generen registros. Esto dificulta que el software de seguridad, como los antivirus, identifique el incidente.
Utilice ANY.RUN para analizar malware y phishing de forma gratuita
Utilice todas las funciones PRO con una prueba de 14 días
Explotación de PowerShell (T1059.001)
PowerShell es un lenguaje de secuencias de comandos y un shell de línea de comandos integrado en Windows. Los atacantes suelen aprovecharlo para realizar una variedad de tareas maliciosas, incluida la manipulación de la configuración del sistema, la extracción de datos y el establecimiento de acceso persistente a sistemas comprometidos.
Al utilizar las amplias capacidades de PowerShell, los actores de amenazas pueden utilizar técnicas de ofuscación, como comandos de codificación o métodos de secuencias de comandos avanzados, para evitar los mecanismos de detección.
Ejemplo: BlanGrabber usa PowerShell para deshabilitar la detección
Considere este análisis de una muestra de BlankGrabber, una familia de malware utilizada para robar datos confidenciales de sistemas infectados. Después de la ejecución, el programa malicioso inicia varios procesos, incluido PowerShell, para cambiar la configuración del sistema y evitar la detección.
El sandbox muestra todas las operaciones realizadas por BlankGrabber a través de PowerShell |
ANY.RUN identifica instantáneamente todas las actividades del malware y las presenta en detalle. Entre otras cosas, BlankGrabber utiliza PowerShell para desactivar los servicios del sistema de prevención de intrusiones (IPS), la protección OAV y el monitoreo en tiempo real del sistema operativo Windows. La zona de pruebas también muestra el contenido de la línea de comandos, mostrando los comandos reales utilizados por el malware.
Abuso del Shell de comandos de Windows (T1059.003)
Los atacantes también suelen aprovechar el Shell de comandos de Windows (cmd.exe), otra herramienta versátil utilizada para tareas administrativas legítimas, como administrar archivos y ejecutar scripts. Su uso generalizado lo convierte en una opción atractiva para ocultar acciones dañinas.
Al utilizar el shell de comandos, los atacantes pueden ejecutar una variedad de comandos maliciosos, desde descargar cargas útiles desde servidores remotos hasta ejecutar malware. El shell también se puede utilizar para ejecutar scripts de PowerShell para realizar más actividades maliciosas.
Dado que cmd.exe es una utilidad confiable y ampliamente utilizada, los comandos maliciosos pueden mezclarse con actividades legítimas, lo que dificulta que los sistemas de seguridad identifiquen y respondan a las amenazas en tiempo real. Los atacantes también pueden utilizar técnicas de ofuscación dentro de sus comandos para evitar aún más la detección.
Ejemplo: Lumma emplea CMD en la ejecución de la carga útil
Échale un vistazo al siguiente análisis de Lumma, un ladrón de información muy utilizado que lleva activo desde 2022.
El sandbox asigna una puntuación de 100 al proceso cmd.exe, marcándolo como malicioso |
ANY.RUN nos brinda una mirada en profundidad a las operaciones realizadas por el malware a través de cmd. Estos incluyen iniciar una aplicación con una extensión inusual y realizar cambios en el contenido ejecutable, lo que indica que los atacantes abusan del proceso.
Pruebe un análisis rápido de malware con ANY.RUN
Solicite una prueba gratuita de 14 días
Modificación de claves de ejecución del registro (T1547.001)
Para garantizar que el software malicioso se ejecute automáticamente cada vez que se inicia un sistema, los atacantes agregan entradas a claves de registro específicas diseñadas para iniciar programas al inicio.
Los archivos maliciosos también se pueden colocar en la carpeta de inicio, que es un directorio especial que Windows escanea y ejecuta programas automáticamente cuando el usuario inicia sesión.
Al utilizar las claves de ejecución del registro y la carpeta de inicio, los atacantes pueden mantener la persistencia a largo plazo, lo que les permite continuar con sus actividades maliciosas, como la filtración de datos, el movimiento lateral dentro de una red o una mayor explotación del sistema.
Ejemplo: Remcos gana persistencia mediante la tecla RUN
A continuación se muestra un ejemplo de esta técnica realizada por Remcos. En este caso, la clave de registro que se está modificando es HKEY_CURRENT_USERSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN.
El sandbox asigna TTP relevantes a diferentes acciones maliciosas |
Al agregar una entrada a la clave RUN en el registro, la puerta trasera de Remcos garantiza que se iniciará automáticamente en cada nuevo inicio de sesión. Esto permite que el malware mantenga la persistencia en el sistema infectado.
Evasión basada en el tiempo (T1497.003)
La evasión basada en el tiempo es una técnica utilizada por el malware para evitar la detección por parte de soluciones de seguridad que dependen del sandboxing.. Muchas zonas de pruebas tienen períodos de monitoreo limitados, a menudo de solo unos minutos. Al retrasar la ejecución del código malicioso, el malware puede evitar la detección durante esta ventana.
Otro objetivo común de este TTP es hacer que el malware parezca benigno durante el análisis inicial, lo que reduce la probabilidad de que se marque como sospechoso. Retrasar la ejecución puede dificultar que las herramientas de análisis de comportamiento correlacionen el comportamiento benigno inicial con las actividades maliciosas posteriores.
El malware suele depender de varios componentes o archivos para llevar a cabo su proceso de infección. Los retrasos pueden ayudar a sincronizar la ejecución de diferentes partes del malware. Por ejemplo, si el malware necesita descargar componentes adicionales desde un servidor remoto, un retraso puede garantizar que estos componentes se descarguen por completo y estén listos antes de que se ejecute la carga principal.
Algunas actividades maliciosas pueden depender de la finalización exitosa de otras tareas. Introducir retrasos puede ayudar a gestionar estas dependencias, garantizando que cada paso del proceso de infección se complete en el orden correcto.
Ejemplo: DCRAT retrasa la ejecución durante un ataque
Dark Crystal RAT es una de las muchas familias de malware que dependen de técnicas de evasión basadas en el tiempo para permanecer fuera del radar en el sistema infectado.
ANY.RUN ofrece una matriz MITRE ATT&CK incorporada para rastrear los TTP identificados durante el análisis |
En el contexto de la siguiente sesión de sandbox, podemos observar cómo DCRAT permanece dormido durante apenas 2000 milisegundos, que son 2 segundos, antes de continuar con la ejecución. Es probable que esto se haga para garantizar que todos los archivos necesarios para la siguiente etapa del proceso de infección estén listos para su ejecución.
El sandbox de ANY.RUN muestra detalles de cada proceso malicioso |
Otro de los intentos de evasión temporal de DCRAT detectado por ANY.RUN es el uso de la herramienta legítima w32tm.exe para retrasar el proceso de ejecución.
Analice el malware con ANY.RUN Sandbox
ANY.RUN ofrece un entorno limitado basado en la nube para analizar malware y amenazas de phishing, proporcionando resultados rápidos y precisos para mejorar sus investigaciones. Con sus funciones avanzadas, puede interactuar libremente con los archivos y URL enviados, así como con el sistema, para profundizar en el análisis de amenazas.
- Simplemente cargue un archivo o URL para iniciar el proceso de análisis.
- La detección de amenazas tarda menos de 60 segundos
- El servicio extrae rápidamente información detallada sobre el comportamiento del malware y genera informes de amenazas.
- Escriba, abra enlaces, descargue archivos adjuntos, ejecute programas, todo dentro de la VM
- Utilice el modo de análisis privado y herramientas de colaboración en equipo
Integre el sandbox de ANY.RUN en el flujo de trabajo de su organización con una prueba gratuita de 14 días para probar todo lo que tiene para ofrecer.