Una de las amenazas más evasivas y difíciles de detectar se encuentra en los marcos de memoria que utilizan balizas maleables de comando y control (C2) para esconderse en el tráfico benigno. Permiten a los atacantes entrar y permanecer invisibles con reconocimiento oculto, descubrimiento, C2 y explotación de datos. Durante más de una década, las defensas de seguridad tradicionales que utilizan firmas estáticas, rangos de direcciones IP y URL/dominios han fracasado en su mayoría a la hora de detectar estas amenazas evasivas, además de estar en la memoria de Endpoint, estos ataques pueden evadir la detección de antivirus y endpoints diseñada principalmente para analizar la actividad de archivos y discos en busca de archivos de malware. Originalmente creados como herramientas de pruebas de penetración para equipos rojos contra equipos azules, estos marcos cayeron en manos de la ciberdelincuencia y los estados nacionales como una herramienta líder en la cadena de muerte después de ingresar a una red o explotar una vulnerabilidad para el acceso.
Por lo tanto, comencemos el viaje con las balizas, ya que hay muchos buenos usos para las balizas C2 desde Endpoint hasta servidores para controlar y actualizar programas y aplicaciones de software. Adoptar un enfoque de martillo y bloquear todas las balizas C2 no es la respuesta. Incluso el Netskope Client utiliza balizas para su servicio de equilibrio de carga global para encontrar la ruta más rápida a través de la red privada NewEdge para cada usuario remoto. Las balizas benignas son útiles y hay muchas de ellas en el tráfico web, en la nube y de aplicaciones. De hecho, uno de los marcos de simulación de adversarios más populares, Cobalt Strike, incluye más de 240 perfiles para que las balizas benignas las utilicen para ocultar las C2 maliciosas. Como herramienta de pruebas de penetración, es casi seguro que los equipos rojos entrarán en las redes de los equipos azules utilizando Cobalt Strike, ya que la detección es muy difícil, requiere mucho tiempo y cuando se utilizan defensas heredadas cargadas de falsos positivos.
En 2012, Raphael Mudge creó Cobalt Strike para las pruebas de penetración del equipo rojo C2 y el acceso remoto casi invisible. El marco ayuda a simular ataques, identificar fallas de seguridad y practicar defensas contra amenazas potenciales como ataques, instalación de implantes y puertas traseras. Además, puede crear cargadores de balizas y cargas útiles para detectar vulnerabilidades de la red y establecer comunicación con atacantes/probadores en línea. Un factor clave de diseño es la maleabilidad, lo que permite a los actores de amenazas modificar el comportamiento de los componentes para imitar el tráfico de red legítimo y evadir la detección por parte de las defensas de seguridad. ¿Qué tan bueno es? Bueno, el shellcode malicioso permanece invisible para la detección de antivirus y EDR y se mueve a través de tuberías con nombre en sistemas Windows y Linux. Por lo tanto, Sandbox requiere la emulación de tuberías con nombre, lo cual es raro. Por lo tanto, el uso criminal de este marco altamente efectivo era solo cuestión de tiempo como punto de entrada utilizado en las redes infectadas para proporcionar movilidad lateral después de una intrusión en la red, común en los ataques de ransomware y malware avanzado.
Hay otros marcos de simulación, como Brute Ratel, Mythic, Metasploit, Sliver y Merlin. Estos kits de herramientas son altamente configurables (a través de perfiles maleables) y pueden variar fácilmente el tiempo, la frecuencia, el volumen, los protocolos de aplicación, las IP/dominios de destino, la configuración de agentes de usuario, los encabezados HTTP, los verbos HTTP, los URI, los parámetros, la carga útil, los certificados SSL/TLS, el retraso de balizamiento con fluctuación aleatoria y el contenido. Las herramientas del marco C2 también permiten muchas acciones posteriores a la explotación, que se cifran, descargan y ejecutan en memoria, lo que hace que la actividad posterior al compromiso sea muy difícil de detectar en Endpoint.
Con los controles de política de firewall, puede bloquear puertos y protocolos no utilizados, además de la inspección de estado y las asignaciones dinámicas de puertos, sin embargo, es probable que las balizas C2 maleables se oculten en el tráfico HTTP/HTTPS en un mar de balizas benignas. Los sistemas de prevención de intrusiones (IPS) son una opción más popular, le permiten desarrollar firmas de balizas de Malware C2 y las soluciones IPS de código abierto a menudo proporcionan firmas de balizas de Malware C2 conocidas. El problema es la alta cantidad de falsos positivos de firmas estáticas y llegar tarde al juego para detectar un objetivo maleable y siempre cambiante. Las soluciones antivirus y EDR luchan contra los ataques de marco en memoria, y una puerta de enlace web (SWG) segura requiere un alto rendimiento para una buena experiencia de usuario en milisegundos, por lo que la detección queda en segundo plano mediante eventos de transacciones web y análisis posteriores al evento. El uso de un SIEM o lago de datos e incluso capturas de paquetes de tráfico (PCAP) con una solución de detección y respuesta de red (NDR) lleva tiempo y analistas de amenazas capacitados para estas amenazas altamente evasivas.
Por lo tanto, debe haber una mejor manera y en la era de la IA y el aprendizaje automático, se ha creado un enfoque Nuevo en Netskope. Como se indicó anteriormente, tener el tráfico, los eventos de transacción y el contexto enriquecido como fuentes de datos para alimentar modelos de ML es un requisito básico para abordar este problema. Sin embargo, las soluciones de borde de servicio de seguridad (SSE) basadas en la infraestructura de nube pública no están abiertas a todos estos datos valiosos, incluidas las capturas de paquetes de tráfico. Netskope NewEdge, como red privada, permite el acceso a estos datos, incluidas las captu