Vaya de antemano que no soy muy amigo de poner nuevos nombres a cualquier nuevo código malicioso que aparece, independientemente de lo que este haga, no deja de ser un código malicioso. Dejo la nomenclatura para el personal de marketing o prensa, más partidarios de crear nuevos términos o acrónimos llamativos.

La última en aparecer: APT viene de las siglas en inglés “Advance Persisten Threats” en castellano “Amenazas Persistentes Avanzadas”. En primer lugar aclarar que no es ni mucho menos algo tan novedoso, la primera vez que se usa este término es en 2008, al poner nombre a una pieza de malware detectado en la US Air Force dos años antes, en 2006.

Comenzaré con una pequeña definición basándome en información encontrada por la red y descomponiéndola las tres palabras que resumen sus siglas:

• Avanzada: Los criminales que están detrás de las mismas utilizan un amplio número de técnicas de intrusión y ocultación combinando múltiples métodos de ataque para alcanzar su objetivo.

• Persistente: Los criminales no buscan un beneficio inmediato como en la mayoría de los ataques de malware. Son ataques dirigidos con interacción humana y que intentan ser lo más sigilosos posible para poder mantenerse dentro del entorno el mayor tiempo posible. De esta forma podrán acceder a mayor información.

• Amenaza: La diferencia está en que existe colaboración humana, no es una pieza de código que se ejecuta sin ningún criterio. Son organizaciones con objetivos concretos, motivadas y bien organizadas.

Estas APTs llegan a las organizaciones mediante tres vectores principales:

– Infección vía Internet: Descargas, emails, ficheros compartidos, software pirata, phising, DNS & Routing mods.

– Malware en medio físico: USBs, CDs, DVDs, tarjetas de memoria, etc.

– Infección por exploit externo: Hackers profesionales, Vulnerabilidades, Ingreso por Wifi, ataque a la nube.

Una vez aclarado lo que es una APT, aun estoy más convencido de que no es tan distinto al resto del malware.

Comencemos por los métodos de llegada a la organización, no veo ninguna diferencia son los habituales la mayor parte del malware proviene de Internet, parece que las APTs tienen esto en común.

Buscaré la diferencia en las tres palabras que dan nombre a esta nueva amenaza:

Avanzada: Es cierto que en el pasado el malware era menos sofisticado, pero si las nuevas amenazas no fueran sofisticadas no tendrían éxito. La mayoría del malware moderno utiliza varias vías de infección, reenvíos a distintos servidores, técnicas de ofuscación y polimorfismo para intentar no ser detectadas. Nuestros laboratorios no pueden basar la detección únicamente en una firma del mismo, deben analizar comportamientos, simular ejecución del código, analizar de donde proviene y con qué se comunica. Sinceramente el malware que hoy en día no sea avanzado no tiene ningún sentido.

Persistente: Es cierto que la mayoría de los ataques de malware buscan resultados inmediatos, pero tampoco creo que esto sea un identificador único. Si tomamos como ejemplo algunas botnets que se forman con equipos que llevan infectados mucho tiempo, a la espera de que alguien levante estos equipos infectados para realizar cualquier ataque.

Amenaza: Las organizaciones que distribuyen malware también están bien organizadas, pagan por objetivos a sus colaboradores, lo cual es bastante motivador y muchas de las piezas de malware actuales no categorizadas como APTs también están a la espera de órdenes.

Por lo tanto no creo que tengamos que inventar nueva terminología para este tipo de ataques, y si lo hacemos yo añadiría un nuevo término “Dirigidas”. Tampoco es determinante pero si acota mucho más este tipo de malware, espero no dar ideas a mi departamento de marketing, no quiero ver APTD o algo similar.

Aunque de nuevo, esto tampoco es determinante, si vemos por ejemplo la pieza de malware bautizada por nuestro laboratorio como ”Troj/Mdrop-ELD” y que luego otros fabricantes llamaron Disttrack o Shamoon, dirigido a compañías del sector energético.

Es cierto que muchas de estas piezas de malware, encontradas en nuestros laboratorios tienen llamadas a por ejemplo, IPs privadas o rutas concretas lo que implica que el redactor del código conoce la estructura interna de su objetivo.

Más información

Combatiendo las APTs

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín semanal de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Dejar un comentario

Your email address will not be published. Required fields are marked *