{"id":3442,"date":"2024-06-18T08:02:19","date_gmt":"2024-06-18T08:02:19","guid":{"rendered":"https:\/\/all4sec.es\/blog\/?p=3442"},"modified":"2024-06-18T08:02:20","modified_gmt":"2024-06-18T08:02:20","slug":"un-malware-indetectable","status":"publish","type":"post","link":"https:\/\/all4sec.es\/blog\/index.php\/2024\/06\/18\/un-malware-indetectable\/","title":{"rendered":"Un malware indetectable"},"content":{"rendered":"\n

El mundo de la ciberseguridad est\u00e1 en constante evoluci\u00f3n y los ciberdelincuentes contin\u00faan marcando el paso<\/strong><\/h3>\n\n\n
\n
\"\"<\/figure><\/div>\n\n\n

No hace demasiado tiempo, los hackers norcoreanos de Lazarus Group<\/strong> dieron un peque\u00f1o salto en su estrategia delictiva al incorporar un nuevo tipo de malware que algunos expertos consideraron como \u201cmuy sofisticado<\/em>“.<\/p>\n\n\n\n

El malware, conocido bajo el nombre de LightlessCan<\/strong>, se convirti\u00f3 en el centro de atenci\u00f3n de los profesionales del sector debido a su capacidad para pasar desapercibido<\/strong>. Algo que planteaba interesantes desaf\u00edos en los procesos de detecci\u00f3n de amenazas y de seguridad en l\u00ednea.<\/p>\n\n\n\n

Malware \u201cindetectable\u201d<\/strong><\/h3>\n\n\n\n

Como hemos dicho, uno de los aspectos m\u00e1s intrigantes de esta amenaza era c\u00f3mo esta pod\u00eda resultar indetectable<\/em>. Pero, antes de proseguir, ser\u00eda bueno preguntarnos: \u00bfqu\u00e9 significa exactamente que un malware sea “indetectable”?<\/strong><\/p>\n\n\n\n

En t\u00e9rminos generales, la detecci\u00f3n de un malware viene asociada a la observabilidad<\/strong> o medici\u00f3n<\/strong> del resultado de sus acciones.<\/p>\n\n\n

\n
\"\"<\/figure><\/div>\n\n\n

Para conseguirlo, los ingenieros de seguridad, empleando herramientas de detecci\u00f3n de ataques, suelen analizar el comportamiento de ciertos procesos<\/strong> al tiempo que supervisan las llamadas a comandos o servicios del sistema que son habitualmente conocidos.<\/p>\n\n\n\n

El objetivo pues no es otro que prestar atenci\u00f3n al comportamiento que pueda resultar an\u00f3malo, en forma y momento, durante la ejecuci\u00f3n de un comando o proceso.<\/p>\n\n\n\n

Ahora bien, cuando hablamos de \u201cmalwares indetectables\u201d, nos referimos a aquellos que dif\u00edcilmente son identificables cuando lo que hacen es ejecutar llamadas a servicios del sistema sin invocar expl\u00edcitamente los comandos que tienen asociados<\/strong>.<\/p>\n\n\n\n

Esta es precisamente la astucia que emplearon en Lazarus para evitar ser detectados.<\/p>\n\n\n\n

Caminos alternativos al mismo destino<\/strong><\/h3>\n\n\n\n

Para explicarlo mejor, imaginemos que usted es un ingeniero de seguridad y est\u00e1 monitorizando la ejecuci\u00f3n en secuencia de ciertos comandos \u201cA\u201d, \u201cB\u201d y \u201cC\u201d para detectar la presencia de una posible amenaza.<\/p>\n\n\n

\n
\"\"<\/figure><\/div>\n\n\n

Cada vez que el sistema le notifica que se ha ejecutado el comando “A”, su nivel de alerta aumenta. Si instantes despu\u00e9s se ejecuta el comando “B”, el analista empezar\u00e1 a inquietarse. Y si finalmente se ejecuta el comando “C”, se lanzar\u00e1 una alarma.<\/p>\n\n\n\n

Sin embargo, en el malware LightlessCan<\/a>, Lazarus no sigui\u00f3 esta ruta predecible. En su lugar, en vez de ejecutar el comando “A” directamente, ejecut\u00f3 algo similar a “A” pero con un nombre y pasos (procesos y subprocesos) diferentes<\/strong>, como, por ejemplo, la llamada a otros comandos “A1, A2, A3”.<\/p>\n\n\n\n

En su conjunto, estos pasos lograban el mismo resultado que “A”, pero nadie detectaba su ejecuci\u00f3n porque estaban enfocados en buscar la ejecuci\u00f3n del comando “A” y no en estas variaciones m\u00e1s sutiles.<\/p>\n\n\n\n

El resultado es que el malware de Lazarus se volvi\u00f3 indetectable, ya que nadie estaba prestando atenci\u00f3n a estas variantes. Dicho de otra forma, los expertos y las herramientas de ciberseguridad podr\u00edan haber estado mirando en la direcci\u00f3n equivocada y el malware habr\u00eda pasado desapercibido. Al fin y al cabo, cualquier cosa se vuelve indetectable si nadie mira en la direcci\u00f3n adecuada<\/strong>.<\/p>\n\n\n\n

Sin ayuda, no todo es tan sencillo<\/strong><\/h3>\n\n\n\n

Sin embargo, para que esta estrategia funcionara, Lazarus Group necesitaba de la colaboraci\u00f3n de sus v\u00edctimas: deb\u00eda convencer a las personas para que instalar\u00e1n un software<\/strong> que se encargar\u00eda de ejecutar el malware siguiendo ese modelo de ataque.<\/p>\n\n\n\n

Y aqu\u00ed viene una de las debilidades m\u00e1s importantes<\/strong>. Para conseguirlo, utiliz\u00f3 la artima\u00f1a de ofrecer empleos, obviamente ficticios, invitando a los posibles \u201ccandidatos\u201d a resolver un problema de programaci\u00f3n como prueba para valorar su idoneidad al puesto.<\/p>\n\n\n

\n
\"\"<\/figure><\/div>\n\n\n

Para poder entrar en el proceso de selecci\u00f3n era condici\u00f3n necesaria que las v\u00edctimas instalaran un software en sus ordenadores o equipos personales. Sencillo, demasiado sencillo, pero efectivo<\/strong>.<\/p>\n\n\n\n

Un par de consideraciones, tambi\u00e9n sencillas<\/strong><\/h3>\n\n\n\n

Llegados a este punto, podr\u00edamos entrar a plantear dos reflexiones<\/strong> que podr\u00edan resultar interesantes para los directores de seguridad en un escenario (real) como el descrito.<\/p>\n\n\n

\n
\"\"<\/figure><\/div>\n\n\n