Comúnmente, las herramientas de hacking se identifican esencialmente como software escrito específicamente para su uso en contextos maliciosos, pero no siempre es así.
Índice de temas
Qué es una herramienta de pirateo
En el escenario actual de los ataques, los Actores de Amenazas (AT) han evolucionado evaluando diversas estrategias nuevas para “actividades” cotidianas como: el reconocimiento de infraestructuras, la ejecución de cargas útiles a través de redes, “eludir” o “desactivar” el software de seguridad y mucho más.
La mayoría de los nuevos enfoques se refieren al uso indebido de herramientas utilizadas habitualmente por el personal de sistemas para llevar a cabo la resolución de problemas o el análisis de redes.
Este factor dificulta bastante ambas fases críticas en la gestión de un posible incidente. Es decir, aumenta la dificultad de la detección de anomalías, además de hacer casi imposible un enfoque de respuesta automática a los eventos desencadenados por ‘HackTools’ de origen verificado y a menudo firmados por autoridades de confianza.
Para quienes ofrecen servicios de seguridad, este tipo de incidentes es el más complejo de gestionar, y a menudo se invierte una gran parte de la investigación y el desarrollo en la ingeniería de reglas de comportamiento heurísticas para reconocer actividades maliciosas realizadas a veces con métodos poco convencionales.
Cómo funcionan las herramientas de hacking
Las herramientas de pirateo informático funcionan de forma diferente según la herramienta de que se trate: es importante darse cuenta, sin embargo, de que a menudo las herramientas desarrolladas para realizar una determinada función benévola son revalidadas y explotadas por los atacantes para ejecutar código malicioso, como en el caso de los LOLBINS o los LOLDRIVERS.
Se trata de herramientas legítimas utilizadas a través de GUI (Interfaz gráfica de usuario) o en modo consola por los atacantes para explotar diversas funciones sin ser detectados por los sistemas de detección.
Normalmente, el uso de herramientas de pirateo por parte del actor de la amenaza se realiza en función de una necesidad específica que surge durante las diversas actividades realizadas durante el compromiso de una infraestructura, como en el caso más común de la desactivación de los software de seguridad (antivirus y EDR).
Qué herramientas de ataque utilizan los piratas informáticos
Como se ha mencionado en los párrafos anteriores, los atacantes utilizan herramientas de hacking para todo tipo de situaciones según las necesidades del momento.
Analicemos, por tanto, en las principales etapas del compromiso de una infraestructura cuáles son las herramientas más utilizadas por los actores de la amenaza para llevar a cabo la mayor parte de sus actividades maliciosas.
Reconocimiento
Para este paso, en el que es necesario conocer la exposición de una infraestructura a posibles CVE o autenticaciones débiles, los atacantes tienen mucho donde elegir: pueden utilizar software de código abierto como Zgrab Scanner, escribir el suyo propio o, alternativamente, utilizar herramientas comerciales como Qualys, Nessus u otros escáneres de vulnerabilidades fácilmente disponibles.
Otros actores de amenazas, en cambio, prefieren ceñirse a enfoques más manuales, por lo que utilizan herramientas como Nmap con el fin de conocer únicamente los puertos disponibles y, a continuación, realizar el reconocimiento y la investigación posteriores de forma manual.
Escanear
En este caso, el atacante se encuentra dentro de la infraestructura, por lo que su objetivo es uno y sólo uno: comprender en la medida de lo posible cómo está estructurada la red.
Para cumplir esta misión, el conjunto de herramientas que puede utilizar es bastante amplio, ya que puede utilizar herramientas como Nmap, Angry IP Scanner, Advanced IP Scanner, lansweeper y muchas otras.
Como habrá notado, he mencionado principalmente herramientas comerciales o, en cualquier caso, herramientas que están disponibles gratuitamente en Internet, precisamente porque al atacante no le gusta “arriesgarse” demasiado con software de seguridad personalizado y potencialmente sospechoso instalado en los dispositivos.
También porque la alerta que desencadena una respuesta inmediata siempre está a la vuelta de la esquina.
Escalada de privilegios
La escalada de privilegios es una de las fases más importantes de todas: de hecho, aquí es donde tiene lugar la ‘magia’ de la evasión de cualquier software de seguridad, junto con el uso de exploits para obtener más privilegios dentro de la infraestructura atacada.
Muy a menudo, el atacante se encuentra con usuarios invitados que no siempre son capaces de subir directamente al dispositivo en el que están autenticados; por lo tanto, acuden en su ayuda herramientas como ProcessHacker, mimikatz, PsExec y, en este caso, también herramientas escritas específicamente para ser lo más rápidas y eficaces posibles a la hora de alcanzar el objetivo, es decir, Domain Admin.
En esta situación, correr algunos riesgos está justificado; de hecho, todos los medios están justificados para privesc.
Exfiltración
En la exfiltración, las herramientas más populares siguen siendo, como siempre, software legales como Rclone, AnyDesk, TeamViewer, Supremo y WinSCP.
El uso de estas herramientas se ha generalizado tanto entre los actores de amenazas que un buen SOC (Centro de Operaciones de Seguridad) no puede dejar de tener estas palabras clave entre sus reglas de detección o, en su defecto, de correlación.
En otros casos particulares, el uso de herramientas de exfiltración personalizadas recompensa al atacante, ya que le permite modular el uso de las sesiones y realizar actividades de conformación específicas útiles para pasar desapercibido durante la actividad de carga.
Persistencia
Introducir la persistencia es un paso clave para comprometer una infraestructura informática. Esto permite al atacante volver a entrar en los distintos sistemas comprometidos a voluntad, incluso si se le impide hacerlo por medios “convencionales”. La persistencia también puede utilizarse para ejecutar comandos y/o malware en ventanas de tiempo específicas o cuando se produce un evento concreto.
Para este tipo de actividad, los atacantes suelen utilizar scripts personalizados escritos en una amplia variedad de lenguajes. Para una mayor eficacia, las técnicas de persistencia suelen implementarse directamente en el malware utilizado durante el compromiso o en las herramientas empleadas en los pasos inmediatamente posteriores a la escalada de privilegios, ya que a menudo se requiere una credencial privilegiada para realizar este tipo de actividad.
Cobertura de rastros
La fase de cobertura de rastros suele llevarse a cabo con software escrito por los atacantes: pueden ser binarios ejecutables o, más sencillamente, scripts en Bash, Batch, VBS, PowerShell o cualquier otro que pueda ejecutar el borrado de registros locales y en dispositivos remotos, explotando también herramientas como WMI, RPC, ssh y GPOs.
Cuáles son las herramientas de pirateo más populares
Ahora que tenemos una idea aproximada de los tipos de herramientas que utilizan los atacantes, vamos a nombrar algunos programas muy populares entre quienes se dedican a la seguridad ofensiva sin contrato pero con ransomware.
Nmap
Herramienta para escanear la red, los usuarios más capaces tienen la posibilidad de personalizar la acción de la herramienta añadiendo scripts en la versión GUI, mientras que para los aficionados a la automatización no hay límite utilizándola a través de la línea de comandos.
AngryIpScanner
Herramienta de escaneado de redes, muy popular entre el personal de sistemas que necesita mapear los dispositivos accesibles en la red corporativa. Los atacantes utilizan esta herramienta tanto por su versatilidad como por la fiabilidad de los resultados obtenidos,
LinPeas/WinPeas
Herramienta de hacking creada específicamente para encontrar y, en el caso de pequeños cambios de código, explotar, vulnerabilidades específicas en el sistema operativo (Linux, MAC o Windows) útiles para actividades de escalada de privilegios.
Mimikatz
Herramienta de hacking nacida como software para probar la seguridad de los puntos finales de la red y escrita por el desarrollador Benjamin Delpy, que ahora se utiliza como navaja suiza del atacante. Gracias a esta herramienta, los actores de amenazas suelen ser capaces de exfiltrar hashes relacionados con credenciales utilizadas en dispositivos o incluso, en ciertos casos, directamente credenciales sin cifrar listas para su uso.
PsExec
Una herramienta perteneciente a la suite Sysinternals que, como muchas otras, suele formar parte del arsenal de los atacantes. Esto se debe a que permite elevar fácilmente los privilegios locales, así como proporcionar una variedad de funcionalidades de shell remoto a través de la red y el movimiento lateral facilitado por scripts.
LolBas/LolDrivers
LolBas/LolDrivers son dos listas curadas de ejecutables de controladores de Windows utilizados por los adversarios para eludir los controles de seguridad y realizar ataques. El proyecto ayuda a los profesionales de la seguridad a mantenerse informados y mitigar las amenazas potenciales.
¿Cómo se lucha contra la ciberdelincuencia organizada?
La respuesta nunca es tan sencilla como “compre esto” o “haga aquello”.
Hoy en día, la constante evolución de las amenazas, unida a una organización cada vez más sofisticada de los actores de las amenazas que conlleva una evolución natural de las técnicas y tácticas utilizadas en los ataques, no puede combatirse con un simple (o incluso complejo) software de seguridad.
Es necesario armarse con un equipo de especialistas altamente capacitados para combatir este tipo de incursiones cibernéticas, y no todas las empresas de seguridad pueden presumir de un nivel adecuado para cumplir el requisito mínimo de estar preparados para lo peor.
Como dijo Sun Tzu: “La verdadera victoria es la victoria sobre la agresión, una victoria que respeta la humanidad del enemigo y hace así innecesarios nuevos conflictos”.
Prohibida su reproducción total o parcial.