Recomiendo que vean el Documental de ex-agente de la CIA y la NSA Sduar Snowden
Introducción
¡Bienvenida a este curso!
Entendiendo el mundo del Malware
Qué es el malware y tipos de malware
Grupos Criminales : APT
¿Qué hace un analista de malware?
Ingeniería Reversa
Arquitectura de computadoras
Arquitectura de programas en C
PE Análisis
Conoce el proyecto
Análisis estático en windows
Obteniendo Hashes
Recolección de información
Unpacking
Análisis con DNSPY
Debugging
Dumpeo
Análisis dinámico de tráfico de red malicioso
Conceptos clave de análisis dinámico de malware
Obteniendo Strings
Qué es y como escribir tus reglas YARA
Siguientes pasos
Recomendaciones generales
No tienes acceso a esta clase
¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera
Quetzally Meza
Aportes 12
Preguntas 1
Recomiendo que vean el Documental de ex-agente de la CIA y la NSA Sduar Snowden
Los APT Han evolucionado a verdaderas bandas organizadas el ejemplo mas claro es el de los creadores del Ransomwere Anatova descubierto en 2018 y cuya característica mas novedosa fuera de encriptar las unidades de red fue que permitía presentar cartas personalizadas acorde a cada víctima, de supuesto origen Ruso pues si detecta la distribución del teclado corresponde a este país NO SE EJECUTA interesante verdad?
Para hablar de algo reciente, quisiera traer el caso de SEDENA y grupo Guacamaya. En definitiva esta operación de robo de información clasificada fue persistente por muchísimo tiempo antes de que saliera a la luz pública.
Stuxnet: ejemplo de malware diseñado para espiar y subvertir los sistemas de procesos industriales. Desarrollado en el 2005, Stuxnet no afecta a los ordenadores que no participan en el enriquecimiento de uranio; su objetivo es alterar la programación de los controladores lógicos programables (PLC) que controlan la maquinaria industrial para no funcionen de manera adecuada, según varios investigadores fue creado por agencias de inteligencia de Estados Unidos e Israel para atacar las instalaciones nucleares de Irán.
Una vez me tocó lidiar con blackcat. Es un RaaS (Ransomware As a Service). Se dice que es un derivado de REvil.
Encontré un articulo muy interesante sobre apt y ciberataques posibles desde drones y como podrían distribuir memorias usb contagiadas
APT (Advanced Persistent Threat) es un término utilizado en el ámbito de la seguridad informática para describir una forma sofisticada de ataque cibernético. Los APT son ataques prolongados y dirigidos, llevados a cabo por actores malintencionados altamente capacitados y persistentes, como grupos de hackers respaldados por gobiernos o organizaciones criminales.
_
Los ataques APT se caracterizan por su enfoque en objetivos específicos, generalmente organizaciones o entidades de alto valor, como gobiernos, instituciones financieras, empresas de tecnología o industrias estratégicas. Estos ataques se planifican y ejecutan a largo plazo, con el objetivo de mantenerse ocultos en la red de la víctima durante un período prolongado de tiempo.
_
Las características principales de los ataques APT son:
_
Sigilo: Los atacantes APT intentan pasar desapercibidos y ocultar su presencia en la red de la víctima. Utilizan técnicas avanzadas de evasión y métodos de ocultamiento para evitar la detección por parte de los sistemas de seguridad.
_
Persistencia: Los ataques APT buscan mantener el acceso no autorizado a la red de la víctima durante un tiempo prolongado, a menudo meses o incluso años. Los atacantes se adaptan y evolucionan constantemente para evitar ser descubiertos.
Objetivo específico: Los ataques APT tienen un objetivo claro y bien definido. Los atacantes seleccionan cuidadosamente a sus víctimas en función del valor de la información o los recursos que desean obtener.
Recursos y habilidades avanzadas: Los atacantes APT suelen ser altamente capacitados, respaldados por recursos financieros y tecnológicos significativos. Utilizan técnicas sofisticadas, como el desarrollo de malware personalizado, la ingeniería social y la explotación de vulnerabilidades de día cero.
Espionaje y robo de datos: Los ataques APT se centran en la obtención de información confidencial, como secretos comerciales, propiedad intelectual, datos gubernamentales o información estratégica. Los atacantes pueden llevar a cabo espionaje cibernético o robo de datos para obtener ventajas económicas, políticas o militares.
Para protegerse de los ataques APT, las organizaciones deben implementar medidas de seguridad sólidas, como firewalls, sistemas de detección y prevención de intrusiones, monitoreo de seguridad continuo, autenticación multifactor, cifrado de datos y conciencia de seguridad entre los empleados. Además, mantener el software actualizado y aplicar parches de seguridad es esencial para mitigar las vulnerabilidades que los atacantes podrían aprovechar.
Fuente: ChatGPT.
El propósito global de un ataque de APT es obtener acceso continuo al sistema. Los hackers lo logran en una serie de etapas.
Etapa 1: obtener acceso
Al igual que un ladrón fuerza una puerta con una palanqueta, para insertar malware en una red objetivo, los cibercriminales suelen obtener acceso a través de una red, un archivo infectado, el correo electrónico basura o la vulnerabilidad de una aplicación.
Etapa 2: infiltrarse
Los cibercriminales implantan malware que permite crear una red de puertas traseras y túneles utilizados para desplazarse por los sistemas de manera desapercibida. A menudo, el malware emplea técnicas como reescribir el código para ayudar a los hackers a ocultar sus rastros.
Etapa 3: intensificar el acceso
Una vez dentro, los hackers utilizan técnicas como el quebrantamiento de contraseñas para acceder a los derechos de administrador, aumentar el control sobre el sistema y obtener mayores niveles de acceso.
Etapa 4: desplazamiento horizontal
Con un mayor nivel de incursión dentro del sistema gracias a los derechos de administrador, los hackers pueden moverse por este a voluntad. También pueden intentar acceder a otros servidores y a otras partes seguras de la red.
Etapa 5: mirar, aprender y permanecer
Desde el interior del sistema, los hackers obtienen una completa comprensión de su funcionamiento y sus vulnerabilidades, lo que les permite hacer uso de la información que desean.
Los hackers pueden intentar mantener este proceso en funcionamiento, posiblemente de manera indefinida, o retirarse después de cumplir un objetivo específico. A menudo, dejan una puerta abierta para acceder al sistema de nuevo en el futuro.
El factor humano
Debido a que la ciberseguridad corporativa tiende a ser más avanzada que la de los usuarios particulares, los métodos de ataque a menudo requieren la participación activa de alguien en el interior para lograr el momento crucial e importantísimo de la “palanqueta”. Sin embargo, esto no significa que el personal participe a sabiendas en el ataque. Por lo general, esto implica un atacante que despliega una amplia gama de técnicas de ingeniería social, como el “whaling” o el “spear phishing”.
¿Quieres ver más aportes, preguntas y respuestas de la comunidad?