IBM lanza un marco de detección y respuesta para ataques MFT
El objetivo es ayudar a los defensores a detectar más rápidamente los ataques habilitados por las vulnerabilidades de la aplicación de transferencia de archivos administrados y proporcionar un manual de respuesta a incidentes.
En los últimos años, varios grupos de ransomware y otros actores de amenazas han explotado vulnerabilidades en las aplicaciones de transferencia de archivos administrados (MFT, de sus siglas inglesas) en las que confían las empresas para permitir el acceso remoto seguro a los documentos. Los investigadores de IBM han analizado los componentes de 13 de estas soluciones y han creado un marco que puede ayudar a los CISO a crear rápidamente detecciones y manuales de respuesta a incidentes para su uso.
“Las masivas cargas de trabajo y los abrumados equipos de seguridad impiden que se inspeccione de manera proactiva o que haya una familiaridad con el funcionamiento interno de cada software”, asegura el equipo de respuesta a incidentes del Gigante Azul. “De hecho, no es hasta que se revela una vulnerabilidad cuando ya se empieza a competir contra el cronómetro para parchear un sistema o, peor aún, contener un incidente”.
El nuevo marco está disponible en GitHub y cubre las siguientes herramientas MFT:
- Servidor FTP de Cerberus
- ArchivoZilla
- Piedra angular MFT
- SolarWinds Serv-U
- JSCAPE
- MFT de Oracle
- alaFTP
- áspera
- MFT diplomático
- MiTrabajoDrive
- EasyFTPServer FTPD
- Recurso compartido de archivos
- CompartirTruç
Ataques MFT en aumento
En junio, el grupo detrás de amenazas como el ransomware Clop explotó una vulnerabilidad de inyección SQL zero day en una aplicación MFT llamada MOVEit Transfer para robar datos de las empresas y, posteriormente, extorsionarlas. Y esta no es la primera vez que estos ciberdelincuentes apuntan a estas soluciones, ya que previamente había desarrollado exploits para dispositivos Accellion File Transfer Appliance en 2020 y 2021 y servidores Fortra/Linoma GoAnywhere MFT a principios de este ejercicio.
Pero la pandilla Clop no es la única enfocada en tales aplicaciones. Otro actor de amenazas, detrás del ataque IceFire, explotó una brecha en el software de Aspera Faspex en marzo.
Creación del marco
Los investigadores de IBM han implementado instancias de demostración, leyeron la documentación disponible y recopilaron información de los foros de soporte para crear una colección de rutas de archivos, nombres de procesos y servicios, números de puerto y otras cosas que una herramienta crearía en un sistema. Luego, comenzaron a simular varias acciones que podrían ser parte de un ataque basado en la explotación de palabras reales: generar eventos de autenticación, crear nuevas cuentas de usuario, ejecutar comandos a través del software MFT, filtrar datos a granel o implementar e interactuar con shells web.
El objetivo era comprender las asociaciones entre estos eventos y los datos o cambios que crearían y que podrían monitorearse como parte de una estrategia de detección. Esto incluía actividad de archivos en tiempo real, datos de red y datos de proceso en el sistema, eventos registrados en el sistema o en los registros de la aplicación y cambios en la base de datos de la aplicación. Todas estas posibles fuentes de datos se documentaron para cada aplicación, así como el proceso necesario para adquirirlas.
“Nuestro análisis confirmó nuestra creencia: todas estas herramientas están diseñadas en gran medida de la misma manera, lo que significa que el enfoque de detección y respuesta para todas las soluciones MFT generalmente sería el mismo”, dijeron los investigadores.
Componentes del marco
El marco resultante de detección y respuesta de MFT llamado MFT-Detect-Response tiene varios componentes. MFTData contiene detalles específicos para cada aplicación, como nombres de procesos, nombres de archivos, rutas de archivos, ubicación del archivo de configuración, opciones de configuración, ubicación del archivo de registro, eventos registrados en caso de varias acciones, números de puerto, dependencias y más.
Otro componente llamado MFTDetect contiene scripts que aprovechan MFTData para generar detecciones automáticamente que se pueden usar con herramientas populares de respuesta y detección de incidentes como Velociraptor o sistemas SIEM que admiten el formato de firma Sigma . Las firmas de detección se activarían si los procesos asociados con las MFT cubiertas llaman a herramientas del sistema como powershell, certutil, cmd.exe o wmic.exe con comandos o argumentos específicos, o si los servicios del sistema como rundll32, regsvr32, mshta, wscript, cscript o conhost son llamados por los MFT de manera sospechosa. Los atacantes suelen abusar de estas herramientas y servicios de Windows en actividades posteriores a la explotación.
Otro componente del marco llamado MFTRespond contiene scripts que pueden ayudar a los respondedores de incidentes a recopilar datos relevantes de uno de los MFT admitidos en caso de que se sospeche de un compromiso. Finalmente, el componente MFTPlaybook contiene una plantilla de libro de jugadas de respuesta a incidentes de MFT que se puede usar como punto de partida para que los respondedores de incidentes creen libros de jugadas de respuesta a incidentes para el software de MFT.
Uso de IA para crear firmas de detección para cualquier aplicación
Los investigadores de IBM X-Force crearon un motor de IA de prueba de concepto que aprovecha la plataforma de datos y IA watsonx de IBM para automatizar el proceso necesario para crear soluciones de detección como las del marco de detección MFT, pero para cualquier tipo de software. El motor analiza automáticamente la documentación, los foros y los datos del sistema para identificar los procesos que los equipos de seguridad deben monitorear, puede producir manuales de detección y respuesta personalizados y puede producir una puntuación de riesgo para los defensores basada en un análisis de la probabilidad de que una tecnología sea atacada en masa.
“Hay miles de herramientas de software dispares implementadas en las empresas, por lo que, si bien los defensores están altamente capacitados para identificar actividades maliciosas, primero deben saber dónde buscar”, dijeron los investigadores de IBM. “Necesitamos una forma de priorizar los activos en función de cómo ayudan a un atacante a alcanzar sus metas y objetivos, qué tan expuestos están y cuál es el impacto que podrían tener en nuestra organización”.
