Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias El Riesgo de los Ataques de Ransomware en Sistemas ESXi

El Riesgo de los Ataques de Ransomware en Sistemas ESXi

por Dragora

Los ataques de ransomware dirigidos a los sistemas ESXi están en aumento, y los investigadores de ciberseguridad han identificado un patrón alarmante: los atacantes no solo comprometen estos dispositivos, sino que los reutilizan como un conducto para canalizar el tráfico hacia sus infraestructuras de comando y control (C2), eludiendo así las detecciones tradicionales y permaneciendo en el radar de las soluciones de seguridad. Este enfoque está causando una creciente preocupación dentro de la comunidad de ciberseguridad.

Exploitación de Dispositivos ESXi en Ciberataques

De acuerdo con un informe reciente publicado por los investigadores de Sygnia, Aaron (Zhongyuan) Hau y Ren Jie Yow, los atacantes están aprovechando los sistemas ESXi no monitoreados como un mecanismo de persistencia. Esto les permite acceder de manera extendida a las redes corporativas y mantener una presencia constante sin ser detectados. Según los expertos, los actores de amenazas están utilizando plataformas ESXi con técnicas de «vivir de la tierra», aprovechando herramientas nativas como SSH para crear túneles SOCKS entre sus servidores C2 y el entorno comprometido.

El objetivo principal de esta táctica es mezclarse con el tráfico legítimo de la red y garantizar una persistencia a largo plazo, eludiendo los controles de seguridad convencionales. Esta forma de operar tiene el potencial de pasar desapercibida durante largos períodos, dificultando la detección y mitigación de las amenazas.

La Exploitación de Vulnerabilidades en ESXi

Los sistemas ESXi suelen ser resistentes y raramente experimentan apagados inesperados, lo que hace que estos túneles sean una puerta trasera semipersistente dentro de la red comprometida. Los investigadores han señalado que, en muchos casos de respuesta a incidentes, los dispositivos ESXi han sido comprometidos mediante el uso de credenciales de administrador o aprovechando vulnerabilidades de seguridad conocidas que eluden las protecciones de autenticación. Una vez que los atacantes obtienen acceso a estos sistemas, configuran túneles a través de SSH u otras herramientas con funcionalidades equivalentes para obtener acceso continuo.

Monitoreo de Registros en Sistemas ESXi

La ciberseguridad también debe abordar el desafío del monitoreo de registros en dispositivos ESXi. Para mejorar la detección de este tipo de ataques, es crucial que las organizaciones configuren el reenvío de registros de manera eficiente. Este proceso ayuda a centralizar la recopilación de datos y facilita las investigaciones forenses. Se recomienda revisar los siguientes archivos de registro para identificar actividades sospechosas y posibles señales de compromisos:

  • /var/log/shell.log: Registro de actividad del shell de ESXi.
  • /var/log/hostd.log: Registro del agente host.
  • /var/log/auth.log: Registro de autenticación.
  • /var/log/vobd.log: Registro del demonio de observador de VMware.

El Secuestro de RID en Ciberataques

Un desarrollo relevante en el ámbito de la ciberseguridad involucra al grupo de amenazas Andariel, vinculado a Corea del Norte. Este grupo ha implementado una técnica conocida como secuestro de Identificador Relativo (RID) para modificar el Registro de Windows y asignar permisos administrativos a cuentas de bajo privilegio o cuentas invitadas. Este enfoque permite a los atacantes pasar desapercibidos, ya que las cuentas modificadas no están sujetas al mismo nivel de vigilancia que las cuentas de administrador, lo que les permite realizar acciones maliciosas sin ser detectados.

Para llevar a cabo el secuestro de RID, el atacante debe haber comprometido previamente la máquina y obtenido privilegios administrativos o de sistema. Una vez obtenido el acceso, el atacante cambia el valor de RID de una cuenta estándar al RID de la cuenta de administrador (500). En este caso, el actor de amenazas crea una cuenta nueva, le otorga privilegios de administrador y la agrega al grupo de usuarios de escritorio remoto y administradores mediante el comando «net localgroup». Este proceso da como resultado una escalada de privilegios, lo que le permite al atacante acceder al sistema sin ser detectado.

Nuevas Técnicas de Evasión para Sistemas de Seguridad

Un avance reciente en las técnicas de evasión de seguridad ha sido el uso de puntos de interrupción de hardware para eludir las detecciones de seguimiento de eventos de Windows (ETW). ETW es una característica de Windows que registra eventos generados por aplicaciones y controladores en modo de usuario y kernel. Sin embargo, los atacantes están utilizando una función nativa de Windows llamada NtContinue para evitar desencadenar registros ETW y alertas generadas por las soluciones de detección de amenazas (EDR).

Al emplear puntos de interrupción de hardware a nivel de la CPU, los atacantes pueden manipular la telemetría sin realizar cambios directos en el kernel, lo que les permite mantener un perfil bajo y eludir las defensas tradicionales. Según el investigador de Praetorian, Rad Kawar, esta técnica pone en evidencia cómo los atacantes pueden mantener el sigilo, evitar el escaneo AMSI (Antimalware Scan Interface) y eludir el registro ETW, todo mientras siguen implementando ganchos «sin parches» que evitan la detección.

Reforzar la Seguridad contra Ciberamenazas

Los ataques de ransomware y las técnicas avanzadas de evasión, como el uso de túneles SSH en sistemas ESXi y el secuestro de RID en Windows, subrayan la necesidad de mejorar las estrategias de ciberseguridad en las organizaciones. La implementación de medidas de monitoreo efectivas, la actualización constante de las defensas de red y la vigilancia proactiva de los registros de actividad son esenciales para mitigar estos riesgos. En un panorama de amenazas cada vez más sofisticado, las organizaciones deben estar preparadas para enfrentar ataques complejos que intentan evadir la detección y garantizar la persistencia en sus redes.

Fuente: The Hacker News

You may also like

Dejar Comentario

Click to listen highlighted text!