Tecnología
Productos
Recursos
Empresa
Español
Tecnología
Productos
Blog
Recursos
Empresa

Cómo la IA detectó a un hacker escondido en una red eléctrica pocas horas después de la implementación

Max Heinemeyer, Director of Threat Hunting | viernes 9 de octubre de 2020

El cibercriminal ya había realizado los primeros pasos de una intrusión crítica en una empresa europea de energía para cuando la empresa implementó una IA para la ciberdefensa. A pesar de que el atacante ya estaba al acecho en el sistema, Darktrace pudo reconocer que su actividad se desvió del “patrón de vida” conocido del resto de la organización.

El hacker había accedido a una computadora y había establecido comando y control (C2) mediante la descarga de archivos ejecutables camuflados como archivos PNG inofensivos. Pero Darktrace agrupó de forma autónoma la computadora en un “grupo de compañeros”, todos con dispositivos similares, y detectó que su comportamiento era anómalo en comparación con el del resto del grupo.

La intrusión utilizó muchas técnicas de evasión comunes para eludir las herramientas tradicionales, que incluyen litécnicas de ‘Living off the Land’ y el enmascaramiento de malware detrás de tipos de archivos de uso común. Tras la detección de Darktrace, el análisis posterior de estos archivos “inofensivos” sugiere que podrían ser un posible acceso remoto a través del dispositivo infectado mediante el uso del framework Metasploit.

Detalles del ataque

Figura 1: cronología del ataque

Inmediatamente después de la instalación, Darktrace comenzó a monitorear el comportamiento de alrededor de 5.000 dispositivos, estableciendo un “patrón de vida”, así como también el de sus “grupos de compañeros” y el de toda la organización. Luego de solo dos horas de este proceso de aprendizaje, en el escritorio de un administrador, se observaron conexiones sospechosas a múltiples dominios alojados en la IP 78.142.XX.XXX. La naturaleza regular de estas conexiones sugiere que la infección ya se había establecido en el dispositivo.

Al día siguiente, se observó que el escritorio descargaba un archivo ejecutable sospechoso llamado d.png, y luego se produjeron múltiples descargas similares.

Los archivos ejecutables se suelen enmascarar como otros tipos de archivos, para ayudar a eludir las medidas de seguridad. Sin embargo, Darktrace detectó inmediatamente la extensión de archivo no coincidente y la marcó para hacer una investigación más detallada.

La falta de OSINT para la fuente descargada en el momento de esta actividad, indicaba que otras medidas de seguridad se podrían haber pasado por alto en las conexiones HTTP. Sin embargo, la rareza de la IP en la red junto con el comportamiento inusual en comparación con otros dispositivos de la red, llevó a Darktrace a detectar rápidamente estas señales maliciosas.

Una descripción general del dispositivo infectado

Después de la primera violación del modelo establecido, Darktrace continuó monitoreando el dispositivo infectado, y representó gráficamente las conexiones regulares al endpoint malicioso w.gemlab[.]top. El dispositivo hizo varias conexiones a este endpoint a intervalos precisos de 3 horas, lo que sugiere una actividad automatizada. Ningún otro dispositivo del grupo de compañeros mostró este tipo de comportamiento.

Figura 2: Darktrace muestra las conexiones en un gráfico, con las violaciones al modelo representadas por puntos naranjas

Darktrace detectó la naturaleza sospechosa de estas conexiones HTTP, mostrando claramente la violación al modelo para que el equipo de seguridad la revise y corrija.

Figura 3: Darktrace muestra detalles de alto nivel del ataque

Figura 4: el registro de eventos del dispositivo

Detección de una amenaza que ya se encuentra adentro

Este ejemplo de ataque sofisticado muestra un intento de “mezclarse” con el ruido del tráfico regular. Sin embargo, el Darktrace Immune System pudo identificar los signos de mala conducta, debido a su capacidad de autodetectar y agrupar “grupos de compañeros” de usuarios y dispositivos, y por lo tanto, reconocer comportamiento anormal en el único dispositivo comprometido. A pesar de estar activo solo durante unas horas, Darktrace detectó la actividad rápidamente para hacer una investigación más detallada.

No se le puede restar importancia a las potenciales ramificaciones de esta intrusión sin las alertas y detecciones en tiempo real de Darktrace (junto con una rápida respuesta del equipo de seguridad para contener la amenaza). Con un comando y control efectivos y suficientes privilegios, se sabe que los cibercriminales han sido capaces de tomar el control incluso de redes eléctricas y de provocar cortes de energía masivos en Ucrania y Estonia. Igualmente, los hackers podrían haber retenido grandes volúmenes de archivos confidenciales para chantajear, causando un gran daño financiero y de reputación a la empresa en cuestión.

No es esta la primera vez que Darktrace identifica infecciones existentes en los entornos de clientes (y es poco probable que sea la última vez). La ciberdefensa con un enfoque basado en el autoaprendizaje no se limita a identificar cambios en el entorno, sino que puede detectar infecciones existentes así como ataques novedosos y avanzados que evaden las reglas y firmas tradicionales.

Gracias a la analista de Darktrace, Emma Foulger, por la información sobre los descubrimientos de amenazas halladas.

IoCs:

IoCComentario
cloud.apcdn[.]ruMúltiples descargas del archivo desde este endpoint
URI: /d.png
Hash: 82e1c9727ae04a19c8a155559e1855349e528244
w.gemlab[.]topPrimera conexión C2 observada vista con este nombre de host
cloud.gemlab[.]top
img.gemlab[.]top
img.apcdn[.]ru
Otra comunicación C2 observada vista con estos nombres de host

Detecciones del modelo de Darktrace:

  • Device / Suspicious Domain
  • Compromise / Agent Beacon (Long Period)
  • Anomalous File / EXE from Rare External Location
  • Anomalous File / Masqueraded File Transfer

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.