El uso de credenciales válidas prevaleció cada vez más entre los compromisos de IR que investigó el equipo de IR de FortiGuard en 2022. Representan aproximadamente el 44 % de los métodos de acceso inicial.
Los datos sobre el uso de credenciales válidas para el acceso inicial se derivan de investigaciones en las que la primera actividad del adversario que se podría vincular a una intrusión es un inicio de sesión con credenciales legítimas. Esto puede ocurrir por varias razones, pero las más probables son:
- El adversario recopiló credenciales en una actividad anterior que no se pudo vincular a una intrusión, por ejemplo, una campaña de recolección de credenciales antes del incidente que no se informó.
- El adversario compró las credenciales de un corredor de acceso que obtuvo las credenciales de la víctima a través de un compromiso anterior.
Vulnerabilidades TI
En la mayoría de estas situaciones, hubo servicios vulnerables en los dispositivos de red (por ejemplo, la interfaz de administración de un dispositivo de red) o endpoints (por ejemplo, una conexión de protocolo de escritorio remoto [RDP] a Internet) que estaban presentes en el entorno de la víctima durante períodos prolongados antes del ataque. Tales debilidades en la superficie de ataque de la red probablemente contribuyeron a que el adversario accediera a los detalles de la cuenta válida, con un acceso inicial obtenido mediante el uso de las vulneraciones de seguridad.
El uso de cuentas válidas da a los adversarios una ventaja, ya que eluden las oportunidades de detección temprana de la cadena de eliminación que, por lo general, puede identificar más fácilmente un ataque. El uso de cuentas válidas también es una técnica de evasión de la defensa, dado que puede ser difícil diferenciar entre el uso de credenciales legítimas y el uso indebido de credenciales legítimas de un actor de amenazas. Este problema se agrava cuando las actividades legítimas y adversarias con la misma cuenta válida se superponen.
Ciberinstrusión
La visión tradicional de una ciberintrusión es que un actor de amenazas obtiene acceso a un entorno al aprovechar una vulnerabilidad en algún lugar de la superficie de ataque, lanza algún tipo de malware, avanza secuencialmente a través de la cadena de eliminación y luego hace sus acciones en los objetivos. Sin embargo, cuando las credenciales válidas están disponibles, se evaden muchas detecciones en las que un equipo de SOC puede confiar para identificar comportamientos maliciosos.
En una investigación de ransomware, por ejemplo, el adversario usó cuentas válidas para moverse a través de un entorno e implementar un script de ransomware basado en BitLocker a través de un RDP. En este incidente, el tiempo que transcurrió desde el acceso inicial hasta la implementación del ransomware fue de cuatro horas. El actor de amenazas solo usó métodos válidos de movimiento lateral a través de la red al aprovechar las credenciales legítimas, luego distribuyó ransomware sin usar ningún “malware”.
Abajo se muestra una superposición de MITRE ATT&CK para los TTP empleados como parte de esta intrusión.
Conoce más sobre las soluciones de ciberseguridad personalizadas de BG2 Services
Fuente
FortiGuard Labs. (2023). Inorme Global del Panorama de Amenazas 2022. Fortinet. https://www.fortinet.com/lat/demand/gated/threat-report-2h-2022
