25 de septiembre de 2024Ravie LakshmananPruebas de penetración / Amenaza cibernética Los investigadores de ciberseguridad han señalado el descubrimiento de una nueva herramienta de equipo rojo de post-explotación llamada Splinter en la red. La Unidad 42 de Palo Alto Networks compartió sus hallazgos después de descubrir el programa en los sistemas de varios clientes. «Tiene un conjunto estándar de características que se encuentran comúnmente en las herramientas de prueba de penetración y su desarrollador lo creó utilizando el lenguaje de programación Rust», dijo Dominik Reichel de la Unidad 42. «Si bien Splinter no es tan avanzado como otras herramientas de post-explotación conocidas como Cobalt Strike, aún presenta una amenaza potencial para las organizaciones si se usa incorrectamente». Las herramientas de prueba de penetración se utilizan a menudo para operaciones de equipo rojo para señalar posibles problemas de seguridad en la red de una empresa. Sin embargo, los actores de amenazas también pueden utilizar estas herramientas de simulación de adversarios para su beneficio. La Unidad 42 dijo que no ha detectado ninguna actividad de actores de amenazas asociada con el conjunto de herramientas Splinter. Todavía no hay información sobre quién desarrolló la herramienta. Los artefactos descubiertos por la empresa de ciberseguridad revelan que son «excepcionalmente grandes», con un peso de alrededor de 7 MB, principalmente debido a la presencia de 61 cajas de Rust en su interior. Splinter no se diferencia de otros marcos de post-explotación en que viene con una configuración que incluye información sobre el servidor de comando y control (C2), que se analiza para establecer contacto con el servidor mediante HTTPS. «Los implantes de Splinter están controlados por un modelo basado en tareas, que es común entre los marcos de post-explotación», señaló Reichel. «Obtiene sus tareas del servidor C2 que el atacante ha definido». Algunas de las funciones de la herramienta incluyen la ejecución de comandos de Windows, la ejecución de módulos a través de la inyección de procesos remotos, la carga y descarga de archivos, la recopilación de información de cuentas de servicios en la nube y la eliminación del sistema. «La creciente variedad subraya la importancia de mantenerse actualizado sobre las capacidades de prevención y detección, ya que es probable que los delincuentes adopten cualquier técnica que sea eficaz para comprometer a las organizaciones», dijo Reichel. La revelación se produce cuando Deep Instinct detalló dos métodos de ataque que podrían ser explotados por actores de amenazas para lograr la inyección de código sigiloso y la escalada de privilegios aprovechando una interfaz RPC en Microsoft Office y un shim malicioso, respectivamente. «Aplicamos un shim malicioso en un proceso sin registrar un archivo SDB en el sistema», dijeron los investigadores Ron Ben-Yizhak y David Shandalov. «Evitamos eficazmente la detección de EDR escribiendo en un proceso secundario y cargando la DLL de destino desde el proceso secundario suspendido antes de que se pueda establecer cualquier gancho EDR». En julio de 2024, Check Point también arrojó luz sobre una nueva técnica de inyección de procesos llamada Thread Name-Calling que permite implantar un shellcode en un proceso en ejecución abusando de la API para descripciones de subprocesos mientras se elude los productos de protección de endpoints. «A medida que se agregan nuevas API a Windows, aparecen nuevas ideas para técnicas de inyección», dijo la investigadora de seguridad Aleksandra «Hasherezade» Doniec. «Thread Name-Calling utiliza algunas de las API relativamente nuevas. Sin embargo, no puede evitar la incorporación de componentes más antiguos y conocidos, como las inyecciones de APC, API que siempre deben tenerse en cuenta como una amenaza potencial. De manera similar, la manipulación de los derechos de acceso dentro de un proceso remoto es una actividad sospechosa». ¿Te resultó interesante este artículo? Síguenos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Deja una respuesta