Los hacker evolucionan tan rápido como lo hacen los sistemas, un ejemplo de esto lo vemos con el uso de los malware que han descendido notoriamente en los últimos dos años gracias a la aparición de PowerShell, una herramienta que te permite invadir un sistema sin que puedas darte cuenta de nada. Así que ahora no se necesita un malware si puedes usar PowerShell.
Cómo funciona PowerShell
Si tienes aires de hacker pregúntate para qué necesitas un malware si puedes usar PowerShell. Según parece, gracias a las nuevas forma de hackeos la red privada de cualquier empresa puede ser saqueada por scripts automatizados sin la necesidad de recurrir a algún malware.
De hecho, investigadores de X-Force de IBM encontraron que menos de un 50% de los ataques analizados en 2018 utilizaban algún tipo de archivo instalado localmente. En su lugar, los hackers utilizaron scripts de PowerShell para ejecutar sus acciones en la memoria sin tocar significativamente los sistemas de archivos.
Este descubrimiento es importante porque les recuerda a los administradores que ya no pueden confiar únicamente en la detección de malware y datos similares en los discos duros y otros dispositivos de almacenamiento, para identificar las intrusiones cibernéticas.
Pero ¿Cómo hacen esto? Al igual que con las infecciones de malware local, el atacante primero debe tener la capacidad de ejecutar comandos maliciosos. Lo que difiere es el siguiente paso, ya que el hacker no dirige a la máquina infectada a descargar, guardar y ejecutar una carga de troyanos. Más bien, el ataque se ejecuta completamente en la memoria usando PowerShell, donde se puede usar el poderoso lenguaje de scripting de Microsoft para hacer cualquier cosa, desde la recolección y el robo de contraseñas hasta la minería de criptomoneda.
Sin embargo, es posible crear un sistema de protección envolvente alrededor de PowerShell para evitar que se abuse de ellas, como requerir que las secuencias de comandos estén firmadas digitalmente. PowerShell es útil en la recopilación y análisis de datos, pero también favorece a los hackers que lo utilizan para renunciar al sistema de archivos e inyectar código malicioso directamente en la memoria, mejorando así la ofuscación y, a menudo, evitando los controles de seguridad diseñados para detectar implementaciones de malware.
En informe emitido por IBM se puede leer lo siguiente:
«Los hackers han expandido sus capacidades utilizando PowerShell en los últimos años. IBM X-Force IRIS ha encontrado casos en los que los paquetes de herramientas maliciosos completos estaban contenidos en los scripts de PowerShell».
En algunos casos, los delincuentes ni siquiera necesitarían ejecutar un exploit super-leet para robar datos corporativos. El informe de X-Force señala que los incidentes de mala configuración, en los casos en que las bases de datos y los compartimientos de almacenamiento se dejaron expuestos a la Internet pública, también aumentaron un 20% respecto al año pasado y representaron el 43% de todos los registros expuestos.
Además de los archivos y registros expuestos, los errores de configuración también pueden provocar indirectamente otros ataques cuando se trata de contraseñas y direcciones de correo electrónico que se utilizan para iniciar sesión en otras cuentas y llevar a cabo otras fechorías.
Finalmente, según el informe, los ataques de ingeniería social siguen siendo tan efectivos como siempre.
leer más