Los hackers se fueron a lo grande al hacer exploit de software legítimo. Varios informes de la conferencia Black Hat 2017 demostraron que las soluciones empresariales de Microsoft podrían ser bastante útiles en manos de un atacante.
Las empresas que utilizan nubes híbridas deben adoptar consideraciones de seguridad diferentes a las que utilizan sistemas de nube tradicional. Sin embargo, en la práctica no se están actualizando con la rapidez suficiente y por ello está dando a lugar numerosos puntos ciegos de seguridad que los atacantes pueden explotar, como se demostró en julio en la conferencia Black Hat 2017. Los estudios demostraron que la infraestructura de una típica oficina puede ayudar a los atacantes a permanecer invisibles para la mayoría de las soluciones de seguridad.
Una vez que los hackers con motivación financiera se hayan infiltrado en una red corporativa, su mayor dificultad es lograr el intercambio de datos encubiertos entre los dispositivos infectados. Sobre todo, su objetivo es que los dispositivos infectados reciban comandos y transmitan información robada sin alterar los sistemas de detección de intrusiones (SDI) y los sistemas de prevención de pérdida de datos (PPD). Al ayudar a tales atacantes, los servicios de Microsoft a veces no funcionan bajo restricciones de zona de seguridad, por lo que los datos transmitidos por estos servicios no analizan lo suficiente.
Un estudio de Ty Miller y Paul Kalinin de Threat Intelligence muestra como los bots pueden comunicarse a través de los servicios de Active Directory (AD) de una red corporativa porque todos los clientes, incluyendo los celulares, de una red y la mayoría de los servidores deben acceder al servidor AD (el punto de comunicación central) para la autenticación, lo que es muy conveniente para administrar una red de bots. Por otra parte, los investigadores dicen que la integración de Azure AD con un servidor de la empresa AD concede acceso directo a una botnet desde el exterior.
¿Cómo puede ayudar AD a administrar una red de bots y extraer datos? El concepto es muy simple. De forma predeterminada, cada cliente de la red puede actualizar su información (por ejemplo, el número de teléfono del usuario y la dirección de correo electrónico) en el servidor AD. Los campos habilitados para escritura son los de alta capacidad que pueden almacenar hasta un megabyte de datos. Otros usuarios de AD pueden leer toda esta información, creando así un canal de comunicación.
Los investigadores recomiendan buscar cambios periódicos e inusuales en los campos de AD y deshabilitar la capacidad de los usuarios de escribir en la mayoría de estos.
Un estudio de Craig Dods de Juniper Networks habla sobre otra técnica para la extracción encubierta de datos que hace uso de los servicios de Office 365. La más popular entre las técnicas emplea OneDrive para los negocios, que casi el 80 % de los clientes de Microsoft Online Services utilizan. A los hackers les gusta porque los usuarios corporativos más pequeños suelen fiarse de los servidores de Microsoft, permitiendo conexiones de alta velocidad a los mismos y omitiendo el descifrado para subir archivos. Como resultado, la tarea de un hacker es conectar un disco OneDrive en el equipo objetivo usando otras credenciales de usuario no empresariales. En ese caso, copiar datos a OneDrive no se considera un intento de abandonar el perímetro, ya que los sistemas de seguridad suponen que el disco conectado es uno de la empresa. El disco se puede conectar en modo invisible, disminuyendo las posibilidades de detección. El atacante necesita dos herramientas más de Microsoft para ello: Internet Explorer y PowerShell. Como resultado, un robot puede copiar libremente datos en su propio disco y el atacante puede simplemente descargarlo desde OneDrive.
Según Dods, para mantenerse protegido contra tal ataque, los usuarios necesitan restringir el acceso para permitir solo los subdominios de Office 365 que ya pertenecen a la empresa. También se recomienda realizar una inspección profunda del tráfico cifrado y analizar el comportamiento de los scripts de PowerShell con cautela.
También hay que tener en cuenta que ambas amenazas siguen siendo solo hipotéticas. Para utilizar las tecnologías, los ciberdelincuentes tienen que empezar por filtrarse en la infraestructura de una víctima. Una vez hecho, sin embargo, su actividad será indetectable no sólo para la mayoría de las soluciones de seguridad actualizadas, sino también para el observador desprevenido. Es por ello que tiene sentido buscar periódicamente vulnerabilidades en la infraestructura informática. Por ejemplo, tenemos un conjunto completo de servicios profesionales para analizar lo que ocurre en tu infraestructura desde la perspectiva de la seguridad de la información y, si es necesario, comprobar si hay intrusiones en el sistema.