Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.
Inicio/
Blog
/
APT37, los archivos LNK y el USB en entornos aislados...
APT37, los archivos LNK y el USB en entornos aislados
Por
OPSWAT
Comparte esta publicación
La información reciente sobre APT37 ha puesto de relieve la grave realidad de que muchas organizaciones siguen considerando que las redes aisladas son impenetrables, a pesar de que hay pruebas que demuestran lo contrario. Cuando se les niegan los puntos de acceso a través de la red, los atacantes recurren a vectores físicos. En entornos industriales, de defensa y de infraestructuras críticas, ese vector suele ser casi siempre un soporte extraíble.
USB siguen siendo imprescindibles para tareas como actualizaciones de firmware, extracción de registros, mantenimiento por parte de los proveedores y transferencia de archivos de ingeniería. El uso por parte de APT37 de archivos de acceso directo LNK maliciosos constituye un ejemplo paradigmático de cómo se aprovecha esta superficie de ataque con una complejidad técnica mínima y un impacto operativo máximo.
Por qué los archivos LNK suponen una amenaza importante para los entornos aislados
Un archivo LNK es un acceso directo nativo de Windows. Su aspecto es indistinguible del de una carpeta o un documento legítimo, un detalle que un atacante aprovecharía deliberadamente.
A pesar de su apariencia inofensiva, un archivo LNK malicioso es capaz de:
Ejecución de PowerShell u otros intérpretes nativos del sistema
Ejecución de scripts ocultos almacenados en el dispositivo extraíble
Preparación y activación de cargas útiles sin necesidad de conectividad externa
Aprovechar las utilidades de confianza del sistema operativo para eludir la detección
Ninguna de estas vías de ejecución requiere acceso a la red, la aprobación de una macro por parte del usuario ni la presencia de un archivo binario de malware independiente. Esto convierte al propio acceso directo en el mecanismo de propagación de la amenaza, lo que puede tener un impacto significativo en un entorno aislado físicamente. Por ejemplo, un operador inserta una USB , hace doble clic en lo que parece ser un documento técnico habitual y el ataque se inicia de forma silenciosa en el entorno local, sin activar alertas inmediatas.
La realidad operativa del Media extraíbles
El problema de fondo no es la existencia del USB tecnología, sino la falta de una normativa que regule su uso. En muchos entornos de tecnología operativa (OT), la situación actual pone de manifiesto una importante falta de control:
Los soportes extraíbles se insertan directamente en las estaciones de trabajo de producción e ingeniería sin necesidad de un control previo
Los archivos se abren sin que se realice ningún tipo de inspección de su contenido
No existe una visión general centralizada de qué datos se transfirieron, cuándo ni quién los transfirió
Las políticas que regulan los tipos de archivos ejecutables, como los archivos LNK, EXE o de script, o bien no existen, o bien no se aplican de manera coherente
Los autores de amenazas sofisticadas no necesitan burlar los controles técnicos cuando las prácticas operativas les ofrecen un camino sin obstáculos. Esa es la diferencia entre APT37 y otros actores similares que aprovechan activamente esa vulnerabilidad.
La suposición más peligrosa en materia de seguridad de los sistemas operativos es que el aislamiento físico equivale a protección. En todos los entornos de infraestructuras críticas en los que he trabajado, los soportes extraíbles son operativamente necesarios, y esa necesidad es precisamente con lo que cuentan los autores de las amenazas. Cuando un USB elude los controles de seguridad y llega a una estación de trabajo de ingeniería, ya no se trata de un problema de red. Se trata de lidiar con las consecuencias.
Itay Glick
Gerente general, Hardware OT Security Hardware OT Security
Por qué un Kiosk USB Kiosk un elemento de control fundamental
Confiar en la detección en los puntos finales una vez que se ha insertado un USB en un activo de producción supone adoptar una postura reactiva. En entornos de tecnología operativa (OT), un enfoque reactivo hace que sea demasiado tarde para contener una brecha de seguridad. El enfoque más adecuado desde el punto de vista operativo consiste en aplicar una inspección de contenidos antes de que los soportes extraíbles lleguen a cualquier sistema de producción.
Un quiosco USB es una solución que establece un punto de control obligatorio y supervisado entre el entorno externo y el perímetro de la red OT/ICS. Dado que los soportes extraíbles se procesan a través de una estación de inspección adecuada antes de su uso, cada dispositivo se somete a:
Análisis de malware con varios motores para detectar amenazas conocidas
Desactivación y reconstrucción del contenido de los archivos para neutralizar el contenido activo que contienen
Aplicación de políticas de tipos de archivo para impedir que formatos no autorizados entren en el entorno
Inspección a nivel del dispositivo para evaluar la integridad del propio soporte
Registro exhaustivo de auditoría para mantener una cadena de custodia completa de cada transferencia
Esta arquitectura separa físicamente el proceso de inspección de los sistemas de producción, lo que garantiza que el contenido de alto riesgo se neutralice antes de que pueda llegar a cualquier activo operativo.
Cómo los quioscos mitigan directamente las cadenas de ataques basadas en LNK
Un flujo de trabajo de quiosco de escaneo correctamente configurado considera, por defecto, los archivos LNK y otros elementos similares con capacidad de ejecución como objetos de alto riesgo. En la práctica, esto significa:
Los archivos de accesos directos y de scripts se bloquean automáticamente durante la fase de inspección
Se elimina el contenido ejecutable de los tipos de archivo aprobados
Se identifican y neutralizan las estructuras de comandos sospechosas incrustadas en los archivos
Solo se permite el acceso al entorno OT a los tipos de archivo expresamente autorizados
Si un atacante incrusta una carga maliciosa en un archivo LNK, esta se intercepta y se neutraliza antes de que el USB llegue a una estación de trabajo de ingeniería. Si la política de la organización prohíbe por completo los archivos de acceso directo, estos se filtran en el quiosco y la cadena de ataque se interrumpe antes de que pueda iniciarse.
Protección del perímetro físico
Las barreras físicas ofrecen la mayor garantía de seguridad cuando se aplican controles en el plano físico. Un quiosco USB ofrece a las organizaciones:
Aplicación centralizada de políticas en instalaciones y centros operativos distribuidos
Una aplicación de control sistemática que reduce la dependencia del criterio individual de los usuarios
Visibilidad operativa completa de toda la actividad de los soportes extraíbles
Documentación preparada para auditorías que garantiza el cumplimiento de los marcos normativos y sectoriales
Menor exposición al riesgo para estaciones de trabajo de ingeniería, sistemas de seguridad y otros activos de alto impacto
Esto resulta especialmente crítico en entornos en los que un solo dispositivo final comprometido puede propagarse y afectar a la continuidad de la producción, la seguridad del personal o la fiabilidad de la red eléctrica.
La inspección previa a la inserción no es la mejor práctica. Es la única práctica que permite subsanar las deficiencias.
Itay Glick
Gerente general, Hardware OT Security Hardware OT Security
Cómo OPSWAT Secure infraestructura crítica
Los entornos aislados físicamente no se ven comprometidos por el hecho de estar conectados. Se ven comprometidos porque, por defecto, se confía en los soportes extraíbles. Ante las sofisticadas campañas dirigidas contra infraestructuras críticas, esa suposición por defecto supone un riesgo que las organizaciones ya no pueden permitirse asumir. Cuando los soportes extraíbles forman parte de su flujo de trabajo operativo, las soluciones Media de periféricos y Media extraíbles OPSWAT ofrecen controles multicapa que subsanan esta brecha.
MetaDefender Kiosk™: Secure Media Secure en el punto de entrada
Para protegerse contra los vectores de ataque USB, MetaDefender Kiosk actúa como una estación de análisis físico para proteger los activos de las organizaciones. Se integra con soluciones y tecnologías probadas y líderes en el sector para depurar los datos antes de que entren en entornos críticos. En combinación con soluciones como MetaDefender File Transfer™ (MFT) y MetaDefender Media , MetaDefender Kiosk capas adicionales de defensa que se pueden añadir para garantizar transferencias de archivos seguras y aplicar políticas de análisis.
MetaDefender Endpoint™: Protección previa a la ejecución y control de dispositivos
MetaDefender Endpoint refuerza la seguridad de los puntos finales y ofrece protección para dispositivos periféricos y soportes extraíbles en entornos críticos. Detecta y bloquea de forma activa los dispositivos de almacenamiento extraíbles hasta que se han analizado a fondo y se ha comprobado que están limpios, antes de concederles acceso al sistema.
Media como una capa adicional de protección
OPSWAT soluciones adicionales para respaldar una estrategia de defensa en profundidad que permita una protección en múltiples niveles mediante la validación de los soportes y la aplicación de políticas de análisis y desinfección.
MetaDefender Media Firewall es una solución de hardware fácil de usar que protege los sistemas host críticos frente a las amenazas que transmiten los soportes extraíbles. Funciona junto con MetaDefender Kiosk una capa física dentro de los entornos OT para garantizar que ningún soporte extraíble sin escanear pueda eludir los puntos de entrada.
MetaDefender Validation es una herramienta ligera que se instala en los dispositivos finales y actúa como punto de control para garantizar que el dispositivo soloKiosk abrir, copiar, seleccionar y acceder a los archivos analizados por MetaDefender Kiosk .
Tecnologías punteras en el sector
Tanto MetaDefender Kiosk MetaDefender Endpoint tecnologías probadas y reconocidas a nivel mundial, como Metascan™ Multiscanning, que alcanza tasas de detección de malware del 99,2 % gracias al uso de más de 30 motores antimalware. Además, emplean la tecnología Deep CDR™ para eliminar de forma proactiva el contenido malicioso de los archivos sin comprometer su funcionalidad. Además de realizar evaluaciones de vulnerabilidad para identificar fallos de software conocidos en soportes extraíbles y proporcionar una sólida protección contra la fuga de datos confidenciales, ambas soluciones ofrecen una defensa profunda y multicapa para redes de TI/TO frente a amenazas de dispositivos periféricos y soportes extraíbles.
Conclusión para los directivos
APT37 no superó el aislamiento físico burlando la arquitectura de seguridad de la red. Aprovechó las funcionalidades del sistema operativo y los flujos de trabajo relacionados con los soportes extraíbles, que se encuentran totalmente bajo el control de la organización.
Para hacer frente a este reto, la prevención debe aplicarse antes de que la ejecución llegue al punto final si los soportes extraíbles forman parte de su flujo de trabajo operativo. En la mayoría de los entornos OT/ICS, así es. Por lo tanto, debe regirse por normas estrictas, al igual que cualquier control del perímetro de la red:
Revisar antes de la implementación: ningún dispositivo debe llegar a un sistema de producción sin haber sido sometido previamente a una revisión
Registrar antes de transferir: cada interacción con los medios debe generar un registro que pueda ser auditado
Actuar antes de acceder: el riesgo debe neutralizarse en el punto de entrada, no detectarse a posteriori
Para descubrir cómo OPSWAT ayudarte a neutralizar las amenazas procedentes de soportes extraíbles y periféricos antes de que lleguen a tu entorno crítico, habla hoy mismo con un experto.
