Un troyano de acceso remoto (RAT) con 12 años de antigüedad, que salió a la luz por primera vez en 2008, ha salido ahora de su escondite para propagar una nueva variante de virus en 2020.
Acerca del malware
A lo largo de su historia, las distintas variantes de este virus, conocido como «Taidoor», han atacado principalmente a organismos gubernamentales, pero con el paso de los años han ampliado su lista de víctimas a think tanks, el sector financiero, las telecomunicaciones y la industria manufacturera.
El FBI publicó una advertencia y un Informe de Análisis de Malware (MAR) el 3 de agosto para alertar a las organizaciones y, con suerte, reducir la exposición a Taidoor, que considera una amenaza patrocinada por el Estado chino —lo cual, de por sí, es motivo de preocupación—. Los hackers patrocinados por el Estado son aquellos que cuentan con la autorización o están a sueldo de sus gobiernos, y que a menudo tienen como objetivo a países rivales para obtener información privilegiada sobre sus defensas, datos confidenciales y propiedad intelectual, así como para perturbar las operaciones gubernamentales.
Patrocinado por el Estado = Una fuerza a tener en cuenta
Los ataques patrocinados por Estados suelen suponer una amenaza mucho mayor que un virus común.
- Están dirigidos de forma muy precisa: Estos ataques suelen llevarse a cabo mediante spear-phishing, en el que se investiga a fondo a una persona concreta y se le ataca teniendo como objetivo principal una organización de gran valor. Los correos electrónicos de spear-phishing están ingeniosamente redactados para que parezcan auténticos, hasta el punto de que incluso un ojo experto podría no detectar el ataque. Esto significa que es mucho más probable que la persona descargue archivos adjuntos maliciosos de un ataque de spear-phishing, allanando el camino para el malware que le sigue.
- Son expertos en ocultar su identidad: Los hackers patrocinados por Estados se esfuerzan por permanecer en el anonimato —lo que a menudo consiguen actuando bajo la apariencia de otro malhechor o canalizando la información a través de varios países diferentes para ocultar el país de origen—, de modo que a los investigadores les resulte difícil rastrear su origen y determinar su verdadero propósito; no saber quién o qué está atacando hace que sea mucho más difícil establecer una defensa.
- Son expertos en eludir la detección: Una característica de los ciberataques patrocinados por Estados —y que los hace más peligrosos— es permanecer durante mucho tiempo en la red objetivo tras conseguir una puerta trasera. Una vez dentro, los operadores del ataque pueden recopilar y sustraer información confidencial a su antojo y conocer los patrones y hábitos de la organización, todo ello sin ser detectados por los sistemas de seguridad existentes, muchos de los cuales simplemente no están a la altura para detectar o prevenir ataques tan sofisticados.
Por encima de todo, los ataques patrocinados por Estados superan a los demás debido a los recursos de que disponen.
Consideremos los dos casos siguientes:
Escenario uno: Un virus de ransomware fácilmente reconocible, descargado parcialmente de la dark web, enviado a través de correos electrónicos de phishing por un operador solitario desde un almacén en Ucrania, sin ningún objetivo concreto en mente.
Segunda hipótesis: Un RAT, creado y perfeccionado a lo largo de los años por una agencia bien equipada, con acceso a información de inteligencia y recursos ilimitados, diseñado específicamente para un individuo de una organización objetivo sobre el que se ha investigado a fondo.
Defenderse de uno es muy diferente a defenderse del otro. Esto reviste especial importancia en el contexto actual de incertidumbre y agitación que se vive en todo el mundo, en medio de la pandemia de la COVID-19 y las próximas elecciones estadounidenses: es poco probable que los ataques patrocinados por los gobiernos disminuyan en un futuro próximo.
Análisis del malware: desentrañando el RAT
Se cree que Taidoor es uno de esos virus patrocinados por el Estado. Entonces, ¿cómo funciona?
Como RAT, su objetivo es obtener acceso no autorizado a un dispositivo, desde donde puede proporcionar a sus operadores acceso remoto para copiar archivos, ejecutar comandos y supervisar el sistema objetivo sin ser detectado. Al igual que otras variantes, esta cepa de Taidoor suele comenzar cuando se insta a una persona a abrir el archivo adjunto de un correo electrónico de spear-phishing. Una vez abierto, un documento señuelo hace creer a la víctima que no hay nada sospechoso; mientras tanto, el contenido malicioso comienza a actuar en el dispositivo.
Según el Informe de análisis de malware publicado por la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE. UU. (CISA), se han identificado cuatro archivos como Taidoor: dos para las plataformas Windows de 32 bits y otros dos para las de 64 bits:
1. ml.dll – Cargador de 32 bits
2. rasautoex.dll – Cargador de 64 bits
3. y 4. svchost.dll: los archivos del RAT Taidoor, uno para cada versión de Windows.
En ambos sistemas operativos Windows, el primero de los dos archivos es una biblioteca de vínculos dinámicos (DLL). Una biblioteca de vínculos dinámicos está compuesta por varios programas pequeños, procedimientos y código que pueden ser utilizados por múltiples programas más grandes al mismo tiempo. Los archivos DLL ayudan a ahorrar memoria del ordenador, ya que la información se comparte entre los programas.
Según el Informe de análisis de malware de la CISA, el cargador de Windows de 32 bits, ml.dll, y el de 64 bits, rasautoex.dll, se inician como servicios en sus respectivas plataformas. A partir de ahí, buscan el segundo archivo del directorio de ejecución: svchost.dll, el RAT Taidoor.
A continuación, el RAT se carga en la memoria del ordenador y los archivos de carga lo descifran, tras lo cual se ejecuta su función «Start» y el troyano comienza a funcionar para establecer el acceso remoto de los operadores del ataque.
Línea de defensa 1: OPSWAT MetaDefender Cloud
Entonces, ¿cómo se acaba con una rata así? O mejor aún: cómo evitar la infestación desde el principio. ¡Nuestra respuesta es utilizar un sistema de defensa de doble capa!
Un virus, por supuesto, requiere un antivirus. Sin embargo, dada la sofisticación de Taidoor —y la probabilidad de que cuente con el respaldo de una agencia bien equipada y con abundantes recursos—, confiar en una única solución antivirus para terminales a la hora de detectar y prevenir un ataque de este tipo supone un gran riesgo.
Nuestros expertos en ciberseguridad lo saben; por eso hemos ideado una solución que reduce el riesgo al mínimo.
Esta solución es MetaDefender Cloud, que ofrece detección y prevención de amenazas mediante el uso de una serie de técnicas avanzadas.
Escaneo simultáneo
Una de estas técnicas, denominadaMultiscanning, utiliza más de 30 motores antimalware para detectar amenazas tanto conocidas como desconocidas mediante heurística, comparación de firmas y tecnología de aprendizaje automático. El uso de tantos motores antivirus ofrece numerosas ventajas:
- Mayor tasa de detección: Todos los motores antivirus utilizan técnicas diversas y se especializan en diferentes áreas a la hora de detectar malware. Las estadísticas muestran que cuantos más motores antivirus se utilicen, mayor es la tasa de detección. Al utilizar más de 30 motores antivirus, MetaDefender Cloud presumir de una tasa de detección superior al 99 %.
- Tiempos de exposición reducidos: Los motores antimalware tardan diferentes cantidades de tiempo en detectar nuevas amenazas; confiar en una única solución para puntos finales podría suponer un tiempo de exposición más prolongado si dicha solución no detecta las nuevas amenazas tan rápidamente como otras. El uso de múltiples motores antivirus significa que las posibilidades de quedar desprotegido cuando surge una nueva amenaza se reducen al mínimo absoluto.
- Se eliminan las limitaciones de utilizar un único proveedor: Todas las soluciones antimalware tienen puntos fuertes y débiles. El uso de más de 30 motores antimalware significa que las limitaciones de uno quedan cubiertas por otro. El mismo principio se aplica si una solución no puede funcionar debido a limitaciones geográficas o empresariales; tenga la seguridad de que otra de las más de 30 soluciones cubrirá esta necesidad.
MetaDefender Cloud al RAT Taidoor
En lo que respecta al RAT en cuestión, MetaDefender Cloud muy eficaz.
Toma las siguientes muestras de cada archivo utilizado para infectar un sistema informático con Taidoor y comprueba la tasa de detección mediante análisis múltiple cuando MetaDefender Cloud analiza cada una de ellas:
1. ml.dll - Cargador de 32 bits: 4a0688baf9661d3737ee82f8992a0a665732c91704f28688f643115648c107d4
2. rasautoex.dll - Cargador de 64 bits: 6e6d3a831c03b09d9e4a54859329fbfd428083f8f5bc5f27abbfdd9c47ec0e57
3. svchost.dll - RAT Taidoor de 32 bits: 363ea096a3f6d06d56dc97ff1618607d462f366139df70c88310bbf77b9f9f90
4. svchost.dll - RAT Taidoor de 64 bits: 0d0ccfe7cd476e2e2498b854cef2e6f959df817e52924b3a8bcdae7a8faaa686
Muestras de malware facilitadas por la CISA en el informe de análisis del malware Taidoor.
MetaDefender Cloud detecta malware en las cuatro muestras utilizadas en los ataques de Taidoor, y varios motores las marcan como maliciosas en cada ocasión.
Estas detecciones constituyen un ejemplo real de lo que ocurriría si un usuario intentara descargar el RAT Taidoor a través de un ataque de spear-phishing: MetaDefender detectaría y marcaría los archivos, y los bloquearía en el dispositivo, evitando así la infección.
Línea de defensa 2: Administración previa solicitud
La segunda línea de defensa consiste en el software de gestión de accesos privilegiados (PAM). El PAM se refiere a la práctica de restringir, controlar y supervisar el acceso de alto nivel a los sistemas informáticos mediante el principio del mínimo privilegio (POLP), que consiste en permitir únicamente el acceso mínimo necesario para llevar a cabo las actividades, y la elevación de privilegios «justo a tiempo» (JIT), que permite el acceso con privilegios elevados solo cuando y donde sea absolutamente necesario.
Nuestros socios, Admin By Request, ofrecen una solución de PAM de este tipo, presentada en un paquete fácil de implementar, utilizar, gestionar y mantener. En esencia, Admin By Request revoca los derechos de administrador de forma rápida y eficaz.
En el portal de usuarios, se pueden crear grupos y personalizar la configuración para adaptarse a todos los niveles de usuarios, en función de sus necesidades de acceso.
La página «Solicitudes» muestra todas las solicitudes que los usuarios han realizado para ejecutar aplicaciones con privilegios de administrador o para disponer de una sesión temporizada en la que tengan acceso elevado a su equipo, con la opción de aprobar o denegar dichas solicitudes a través del portal de usuario web o de la mobile .
El registro de auditoría registra la actividad que tiene lugar cuando los usuarios ejecutan una aplicación como administrador o tienen una sesión de administrador, lo que permite supervisar todos los accesos con privilegios elevados.
En el Inventario se recopilan y muestran todos los datos necesarios sobre el dispositivo de cada usuario, junto con las aplicaciones con privilegios elevados y las sesiones de administrador que utiliza dicho usuario.
En definitiva, todas estas funciones permiten a Admin By Request proteger los terminales al impedir que los usuarios accedan a partes críticas de sus equipos y realicen cambios en ellas.
Admin By Request frente al RAT Taidoor
¿Cómo se compara la solución PAM de Admin By Request con el RAT de Taidoor?
Teniendo en cuenta cómo debe actuar el virus para infectar un sistema, la respuesta es: muy bien.
Según nuestro análisis del malware, sabemos que los archivos de carga (ml.dll y rasautoex.dll) inician el proceso de infección ejecutándose como servicios de Windows en sus respectivas plataformas.
- La función «Admin By Request» interrumpe este primer paso al revocar los derechos de administrador local: dado que los usuarios normales no pueden iniciar, detener ni reiniciar los servicios de Windows, es imposible que los archivos del cargador Taidoor se ejecuten como servicios en cualquier dispositivo en el que esté instalada la función «Admin By Request», a menos que el usuario obtenga primero acceso de administrador.
Otro de los primeros pasos del proceso de infección de Taidoor consiste en que los archivos de carga leen el archivo RAT (svchost.dll) en la memoria del ordenador.
Una vez más, «Admin By Request» evita que esto suceda al restringir el acceso con privilegios elevados:
- Las cuentas de usuario que no disponen de privilegios administrativos no pueden acceder a la memoria del dispositivo host sin obtener primero acceso elevado, lo que significa que los archivos del cargador Taidoor no pueden leer ni escribir en la memoria de un terminal que tenga instalado Admin By Request.
Si un usuario intentara descargar y ejecutar código malicioso procedente de un correo electrónico de spear-phishing en un dispositivo en el que estuviera instalado «Admin By Request», el malware simplemente no tendría el acceso necesario para iniciar la infección.
Una alianza: MetaDefender Cloud Admin By Request
Tanto un antivirus completo como una solución PAM por sí solos son opciones de seguridad viables para garantizar un sistema informático más seguro; sin embargo, una única solución que combine ambos ofrece el sistema de defensa por capas necesario frente a los ataques avanzados patrocinados por Estados.
El software PAM de Admin By Request integra laAPI de MetaDefender Cloud API crear esa defensa por capas.
Además de que a los usuarios se les retiran los derechos de administrador local, cualquier archivo que se ejecute con privilegios de administrador es analizado primero en tiempo real por los más de 30 motores antimalwareCloud MetaDefender .
La protección es doble: «Admin By Request» impide que el malware obtenga los derechos de administrador local que tanto necesita, mientras que MetaDefender que el usuario ejecute el archivo como administrador si detecta malware; de este modo, se evita con éxito que Taidoor y otros programas maliciosos similares causen ningún daño.
Resumen
El malware de puerta trasera patrocinado por el Estado, como el RAT Taidoor, debe tomarse muy en serio, ya que los correos electrónicos de spear-phishing dirigidos suelen engañar tanto a los usuarios habituales como a los expertos.
Es posible detectar y prevenir este tipo de ataques si eres el objetivo, pero solo con un sistema de defensa integral que garantice la cobertura de todas las vulnerabilidades y los puntos finales: más de 30 veces.
Cubre todas las posibilidades con el enfoque por capas que ofrecen OPSWAT MetaDefender Cloud la solución PAM de Admin By Request.
Si quieres recibir más noticias sobre análisis de malware, suscríbete a nuestro boletín a continuación.
