Los archivos de acceso directo de Internet —conocidos comúnmente como archivos URL— pueden parecer insignificantes a primera vista. Sin embargo, con el paso de los años, estos sencillos archivos de texto de Windows se han convertido en potentes herramientas para campañas de malware de varias fases. Su baja complejidad, unida a comportamientos específicos del sistema operativo y a brechas de seguridad que pasan desapercibidas, ha permitido a los atacantes utilizarlos discretamente como armas de formas nuevas y peligrosas.
Este artículo, el primero de una serie de tres partes, analiza el resurgimiento de los archivos URL en el panorama de las amenazas desde una perspectiva teórica y de inteligencia estratégica. Abordaremos su estructura, casos históricos de uso malintencionado y las razones por las que los autores de amenazas actuales recurren cada vez más a ellos en las cadenas de ataque basadas en archivos. En las partes segunda y tercera se analizarán las perspectivas del análisis estático y dinámico, con la participación de FileTACOPSWAT y MetaDefender , respectivamente.
Acceso directo a Malice: archivos URL
Los archivos de accesos directos de Internet, o archivos URL, ofrecen una oportunidad interesante para reflexionar sobre cómo los tipos de archivos comunes pueden suponer riesgos de seguridad y convertirse en una tecnología facilitadora de actividades delictivas cuando se combinan con las vulnerabilidades adecuadas.
En OPSWAT, nos especializamos en el uso malintencionado que hacen los atacantes de tipos de archivos complejos y difíciles de detectar con fines maliciosos, y ayudamos a nuestros clientes con soluciones optimizadas para ofrecer contramedidas resistentes frente a las amenazas de ciberseguridad. Sin embargo, no todos los archivos maliciosos tienen que alcanzar un alto nivel de complejidad o sofisticación para suponer un riesgo. Al igual que los «gadgets» en una cadena ROP, algunos archivos son sencillos, pero aportan valor como componente de una secuencia de amenazas.
OPSWAT que cada vez son más los grupos adversarios que recurren con mayor frecuencia a técnicas complejas de manipulación de archivos al atacar intereses a escala mundial, tal y como se observa tanto en los grupos de ciberdelincuentes como en los grupos de amenazas estatales con objetivos estratégicos.
En esta entrada, analizaremos los archivos URL y el resurgimiento que han experimentado en el ámbito de las amenazas, ya que diversas vulnerabilidades y brechas de seguridad han llevado a los atacantes a encontrar utilidad en este sencillo tipo de archivo.
¿Qué son los archivos URL?
Los archivos URL son un formato de archivo de texto que ofrece una función similar a la de otros archivos de acceso directo, como los archivos LNK (Shell Link), salvo que están diseñados para apuntar a recursos de red, como direcciones URL web. El principal uso de estos archivos en Windows es guardar en el escritorio del usuario un acceso directo en el que se puede hacer clic y que, al abrirlo, lleva al usuario a una URL de destino o a una aplicación web.
Los archivos URL no suelen ser un formato de archivo bien documentado, ya que se trata de una característica heredada del Shell de Windows y han sido un tipo de archivo de acceso directo compatible en Windows durante mucho tiempo. El formato de archivo URL se documentó de manera no oficial al menos ya en 1998.
Los archivos de accesos directos de Internet tienen la extensión .url, lo que les ha valido el apodo de «archivos URL». En realidad, se trata de archivos de texto sencillos en formato INI, con una estructura simple que puede ampliarse mediante metadatos y una codificación especial de los valores de los datos. El sistema operativo dispone de API asociadas para crear y leer archivos URL.
El archivo más básico consta de un único encabezado y la propiedad URL necesaria, por ejemplo:
[Acceso directo a Internet]
OPSWAT
Como se ve en el ejemplo, un archivo URL puede ser muy breve, y las únicas secciones y opciones obligatorias son [InternetShortcut] y URL. Teniendo en cuenta este formato básico, podemos empezar a analizar cómo se ha ampliado el panorama de amenazas en torno a los archivos URL a lo largo de los años.
Por qué son importantes los archivos URL en Threat Intelligence
Aunque los archivos URL se introdujeron como una función de comodidad en los primeros entornos de Windows, hoy en día ocupan un lugar destacado en los conjuntos de herramientas de los atacantes. Para muchos atacantes, los archivos URL sirven para:
- Vectores de intrusión iniciales en campañas de phishing y de infección pasiva
- Cargadores para cargas útiles de segunda fase, como archivos .hta, .js o .cpl
- Mecanismos para eludir SmartScreen, MOTW y otras defensas
- Herramientas de filtración de credenciales mediante señales SMB o la obtención de iconos
- Mecanismos de persistencia mediante la ubicación en la carpeta de inicio automático
En resumen: estos archivos ya no son simples herramientas inofensivas, sino que se están convirtiendo en superficies de ataque.
Evolución estratégica del panorama de amenazas
El renovado interés por los archivos URL pone de manifiesto una tendencia más amplia en el comportamiento de los atacantes:
- Aprovechamiento de tipos de archivo que pasan desapercibidos: los atacantes recurren habitualmente a formatos que se camuflan en los entornos empresariales.
- Complejidad a través de la simplicidad: en lugar de crear malware completamente nuevo, muchos autores de amenazas combinan varios formatos de archivo y funciones del sistema operativo para alcanzar sus objetivos.
- Adopción por parte de los Estados-nación: tal y como han documentado los analistas OPSWAT , incluso los grupos de amenazas persistentes avanzadas (APT), que cuentan con amplios recursos técnicos, han comenzado a utilizar tipos de archivos sencillos, como los archivos URL, para lanzar ataques sofisticados, a menudo como un componente de bajo perfil dentro de campañas más amplias.
Esto refleja la realidad actual de la inteligencia sobre amenazas cibernéticas: comprender los componentes de los ataques es tan importante como rastrear las cargas útiles o la infraestructura.
Mirando hacia el futuro: por qué los archivos URL merecen un análisis más detallado
Este artículo introductorio ha sentado las bases para comprender los archivos URL como un tipo de artefactos que facilitan las amenazas. Aunque rara vez son el elemento principal de una cadena de ataque, su uso cada vez más frecuente en campañas de ciberdelincuentes y de Estados-nación hace que sea fundamental investigarlos.
En la segunda parte, analizaremos las características estáticas de los archivos URL maliciosos —incluida su estructura, el uso indebido de metadatos y las técnicas de evasión— y mostraremos cómo la plataforma FileTAC OPSWATdetecta las amenazas mediante la inspección profunda de archivos (DFI).
En la tercera parte, nos centraremos en el comportamiento: analizaremos cómo se comportan estos archivos en tiempo de ejecución y cómo MetaDefender OPSWAT detecta dinámicamente las rutas de ejecución, los intentos de persistencia y la comunicación externa vinculada a los enlaces URL maliciosos.
No te pierdas las próximas entregas, en las que seguiremos analizando cómo los autores de amenazas se aprovechan de los formatos de archivo más insospechados, y cómo OPSWAT las organizaciones OPSWAT adelantarse a ellos.
