Los ciberatacantes siguen abusando de herramientas Windows y macros de Office

También puedes leer... DNS Security for Dummies Diez capas de seguridad para contenedores 20 Casos de uso de CASB Los riesgos de Blockchain Diez consejos sobre la gestión de Bots

Los ciberataques están evitando con éxito la detección en ordenadores Windows al abusar de herramientas de administración legítimas que se hallan comúnmente en el sistema operativo. Este es un hallazgo fundamental del Informe de Amenazas SophosLabs 2019, que rastrea cómo la técnica ha aumentado para convertirse en una característica común en un número creciente de ciberataques.

Uno de los objetivos favoritos de los atacantes es PowerShell, un shell de línea de comandos presente de forma predeterminada en los equipos Windows. Las alternativas incluyen Windows Scripting Host (WScript.exe), la línea de comandos Windows Management Instrumentation Command (WMIC), así como herramientas externas populares como PsExec y WinSCP.

Es una estrategia simple que hace que la detección sea un rompecabezas. Eliminar las herramientas es una opción, pero presenta desventajas para los administradores. Según señala el informe, PowerShell es un componente integral de las herramientas que ayudan a los administradores a administrar redes de casi cualquier tamaño y, como resultado, debe estar presente y debe estar habilitado para que los administradores puedan hacer cosas como, por ejemplo, impulsar cambios en las políticas de grupo. Los atacantes, por supuesto, lo saben y, a menudo, son lo suficientemente descarados como para encadenar una secuencia interfaces de comandos, cada una de las cuales se ejecuta en un proceso diferente de Windows.

Mientras tanto, los atacantes no muestran signos de renunciar a nuevas variaciones en los ataques de macros de Microsoft Office, otra ruta para lanzar ataques sin la necesidad de ejecutables convencionales. En los últimos años, las protecciones como la desactivación de macros dentro de documentos o el uso del modo de vista previa han debilitado esta técnica. Desafortunadamente, los atacantes han desarrollado técnicas de ingeniería social para persuadir a las personas para que las deshabiliten.

Para agravar esto, los ciberdelincuentes han renovado su antiguo inventario de fallos de software a favor de equivalentes más peligrosos y recientes: el análisis de SophosLabs de documentos maliciosos encontró que solo el 3% de las vulnerabilidades se remontan a antes de 2017.