Emulando las estrategias del grupo de amenazas Salt Typhoon

Salt Typhoon, también conocido como Sparrow, GhostEmperor, Earth Stries y UNC286, es una avanzada amenaza persistente (APT) de origen chino, activa desde 2019. Desde 2020, ha llevado a cabo campañas de ciberespionaje a largo plazo dirigidas contra gobiernos y proveedores de servicios de Internet (ISP). Para 2022, expandió su enfoque hacia proveedores de servicios que brindan soporte a organizaciones gubernamentales y de telecomunicaciones.

Este grupo opera a un nivel sofisticado, fortaleciendo sus capacidades de ciberespionaje y aprovechando una amplia experiencia en actividades ilegales. Utiliza múltiples puertas traseras y herramientas de hacking para mantener el acceso prolongado y minimizar la detección. Una de sus tácticas clave es modificar el comportamiento de PowerShell para desactivar la Interfaz de Análisis Antimalware de Windows (AMSI), evitando así la detección. Además, recurre a servicios en la nube y plataformas de comunicación como GitHub, Gmail, Anonfiles y File.io para intercambiar herramientas de manera encubierta y exfiltrar información robada.

Se ha identificado que el grupo explota las vulnerabilidades ProxyLogon en Microsoft Exchange, empleando una cadena de ejecución de código remoto que le permite tomar el control de servidores de Exchange sin necesidad de credenciales válidas.

Para enfrentar esta amenaza, se ha desarrollado una nueva plantilla de evaluación que integra tácticas, técnicas y procedimientos (TTP) basados en las actividades más recientes de Salt Typhoon. Su objetivo es ayudar a las organizaciones a validar sus defensas de seguridad y mejorar su capacidad de respuesta ante amenazas altamente disruptivas y destructivas.

Evaluar el desempeño de los programas de seguridad ante este tipo de ataques es crucial para mitigar riesgos. Con esta nueva plantilla de evaluación, los equipos de seguridad pueden:

• Analizar la efectividad de sus controles de seguridad contra amenazas APT.
• Evaluar su postura de seguridad frente a un adversario enfocado en gobiernos y telecomunicaciones.
• Detectar y prevenir continuamente amenazas dirigidas a operaciones de espionaje a nivel global.

Salt Typhoon – 2024-11 – Tácticas, técnicas y procedimientos asociados (TTP)

Esta simulación se basa en informes publicados por ESET (23 de septiembre de 2021), Kaspersky (30 de septiembre de 2021), Trend Micro (30 de agosto de 2023 y 25 de noviembre de 2024) y Sygnia (17 de julio de 2024).

1. Ejecución

Esta táctica abarca técnicas que permiten la ejecución de código controlado por el adversario en un sistema, ya sea local o remoto. Generalmente, estas técnicas se combinan con otras tácticas para alcanzar objetivos más amplios, como el reconocimiento de la red o la exfiltración de datos.

• Intérprete de comandos y scripting: PowerShell (T1059.001) – En este escenario, un script de PowerShell definido por el usuario es codificado en base64 y luego ejecutado utilizando el parámetro -encodedCommand de PowerShell.
• Intérprete de comandos y scripting: Visual Basic (T1059.005) – Se intenta ejecutar un script de Visual Basic (VBS) a través de cscript.exe.
• API nativa (T1106) – En este caso, se emplea una llamada a la API de Windows para generar un nuevo proceso a partir de una carga ejecutable específica mediante .CreateProcessA.
• Inyección de proceso (T1055) – Este escenario lleva a cabo una inyección de procesos asignando memoria en un proceso en ejecución, escribiendo shellcode en dicho espacio y modificando los permisos de protección de memoria con .VirtualAllocVirtualProtect.
• Flujo de ejecución de secuestro: secuestro de órdenes de búsqueda de DLL (T1574.001) – Se aprovecha el orden de búsqueda de bibliotecas dinámicas (DLL) de Microsoft para cargar una DLL no autorizada en un binario de confianza del sistema.
• Flujo de ejecución de secuestro: carga lateral de DLL (T1574.002) – En este escenario, se utiliza un ejecutable legítimo y confiable para cargar una DLL malintencionada.
• Servicios del sistema: Ejecución de servicios (T1569.002) – Se ejecuta un servicio a través del cmdlet de PowerShell.Start-Service.

2. Persistencia

Los adversarios emplean estas técnicas para mantener acceso continuo a los sistemas, incluso después de reinicios, cambios en credenciales u otras interrupciones que podrían cortar su acceso.

• Ejecución de inicio automático de sesión: claves de ejecución del Registro / carpeta de inicio (T1547.001) – En este escenario, se agrega una entrada en .HKLM\Software\Microsoft\Windows\CurrentVersion\Run con el propósito de garantizar persistencia en el sistema.
• Tarea/Trabajo programado: Tarea programada (T1053.005) – Se configura una nueva tarea programada utilizando la utilidad schtasks, asignándole el nombre observado en los ataques de Salt Typhoon.schtest3.
• Crear o modificar proceso del sistema: Servicio de Windows (T1543.003) – Se establece un servicio en el sistema mediante el cmdlet de PowerShell.New-Service.
• Modificar registro (T1112) – En este escenario, se crea un grupo de servicios agregando una nueva entrada en el Registro dentro de la clave .HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost.

3. Escalada de privilegios

Los adversarios emplean estas técnicas para obtener permisos elevados dentro de un sistema o red, lo que les permite ejecutar acciones con mayores privilegios.

• Manipulación de tokens de acceso (T1134) – Este escenario ajusta los privilegios del proceso actual mediante la API de Windows, habilitando SeDebugPrivilege a través de AdjustTokenPrivilege.
• Manipulación de tokens de acceso: suplantación de identidad/robo de tokens (T1134.001) – Se enumeran y duplican los tokens de acceso de los procesos en ejecución dentro del sistema de destino para obtener privilegios elevados. Esto permite ejecutar comandos arbitrarios haciéndose pasar por un usuario autenticado.

4. Evasión de la defensa

Los adversarios emplean diversas técnicas para evitar la detección durante sus ataques. Estas incluyen la desactivación o eliminación de software de seguridad, así como la ofuscación o cifrado de datos y scripts.

• Debilitar las defensas (T1562) – En este escenario, se habilita la autenticación WDigest mediante la modificación de la clave del Registro:
  .HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential.

5. Acceso a credenciales

Los adversarios utilizan diversas técnicas para obtener credenciales, incluyendo nombres de usuario y contraseñas, con el objetivo de expandir su acceso dentro de un sistema comprometido.

• Volcado de credenciales del sistema operativo: memoria LSASS (T1003.001) – En este escenario, se extrae la memoria del proceso del Servicio de Servidor de Autoridad de Seguridad Local (LSASS) de Windows y se guarda en un archivo Minidump, utilizando la combinación de la biblioteca nativa de Windows con el siguiente comando .rundll32.exe comsvcs.dll.

6. Descubrimiento

Los adversarios emplean diversas técnicas para recopilar información sobre el entorno comprometido, lo que les permite planificar movimientos posteriores dentro de la red.

• Registro de consultas (T1012) – En este escenario, se consulta el valor ubicado en la clave del Registro que almacena el identificador único del sistema .MachineGUID HKLM\SOFTWARE\Microsoft\Cryptography
• Detección de procesos (T1057) – Se enumeran los procesos en ejecución en el sistema de destino utilizando la utilidad de Windows .tasklist, y los resultados se guardan en un archivo en una ubicación temporal.
• Enumeración de registros (T1654) – Se inspecciona el registro de eventos de Windows para identificar intentos de inicio de sesión exitosos mediante el uso de .wevtutil.
• Detección de configuración de red del sistema (T1016) – Se ejecuta el comando .ipconfig /all en Windows para obtener información detallada sobre todos los adaptadores de red.
• Detección de configuración de red del sistema (T1016) – Se utiliza el cmdlet de PowerShell .Test-NetConnection para recopilar información de diagnóstico de red en un sistema comprometido.
• Detección remota de sistemas (T1018) – Se ejecuta el comando .net view para identificar otros hosts disponibles en la red desde el sistema comprometido.

7. Movimiento Lateral

Los adversarios emplean diversas técnicas para acceder y controlar sistemas remotos dentro de una red comprometida. Este proceso es esencial para explorar el entorno, localizar objetivos y garantizar la persistencia dentro del sistema.

• Instrumental de administración de Windows (T1047) – Se intenta el movimiento lateral hacia otros activos disponibles en la red utilizando Windows Management Instrumentation (WMI). Si el acceso al sistema remoto es exitoso, se ejecuta un comando configurable.
• Instrumental de administración de Windows (T1047) – Se emula el uso de la herramienta .ImpacketWMIEXEC class para ejecutar comandos en sistemas remotos a través del protocolo WMI, facilitando el desplazamiento lateral dentro de la red.

8. Comando y Control

Los adversarios emplean diversas técnicas para mantener comunicación con los sistemas comprometidos dentro de una red víctima, permitiéndoles recibir instrucciones y exfiltrar información.

• Trabajos de BITS (T1197) – Se utiliza el comando nativo .bitsadmin para crear y configurar un trabajo de BITS con el fin de descargar una carga remota. El Servicio de Transferencia Inteligente en Segundo Plano (BITS) es un mecanismo legítimo utilizado por aplicaciones para gestionar la descarga de archivos sin afectar el rendimiento del sistema.
• Detección de conexión a Internet (T1016.001) – Se ejecuta la utilidad .certutil para intentar descargar un archivo desde un sitio web y almacenarlo en un directorio temporal, verificando así la conectividad a Internet y facilitando la comunicación con servidores de comando y control.

9. Muestras de Malware

Las muestras de malware empleadas por Salt Typhoon han sido utilizadas recientemente para evaluar la efectividad de los controles de seguridad y respuesta en redes comprometidas.

• Transferencia de herramientas de ingreso (T1105) – Se descargan archivos maliciosos en la memoria y en el disco en dos escenarios distintos, con el propósito de evaluar la capacidad de los controles de red y de los puntos de conexión para detectar y bloquear la entrega de muestras maliciosas conocidas.

Oportunidades para ampliar las capacidades de emulación

• Ejecución remota de script de PowerShell con PaExec – Se simula la ejecución de un script de PowerShell en un sistema remoto utilizando PaExec, una versión de código abierto de PSExec, permitiendo evaluar la propagación y ejecución de comandos en un entorno comprometido.

Oportunidades de Detección y Mitigación

Dado el amplio conjunto de técnicas empleadas por Salt Typhoon, la priorización de la prevención y detección puede ser un desafío. Se recomienda enfocarse inicialmente en las siguientes técnicas antes de abordar otras tácticas adicionales.

1. Flujo de Ejecución de Secuestro: Carga Lateral de DLL (T1574.002)

Los adversarios suelen emplear la técnica de carga lateral de DLL para insertar código malicioso en procesos legítimos en ejecución. Este método les permite ocultarse dentro de aplicaciones legítimas y mantener la persistencia sin ser detectados.

1a. Detección

El monitoreo de procesos en busca de comportamientos inusuales puede ayudar a identificar posibles compromisos. Algunas estrategias incluyen:

• Supervisar procesos recién generados que ejecuten acciones atípicas.
• Analizar eventos relacionados con la creación y carga de archivos DLL/PE en procesos en ejecución para detectar posibles amenazas.

1b. Mitigación

MITRE ATT&CK sugiere las siguientes medidas de mitigación para reducir el impacto de esta técnica:

• M1013 – Guía para desarrolladores de aplicaciones: Implementar prácticas seguras en el desarrollo de software para evitar la carga de bibliotecas no confiables.
• M1051 – Actualizar software: Mantener el software actualizado para corregir vulnerabilidades explotables por este tipo de ataques.

2. Tarea/Trabajo Programado: Tarea Programada (T1053.005)

Los adversarios pueden abusar del Programador de tareas de Windows para ejecutar código malicioso de forma inicial o recurrente. Existen múltiples métodos para acceder a esta función en Windows, ya sea mediante la línea de comandos con la utilidad schtasks o a través de la interfaz gráfica en la sección de herramientas del administrador dentro del Panel de Control.

2a. Detección

El uso de herramientas EDR o SIEM permite identificar comandos sospechosos que indican la creación de una tarea maliciosa. Se recomienda monitorear las líneas de comando que contengan patrones como:

Process Name = (“cmd.exe” OR “Powershell.exe”)
Command Line CONTAINS (“schtasks” AND “/CREATE” AND (“cmd” OR “powershell”)

2b. Mitigación

MITRE ATT&CK recomienda las siguientes medidas para reducir el riesgo de abuso de tareas programadas:

• M1047 – Auditoría: Implementar auditorías de seguridad para detectar configuraciones y actividades anómalas en la programación de tareas.
• M1028 – Configuración del sistema operativo: Aplicar restricciones en el sistema para evitar la creación de tareas programadas no autorizadas.
• M1026 – Gestión de cuentas privilegiadas: Limitar los permisos administrativos a los usuarios esenciales para minimizar la exposición a este tipo de ataque.
• M1018 – Gestión de cuentas de usuario: Controlar el acceso de usuarios y restringir privilegios innecesarios en el sistema.

3. Volcado de Credenciales del Sistema Operativo: Memoria LSASS (T1003.001)

Los adversarios pueden intentar extraer credenciales y otra información sensible del proceso LSASS (Local Security Authority Subsystem Service) en Windows. Este ataque permite obtener hashes de contraseñas que pueden ser reutilizados para el movimiento lateral o la escalación de privilegios.

3a. Detección

Es posible identificar intentos de volcado de credenciales mediante la monitorización de ejecuciones sospechosas de comsvcs que intenten acceder a LSASS:

Process Name == (comsvcs)
Command Line CONTAINS (‘lsass’)

3b. Mitigación

Para reducir la exposición a este tipo de ataque, MITRE ATT&CK recomienda las siguientes medidas:

• M1028 – Configuración del sistema operativo: Restringir el acceso al proceso LSASS y aplicar configuraciones de seguridad avanzadas en el sistema operativo.
• M1027 – Políticas de contraseñas: Implementar políticas de contraseñas seguras, incluyendo longitud, complejidad y rotación periódica.
• M1026 – Gestión de cuentas privilegiadas: Limitar el uso de cuentas con privilegios elevados y aplicar el principio de mínimos privilegios.
• M1017 – Capacitación de usuarios: Educar a los usuarios sobre prácticas seguras para evitar la exposición de credenciales.
• M1040 – Prevención de comportamiento en el endpoint: Implementar herramientas EDR (Endpoint Detection and Response) para detectar comportamientos anómalos en los procesos.
• M1043 – Protección de acceso a credenciales: Habilitar Credential Guard en Windows y proteger las credenciales almacenadas en el sistema.
• M1025 – Integridad de procesos privilegiados: Restringir el acceso a procesos sensibles, como LSASS, a usuarios y aplicaciones no autorizadas.

Conclusión

Esta evaluación permitirá analizar y fortalecer los procesos de seguridad y respuesta a incidentes, contribuyendo a mejorar la postura de defensa frente a las tácticas y técnicas utilizadas por Salt Typhoon. A través de pruebas continuas y un enfoque basado en la simulación de ataques, los equipos de seguridad podrán identificar áreas de mejora, ajustar sus controles y optimizar su capacidad de detección y mitigación ante amenazas avanzadas.

Al emular el comportamiento de un adversario real, se logra una comprensión más profunda del impacto de las vulnerabilidades identificadas, permitiendo una evaluación estructurada de los riesgos y la implementación de estrategias de defensa más efectivas. El uso de estos escenarios de prueba facilita la toma de decisiones informadas y el fortalecimiento continuo del programa de seguridad de la organización.