En un reciente caso investigado por el equipo de Unit 42 de Palo Alto Networks, un grupo de cibercriminales intentó sin éxito evadir el sistema de detección y respuesta de endpoints Cortex XDR. Aunque el ataque no logró su objetivo, el incidente ofreció una oportunidad inesperada para examinar las herramientas y tácticas empleadas por el actor, mejorando así las capacidades de defensa de otras organizaciones.
Detalles del Ataque
El incidente comenzó cuando el equipo de Unit 42 fue llamado para investigar un intento de extorsión. La investigación reveló que el actor de amenazas obtuvo acceso inicial a través de Atera RMM, una herramienta de administración remota adquirida mediante un broker de acceso. Desde allí, los atacantes utilizaron sistemas no autorizados para instalar agentes de Cortex XDR en un entorno virtual con el fin de probar herramientas de evasión de AV/EDR mediante una técnica conocida como Bring Your Own Vulnerable Driver (BYOVD).
Este acceso también permitió a los investigadores de Unit 42 acceder a los sistemas comprometidos, donde descubrieron varias herramientas maliciosas y archivos que incluían un ejecutable denominado disabler.exe, diseñado para eliminar hooks en bibliotecas de modo usuario y callbacks en modo kernel. Estas tácticas les permitieron estudiar los métodos de los actores y, eventualmente, identificar a algunos de los individuos involucrados.
Herramientas y Técnicas Utilizadas
El principal objetivo de los cibercriminales era probar una herramienta de evasión de EDR que estaba a la venta en foros de cibercrimen como XSS y Exploit. El archivo disabler.exe empleaba una serie de métodos avanzados, como el uso de controladores vulnerables (wnbios.sys), para ganar acceso y deshabilitar funciones de seguridad. A través de esta investigación, Unit 42 identificó que uno de los usuarios más activos en estos foros era Marti71, un alias que hacía publicaciones en ruso buscando soluciones para eludir sistemas de seguridad y comentaba en publicaciones de otro usuario llamado KernelMode, quien aparentemente comercializaba herramientas de evasión de EDR.
Implicaciones para la Seguridad Empresarial
Los métodos de evasión de EDR y la utilización de controladores vulnerables representan un riesgo significativo para las organizaciones. Estos actores logran infiltrarse en redes corporativas y obtener acceso a datos sensibles mediante la explotación de herramientas de acceso remoto y malware personalizado. Para prevenir estos ataques, se recomienda a las empresas reforzar la seguridad de sus endpoints con soluciones avanzadas como Cortex XDR y realizar revisiones regulares de los accesos y actividad inusual dentro de sus redes.
Protección con Productos de Palo Alto Networks
Gracias a productos como Cortex XDR y XSIAM, Advanced WildFire, y Advanced URL Filtering, los clientes de Palo Alto Networks están mejor preparados para detectar y prevenir estos tipos de ataques. En caso de sospecha de actividad maliciosa o compromisos, se recomienda contactar al equipo de respuesta a incidentes de Unit 42.
Conclusión
Este incidente muestra cómo los intentos de evasión de EDR no solo presentan riesgos, sino también oportunidades para fortalecer la seguridad. A través del análisis exhaustivo de los sistemas comprometidos y las herramientas utilizadas, Unit 42 ha mejorado la comprensión de los métodos de los actores de amenazas, beneficiando a toda la comunidad de seguridad.