Prueba ATP: ataques ocultos de ransomware y ladrones de información
Los ciberdelincuentes refinan continuamente sus técnicas de ataque, siguen desarrollando las ya existentes o las combinan en una oleada de ataques. En la actual prueba de protección contra amenazas avanzadas o ATP (Advanced Threat Protection), los expertos de AV-TEST comprueban lo bien que los productos de seguridad detectan y detienen los ataques de nuevo desarrollo. 6 productos para usuarios privados y 8 soluciones para empresas demostraron en el laboratorio lo bien que paran a los atacantes. En la prueba, los atacantes utilizan con el ransomware y los ladrones de información las técnicas de resolución de API dinámica, DLL sideloading y ocultación de comandos de ScriptBlockAst de PowerShell y se esconden en herramientas de Windows conocidas. La prueba demuestra que algunos de los productos de seguridad tienen problemas con las técnicas de ataque y no pueden detener los ataques.
En los test de Advanced Threat Protection (ATP) no se trata de la mera detección de un atacante. La prueba pretende más bien determinar si un producto de seguridad es capaz de combinar sus componentes de protección de modo que detecten y detengan también ataques ocultos. En la prueba actual, 6 paquetes de seguridad para usuarios privados y 8 soluciones de seguridad para empresas se han sometido a la prueba ampliada. La prueba se llevó a cabo de julio a agosto de 2024 con Windows 10.
En el último test de Advanced Threat Protection participaron los siguientes fabricantes de productos para usuarios privados: Avast, AVG, F-Secure, McAfee, Microsoft y NPAV. Por parte de las soluciones para empresas se subieron al ring los productos de los fabricantes Avast, Check Point, Kaspersky (con 2 versiones), Microworld, Qualys, Trellix y WithSecure.
En el ATP test, los ataques son llevados a cabo por 5 ejemplares de ransomware y 5 ejemplares de ladrones de información en 10 escenarios de ataque realistas. Estos atacantes utilizan técnicas especiales o incluso las combinan. Un par de párrafos más adelante explicamos los aspectos técnicos.
El resultado de la prueba demuestra que no todos los programas de software de seguridad son capaces de imponerse a los agresores. No obstante, la prueba demuestra también que hay productos que actúan de forma clara y segura hasta en el más pérfido de los escenarios y detienen a los atacantes.
Técnicas de ataque utilizadas por el malware
Los cibergánsteres desarrollan constantemente nuevas técnicas para colocar su destructivo malware en los sistemas de los usuarios. El laboratorio conoce estas técnicas y coloca el malware siguiendo los mismos patrones de ataque, tal y como se observa a diario en el mundo informático. En los ataques se utilizan técnicas individuales o combinadas. Este es el trasfondo técnico:
Resolución de API dinámica: Los atacantes pueden hacer que su malware acceda a funciones API que Windows pone a disposición de cada aplicación. Sin embargo, su uso se enmascara y se lleva a cabo una ofuscación dinámica para ocultar funciones maliciosas. Esto dificulta el análisis de defensa de los productos de seguridad. Para seguir enmascarando los accesos a la API, el malware utiliza a menudo “hashes” para la resolución de funciones API o la codificación de “strings” que se descodifican durante la ejecución. En la prueba actual, todos los procesos de archivo usaron la API propia del sistema (ntdll.dll) como carga útil y resuelven funciones durante la ejecución. Esto oculta el ataque y dificulta la detección.
DLL sideloading: Para estos ataques se aprovechan fallos de programación habituales de software estándar. Se copia un DLL malicioso en el directorio de la aplicación. Esta no lo nota y carga el DLL. En este proceso se ejecutan las especificaciones del atacante, lo que, sin embargo, parece normal e inofensivo. En la prueba se utilizaron el archivo ejecutable de GoToMeeting (g2mupload.exe) y la herramienta de Windows RunOnce (runonce.exe) para cargar el peligroso DLL mediante sideloading.
Ocultación de comandos de ScriptBlockAst de PowerShell: ScriptBlockAst viene a ser para los programadores una vista general de un “script” PowerShell. Los atacantes se encargan de ocultar en la vista general código de ataque generado dinámicamente. Esto impide que los programas de defensa analicen el código y, por tanto, dificulta su detección. En el examen actual, un archivo de enlace ejecuta código PowerShell que utiliza ScriptBlockAst para enmascarar sus intenciones, puesto que en el siguiente paso se ejecutará una acción maliciosa.
Cambiar el nombre de herramientas: El malware cambia el nombre de herramientas del sistema Windows para evitar la detección por parte del software de seguridad, puesto que este vigila determinados nombres de archivo o procesos. De este modo, el malware puede utilizar la lista blanca de aplicaciones (Whitelisting) y esconderse tras procesos legítimos. En la prueba se copian las herramientas de Windows Curl y RunOnce, se cambian de nombre y se utiliza un malware para la descarga y el sideloading.
El laboratorio lleva a cabo los 10 ataques realistas en ordenadores de prueba con Windows y con cada una de las soluciones de protección instaladas. Al hacerlo se anotan todos los pasos de detección y de defensa en cada escenario de ataque y después se describen de acuerdo con el estándar MITRE ATT&CK. Mientras que el ransomware se debe detectar en tres pasos fundamentales, para los ladrones de información se dispone de cuatro acciones. El laboratorio otorga medio o un punto por cada acción que se detiene. Por lo tanto, un producto puede acumular cinco veces 3 puntos por cada ransomware detectado y detenido, y cinco veces 4 puntos por cada ladrón de información. La máxima puntuación de protección, que puede obtener un producto, es, por tanto, 35 puntos.
Los 10 escenarios de prueba
Todos los escenarios de ataque están documentados de acuerdo con los estándares de la base de datos de MITRE ATT&CK. Los diferentes subpuntos, por ejemplo “T1566.001”, aparecen en la base de datos de MITRE para “Techniques” bajo “Phishing: Spearphishing Attachment”. Cada paso de la prueba, por lo tanto, está definido por especialistas y es trazable y comprensible. Además se explican todas las técnicas de ataque y cómo se hace uso del malware en ellas.
Así de buenos son los productos para usuarios privados en la prueba ATP
De los 6 paquetes de seguridad para usuarios privados, 3 productos superaron la prueba sin fallo alguno en los 10 escenarios, por lo que recibieron los 35 puntos máximos para la puntuación en protección: F-Secure Total, McAfee Total Protection y Microsoft Defender Antivirus (Consumer).
El producto de NPAV, si bien detectó a los atacantes en los 10 escenarios, en 4 casos, dos con ransomware y dos con ladrones de datos, no consiguió detener el ataque en un principio. Solo lo consiguió mediante el uso de otros módulos de protección. No obstante, tras el ataque permanecieron en el sistema los archivos ejecutables del atacante. Por estos fallos, el laboratorio le descontó 8 veces medio punto. Al final, NPAV consiguió 31 de los 35 puntos posibles para la puntuación en protección.
Los productos de Avast y AVG se toparon en la prueba con problemas idénticos: no detectaron un ransomware y a un ladrón de información. A continuación, los datos fueron encriptados o filtrados y robados. Cada uno de estos productos perdió por ello 7 puntos —3 en una ocasión y 4 en otra— de la puntuación en protección y al final les quedaron 28 de los 35 puntos.
Para que un paquete de seguridad consiga el certificado “Advanced Certified“, otorgado por AV-TEST, tiene que obtener al menos un 75 por ciento (26,5 puntos) de los 35 puntos máximos en la puntuación de protección. Los 6 productos para usuarios finales lo consiguieron en esta ocasión.
Así de buenas son las soluciones para empresas en la prueba ATP
En la prueba ATP ampliada participaron también 8 soluciones para empresas. 5 de los productos consiguieron los 35 puntos máximos para su puntuación en protección por su actuación sin fallo alguno: Kaspersky Endpoint Security y Small Office Security, Microworld eScan Enterprise EDR, Trellix Endpoint Security y WithSecure Elements Endpoint Protection.
La solución de seguridad de Check Point detectó a los atacantes en los 10 escenarios de prueba, pero en 2 casos con ransomware, el producto no pudo detener por completo el ataque. En subsiguientes pasos de defensa, la solución evitó una encriptación a gran escala, pero algunos archivos sueltos sí acabaron encriptados. Esto le costó la pérdida de 2 puntos en la valoración y terminó con 33 de los 35 puntos.
La solución de Qualys para terminales identificó solo a 9 de los 10 ataques, lo cual permitió a un ladrón de información robar todos los datos. Esto le costó al producto 4 puntos en ese caso. A este hay que añadir otro ataque con ransomware que, si bien fue detectado, no pudo ser impedido por completo. Al final, algunos archivos fueron encriptados, lo cual le supuso la pérdida de 1,5 puntos más. Por lo tanto, Qualys se quedó con 29,5 de los 35 puntos posibles para la puntuación en protección.
La solución empresarial de Avast solo reaccionó ante 8 de los 10 ataques de la prueba. Un ransomware y un ladrón de datos respectivamente pudieron llevar a cabo su destructiva tarea en el sistema y robar o encriptar datos. Como resultado, el producto perdió un total de 7 puntos en protección y quedó al final de la tabla con 28 puntos.
Para que un producto consiga el certificado “Advanced Approved Endpoint Protection“ en la prueba ATP tiene que obtener al menos un 75 por ciento (26,5 puntos) de los 35 puntos máximos en la puntuación de protección. Todos los productos superaron esta puntuación.
Escenarios realistas y una buena defensa
Los ciberdelincuentes intentan colarse en los sistemas de los usuarios de cualquier modo posible. Para ello utilizan técnicas que a algunos productos de seguridad no les resulta fácil descubrir. Esto hace que no impidan algunos ataques. Pero la prueba actual demuestra también que hay productos que pueden afrontar cualquier ataque y no dan ninguna oportunidad a los agresores. De los paquetes de seguridad para usuarios privados se trata de los productos de F-Secure, McAfee y Microsoft. Por parte de las soluciones para empresas, los que supieron oponerse a la perfección fueron los productos de Kaspersky (con 2 versiones), Microworld, Trellix y WithSecure.
Los demás productos examinados no deberían darse por satisfechos con el resultado y tendrían que seguir mejorando la detección y la defensa. Las pruebas ATP aportan conocimientos relevantes y sirven para que los fabricantes mejoren sus productos.