Compromiso de Agentes Cortex XDR por Ciberataque

Uno de los descubrimientos recientes más impactantes revela un método inusual y efectivo para comprometer sistemas mediante la manipulación de agentes de Cortex XDR antiguos. Este caso específico involucra el compromiso de dos puntos finales que, aunque parecían seguros, fueron utilizados para probar herramientas de omisión de antivirus (AV) y detección y respuesta de endpoint (EDR). La investigación desentrañó cómo los actores de amenazas aprovecharon una vulnerabilidad específica para desactivar componentes de seguridad crítica, lo que finalmente permitió el acceso no autorizado a datos confidenciales. Aquí presentamos un análisis de alto nivel de la cadena de eventos que permitió a los atacantes obtener acceso privilegiado a estos sistemas.

Cómo comenzó todo: El descubrimiento de los puntos finales comprometidos

El equipo de investigadores de seguridad detectó dos puntos finales antiguos con agentes de Cortex XDR que mostraban actividad sospechosa. Estos puntos estaban siendo utilizados para probar una herramienta de omisión de AV/EDR, un enfoque comúnmente usado por cibercriminales para evaluar la eficacia de sus técnicas antes de lanzarlas en un entorno real. La detección de estos puntos comprometidos levantó señales de alerta y condujo a una investigación exhaustiva para determinar cómo habían sido vulnerados.

Se descubrió que la herramienta utilizada por los atacantes había sido adquirida probablemente en foros de delitos cibernéticos. Estos mercados clandestinos son una fuente habitual de herramientas de evasión y exploits a medida. Lo interesante aquí es que la herramienta en cuestión tenía capacidades avanzadas de evasión que le permitían deshabilitar la funcionalidad de Cortex XDR, un sistema de seguridad muy reconocido por su capacidad de proteger entornos empresariales. Este descubrimiento subrayó la necesidad de contar con agentes de seguridad actualizados y reforzó la idea de que las versiones antiguas de software de seguridad son un objetivo atractivo para los cibercriminales.

La herramienta deshabilitar.exe y el ataque a los puntos finales

La investigación detallada reveló que los atacantes utilizaron una herramienta llamada “deshabilitar.exe”. Esta herramienta, derivada del código fuente de EDRSandBlast, es conocida en ciertos círculos de seguridad informática por sus capacidades para atacar y eliminar ganchos de EDR tanto en modo usuario como en modo kernel. En el contexto de un ataque, estos “ganchos” son funciones de seguridad implantadas en el sistema operativo que permiten al software de EDR monitorear y bloquear amenazas.

La herramienta deshabilitar.exe explotó un controlador vulnerable llamado wnbios.sys o WN_64.sys, conocido por presentar debilidades que pueden dar acceso privilegiado a quien lo controle. Este controlador, al ser manipulado, permite a los atacantes desactivar los sistemas de seguridad que monitorean la actividad del kernel, lo que facilita la ejecución de acciones maliciosas en el sistema sin ser detectadas. Al desactivar estos ganchos de seguridad, los atacantes pueden acceder al sistema sin levantar alertas, lo cual representa un riesgo significativo para la integridad y confidencialidad de la información.

Cadena de eventos de alto nivel: Cómo se ejecutó el ataque

A continuación, se presenta un resumen de la cadena de eventos que los atacantes siguieron para comprometer los puntos finales con Cortex XDR:

1. Compra de la herramienta de evasión: El atacante adquirió la herramienta de evasión de EDR/AV en un foro de delitos cibernéticos, asegurando así su capacidad de penetrar en sistemas de seguridad.
2. Identificación de puntos finales vulnerables: Los atacantes buscaron dispositivos con versiones antiguas del agente Cortex XDR que no contaban con las últimas actualizaciones de seguridad.
3. Implantación de deshabilitar.exe: Mediante ingeniería social o la explotación de otra vulnerabilidad, los atacantes lograron colocar la herramienta en los sistemas objetivo.
4. Desactivación de ganchos de seguridad con deshabilitar.exe: Al ejecutar la herramienta, los atacantes eliminaron los ganchos de EDR en modo usuario y kernel, utilizando el controlador vulnerable wnbios.sys para obtener acceso privilegiado al sistema.
5. Ejecución de actividades maliciosas: Con el acceso privilegiado y la funcionalidad de EDR deshabilitada, los atacantes pudieron realizar actividades sin restricciones, lo cual les permitió acceder a información sensible y exfiltrarla sin ser detectados.
6. Recolección y análisis de evidencia: Posteriormente, los investigadores examinaron los archivos recuperados y rastros dejados en el sistema, lo cual llevó a la identificación de uno de los atacantes.

Identificación del atacante y análisis forense

Uno de los resultados más notables de la investigación fue la identificación de uno de los atacantes. Gracias al análisis de los archivos y las huellas digitales dejadas en el sistema, los investigadores lograron identificar a una persona específica. Esto incluyó detalles sobre su vida personal y profesional, lo cual no solo ayudó a entender mejor la motivación detrás del ataque, sino que también proporcionó pistas para prevenir futuros ataques de este tipo.

El análisis forense resultó crucial para descifrar la metodología de los atacantes y detectar fallas en los sistemas de seguridad. Este tipo de análisis permite a los equipos de seguridad adaptar y reforzar sus defensas, actualizando agentes de seguridad, endureciendo configuraciones de sistema y aumentando la capacitación en seguridad para el personal.

Lecciones aprendidas y recomendaciones para protegerse de futuros ataques

Este ataque destaca la importancia de mantener todos los sistemas y agentes de seguridad actualizados. Las herramientas de evasión de EDR/AV se están volviendo cada vez más sofisticadas, lo cual exige una respuesta activa y proactiva en términos de seguridad cibernética. Para minimizar los riesgos, aquí algunas recomendaciones clave:

1. Actualizar regularmente los agentes de seguridad: Utilizar versiones antiguas de herramientas de seguridad es un riesgo; siempre se deben aplicar las actualizaciones y parches de seguridad tan pronto como estén disponibles.
2. Monitorizar foros de amenazas y ciberdelincuencia: La inteligencia de amenazas ayuda a anticipar ataques y entender las tácticas utilizadas por los actores maliciosos.
3. Implementar herramientas de detección de evasión: Utilizar herramientas y técnicas que detecten intentos de evasión puede alertar tempranamente sobre ataques potenciales.
4. Reforzar el monitoreo de puntos finales vulnerables: Identificar y proteger los puntos finales que ejecuten versiones antiguas o vulnerables es crucial para mantener la seguridad.

Este caso destaca cómo los cibercriminales continúan innovando para evadir las defensas más avanzadas. Los agentes de seguridad antiguos o sin actualizar son una vulnerabilidad crítica que los atacantes pueden explotar fácilmente. Mediante el uso de herramientas de evasión y técnicas avanzadas de desactivación de ganchos, los atacantes logran eludir sistemas de seguridad, poniendo en riesgo la información confidencial de las organizaciones. La clave para prevenir este tipo de compromisos está en la actualización constante de herramientas de seguridad y el monitoreo proactivo de actividades sospechosas.

#Ciberseguridad ? #EDR ?️ #Amenazas ? #AtaqueCibernético ? #SeguridadDigital ?️ #InteligenciaDeAmenazas ? #Hacking ? #ActualizaciónDeSoftware ⏫ #ProtecciónDeDatos ? #AnálisisForense ?