En el panorama actual de la seguridad cibernética, los actores maliciosos continúan refinando técnicas para evitar la detección y mantener acceso persistente a entornos comprometidos. Recientemente, se ha observado una versión actualizada de la puerta trasera identificada como FDMTP, desplegada a través de una táctica conocida como DLL sideloading. Este enfoque, que aprovecha bibliotecas de enlace dinámico legítimas para cargar código malicioso, subraya la necesidad de una vigilancia constante sobre la integridad de las dependencias y la gestión de privilegios dentro de las estaciones de trabajo y servidores.

Contexto técnico
– DLL sideloading: consiste en aprovechar vulnerabilidades en la forma en que una aplicación carga bibliotecas dinámicas. Si una versión confiable de una DLL está ausente o es sustituida por una versión maliciosa en el mismo directorio, la aplicación puede cargar la DLL maliciosa sin discernimiento. Esto permite ejecutar código arbitrario con los permisos de la aplicación objetivo.
– FDMTP: identificada como una puerta trasera que puede facilitar la exfiltración de datos, el movimiento lateral y la persistencia. En su variante más reciente, los actores parecen haber optimizado el proceso de despliegue para evadir controles tradicionales y aprovechar rutas de instalación menos scrutinizadas.

Implicaciones de seguridad
1) Persistencia y control: al desplegarse mediante DLLs legítimas, la puerta trasera puede mantenerse activa incluso cuando se aplican parches a componentes superficiales del sistema, dificultando la detección basada en firmas estáticas.
2) Evasión de detección: la técnica reduce la superficie de alerta para soluciones tradicionales de antivirus que esperan archivos ejecutables maliciosos en ubicaciones no habituales. Esto refuerza la necesidad de monitorear la integridad de las bibliotecas y las rutas de carga dinámicas.
3) Movimiento lateral: una vez dentro del entorno, la puerta trasera puede aprovechar privilegios existentes para desplazarse entre servicios y nodos, elevando la criticidad de segmentación y supervisión de permisos.

Buenas prácticas recomendadas
– Implementación de control de integridad de DLL: habilitar mecanismos de verificación de firmas y hashes para las bibliotecas cargadas por las aplicaciones críticas.
– Gestión de directorios de carga: restringir la capacidad de las aplicaciones para buscar DLLs en directorios no esenciales y deshabilitar la carga de bibliotecas desde ubicaciones de usuario cuando sea posible.
– Principio de mínimo privilegio: revisar y aplicar permisos estrictos, limitando la capacidad de servicios y procesos para cargar DLLs de fuentes no confiables.
– Monitoreo de anomalías de carga: establecer alertas ante intentos de carga de DLLs desde directorios inusuales, así como comportamiento inusual de procesos que consumen recursos de manera inesperada.
– Segmentación y control de movimiento lateral: segmentar la red y aplicar controles de tráfico lateral para dificultar la propagación de la puerta trasera entre sistemas.

Conclusión
La actualización observada de FDMTP mediante DLL sideloading aumenta la complejidad de las defensas y refuerza la necesidad de enfoques de seguridad basados en señales de comportamiento y gobernanza de activos. Una defensa efectiva combina controles de integridad, supervisión de carga dinámica y una arquitectura de seguridad centrada en la detección proactiva de movimientos no autorizados dentro del entorno.

from Latest from TechRadar https://ift.tt/emBcNfK
via IFTTT IA