Segurilatam 004

48 Primer cuatrimestre 2017 artículo técnico Ciberseguridad P ara aquellos que están familia- rizados con el mundo de Linux y el hacking , seguramente el tí- tulo de este artículo creará una asocia- ción en sus mentes por defecto al co- mando Netcat. Otros quizá se pregun- ten por qué he titulado así… Pues bien, en la Red hay numerosos sitios donde se puede encontrar mucha información al escribir “navaja suiza Linux” en Google, por lo que no será mi motivo el expli- carlo. Sin embargo, sí comentaré algunos pormenores de lo que algunos denomi- nan la navaja suiza 2.0 (sistemas de Win- dows). En efecto, me refiero al controver- tido PowerShell. Durante años, PowerShell ha ido evo- lucionando y teniendo un sinnúmero de mejoras para facilitar la administración de plataformas Windows, incursionando nuevos cmdlets (programas) y clases (ru- tinas) para hacer de esta herramienta un aliado para el administrador de sistemas que busca automatizar tareas repetitivas que suponen una pérdida de tiempo. Pensemos en el escenario más típico: al- tas, bajas y modificación de usuarios. To- das estas tareas pueden automatizarse utilizando PowerShell. Pero, ¿qué pasaría si se utilizan estos mismos cmdlets y cla- ses por un chicomalo ? En los últimos dos años he visto una cantidad notable de malware codificado en PowerShell para evadir los contro- les de seguridad que las empresas im- plementan tanto en la parte perimetral ( appliances ) como en los endpoints (es- taciones de trabajo). En estas piezas de software he podido observar diferentes técnicas y mecanismos para realizar eva- siones. Desde las más sencillas, como co- dificar el script en Base64, hasta técnicas complejas de ejecución y desofuscación del código directamente en la memo- ria para evitar dejar “artefactos” en los sis- temas que puedan servir de indicios al analista forense al intentar reconstruir los hechos durante un incidente. Instalado por defecto A la pregunta de por qué es tan po- pular PowerShell, la respuesta es bas- tante simple: viene instalado por defecto en todos los sistemas operativos recien- tes de Windows. Bajo este argumento, ¿para qué complicarse la vida creando un código binario (ejecutable) que des- pués hay que distribuir en los sistemas? ¿No es más fácil distribuir un script en texto plano y ejecutarlo directamente con PowerShell, que está instalado en todos los sistemas? La mayoría de las soluciones de se- guridad realiza análisis de código bi- nario (ejecutables) basados en firmas y motores heurísticos para encontrar ciertos patrones o indicadores de com- promiso (IOC, por sus siglas en inglés) dentro de las instrucciones del código ejecutable. Sin embargo, ¿algún lector ha recibido una alerta de un producto de seguridad al analizar un archivo de texto plano? De este pequeño resquicio han sa- cado partido los chicos malos con el ob- jetivo de no ser detectados, pues, a fi- nal de cuentas, no es tan sencillo identifi- car si unas líneas de texto son maliciosas o no sólo con leerlas. Para tener una me- Eliu Hernández* Experto en ciberseguridad La navaja suiza 2.0 * Consultor y articulista en medios especializados en ciberseguridad, Eliu Hernández será uno de los ponentes de Infosecurity México 2017. Es examina- dor forense y forma parte de Produban, empresa tecnológica del Grupo Santander, como responsable del área de Red Team. A la pregunta de por qué es tan popular PowerShell, la respuesta es bastante simple: viene instalado por defecto en todos los sistemas operativos recientes de Windows