Inicio / Protege tu empresa / Blog / Atención empresas: cómo comprobar si eres víctima de la amenaza persistente avanzada Flame

Atención empresas: cómo comprobar si eres víctima de la amenaza persistente avanzada Flame

Publicado el 11/06/2012, por Observatorio de la Seguridad de la Información
Imagen_Post_APT

Hay una nueva amenaza dentro del grupo de las APT, o Advanced Persisted Threats: bajo la denominación de Flame (o también identificado como SkyWiper) se esconde el software malicioso de mayor complejidad y funcionalidad conocido hasta la fecha, por lo que podemos hablar de arma cibernética con un elevadísimo potencial de daño.

Las Advanced Persisted Threats son una nueva concepción de ataque, en la que el atacante tiene como objetivo concreto a su víctima (generalmente empresas e instituciones) y trabaja intensa y específicamente en conseguir comprometerlo, lo cual resulta la mayor parte de las veces en una intrusión real en sus redes.

Cuenta con unas características diferenciadas:

  • Son avanzadas porque sus creadores buscan piezas sofisticadas y únicas, utilizando varios métodos de ataque.
  • Son persistentes por su capacidad para ocultarse, lo que las hace perdurar en el tiempo, al igual que los daños provocados por ellas.
  • Por último, son amenazas porque hay toda una estrategia coordinada para llevar a cabo el ataque.

Este selecto grupo, del que Stuxnet y Duqu son dos ejemplos de gran relevancia, cuenta ahora con un nuevo miembro.

Como indica INTECO-Cert, Flame se basa en una nueva pieza de malware que, si bien ha podido ser desarrollada basándose en tecnología de Stuxnet o Duqu, supone un aumento en el nivel de sofisticación con respecto a sus predecesoras. Su propósito es el robo de información y el ciberespionaje de objetivos empresariales y/o institucionales, para lo cual puede interceptar documentos, tomar capturas de pantalla, capturar tráfico de red, grabar conversaciones, anular la operatividad de herramientas de seguridad, etc. Se transmite bien a través de la infección de dispositivos USB, bien comprometiendo equipos locales (con la posibilidad de replicarse a otros equipos en red).

¿Cómo comprobar que los equipos de la empresa están infectados por Flame? Kaspersky (a través de la revista e.Security) nos proporciona tres pasos, que ejemplificamos para Windows XP, aunque son trasladables a Windows Vista/ Windows 7.

El equipo está infectado si:

1. Al utilizar la herramienta de búsqueda para rastrear el archivo ~DEB93D.tmp, éste aparece en el sistema, como ejemplificamos en la siguiente imagen.

2. Si al comprobar las claves de registro en HKLM\SYSTEM\CurrentControlSet\Control\Lsa\AuthenticationPackages se encuentran mssecmgr.ocx o authpack.ocx, según se destaca en la ilustración.

3. Si se verifica que en la carpeta Archivos de Programa\Archivoscomunes\MicrosoftShared\ están presentes alguno de los siguientes catálogos resaltados en la ilustración:

Si alguna de estas actuaciones nos indica que el equipo está comprometido, os proporcionamos las siguientes pautas:

  • Utilizar soluciones de seguridad para la detección y limpieza del malware, como programas antivirus/antimalware, detectores del tipo IDS e IPS, escaneo del código de las páginas web visitadas en tiempo real y escaneo de vulnerabilidades.
  • Llevar a cabo la recuperación de la información (mediante herramientas de backup) y la restauración de los sistemas afectados.
  • Evaluar si se están aplicando las medidas adecuadas de seguridad y realizar los cambios pertinentes. Considerar la evaluación del análisis de riesgo y la planificación de la seguridad de la información en la organización.
  • Acudir a los canales de denuncia proporcionados por la Policía y/o la Guardia Civil. Asimismo, es recomendable utilizar servicios de soporte como los proporcionados por INTECO.

Haznos llegar tus comentarios y dudas en el espacio habilitado en a continuación del post, en el correo electrónico observatorio@inteco.es, o a través de los perfiles @ObservaINTECO en redes sociales (Twitter y Facebook).