Este artículo muestra al DAIM (Defensive Advanced Intelligent Malware) / MIAD (Malware Inteligente Avanzado Defensivo) ejecutor de maniobras y operaciones de defensa/protección a bajo nivel contra todo tipo de conductas perversas de los ciber-ataques en general (muchos de ellos incluyendo malware ofensivo). Finalmente se estructuran los ciber-ataques ofensivos identificando sus elementos y patrones relevantes.

INTRODUCCIÓN.
El DAIM integra un conjunto muy numeroso de tecnologías que se manifiesta en una automatización con elevadísima proactividad a muy bajo nivel (bloqueando, neutralizando, inactivando, etc. con anticipación a los indicios de intentos de acciones-operaciones-maniobras perversas) guiada por playbooks en varias dimensiones (alimentados dinámicamente por bases de conocimiento, inteligencia de vulnerabilidades-exploits, inteligencia de datos (con Big-Data y Data-Analytics), inteligencia de ciber-amenazas, TH (Threat-Hunting), ZT (Zero-Trust), ZK (Zero-Knowledge), etc.). En el kernel de DAIM se identifica un entorno redundante-ciberresiliente de inteligencia artificial (IA) con todas sus derivadas (redes neuronales convolucionales y profundas, NLP (Procesado de Lenguaje Natural), aprendizaje automático acelerado (deep-learning, machine-learning anidado), sistemas expertos multicapa, etc. El DAIM explora todos los objetivos, incluso los “objetivos diana” (aquellos que primero pueden ser ciber-atacados, por ser los más vulnerables). El DAIM opera sobre todo tipo de intentos maliciosos de “maniobras” (intentos de moverse lateralmente, de reconocimientos, de ocultación, de borrar ciber-evidencias, rastros ciber-forenses, etc.) y de intentos maliciosos de “operaciones” (intentos de ejecutar, leer, escribir, modificar, recoger, entregar, etc.).

El DAIM es una ciber-arma defensiva, de protección diseñada para inactivar, neutralizar, bloquear, inhabilitar, mitigar, etc. todo tipo de intentos de operaciones/conductas perversas que se necesitan en los ciber-ataques ofensivos en general. Los ciberataques ofensivos pueden proceder de crackers, hackers ofensivos, ciber-armas malware ofensivas, ciber-criminales, ciber-delincuentes, granjas y redes de agentes robotizados basados en IA con capacidades de generación de ciber-intrusiones, ciber-penetraciones, ciber-ataques ofensivos, malware como ciber-arma ofensiva, etc. Algunos ciber-ataques simples basados en malware son: “zotob” utiliza como vector de ciber-ataque “buffer-oveerflow/stack”, su objetivo es un dispositivo de computación local, su impacto en la información es su distorsión, su impacto operacional “malware instalado gusano”; “debianadmin” utiliza como vector de ciber-ataque “vulnerabilidad/flaw en el kernel”, su objetivo es el sistema operativo, su impacto en la información es la distorsión, su impacto operacional “denegación de servicios”; “slammer” utiliza como vector de ciber-ataque “mala configuración”, su objetivo es la red, su impacto en la información es el descubrimiento, su impacto operacional “malware instalado gusano entendido en redes”; “samy XSS” utiliza como vector de ciber-ataque “vulnerabilidad/flaw en el diseño”, su objetivo es el usuario, su impacto en la información es trastorno-interrupción, su impacto operacional “compromiso Web”; “yamanner” utiliza como vector de ciber-ataque “ingeniería social”, su objetivo son las aplicaciones (servidor de correo electrónico, etc.), su impacto en la información es la revelación, su impacto operacional “compromiso Web”; etc.

MANIOBRAS Y OPERACIONES DE DEFENSA Y PROTECCIÓN POR PARTE DEL DAIM.
El DAIM maniobra dinámicamente realizando innumerables operaciones de neutralización, bloqueo, inactivación, mitigación, inhabilitación, etc. (sigiloso, en continua actualización) contra todo tipo de intentos de acciones perversas generadas por los ciberataques ofensivos:
(1) Maniobra-operación con efectos de interceptación de las comunicaciones. El DAIM bloqueará todo tipo de intentos maliciosos de reconocimientos y escaneo de la red perimetral, así como de sniffing de las redes expuestas.
(2) Maniobra-operación con efectos de interrupción, interferencias y degradación de las comunicaciones inalámbricas (OTA y satelitales). El DAIM bloqueará todo tipo de intentos maliciosos de reducir o denegar la disponibilidad por medio de interferencias de las comunicaciones inalámbricas, así mismo bloqueará cualquier intento de reconocimientos y escaneos de la red perimetral y de sniffing de las redes expuestas.
(3) Maniobra-operación con efectos de degradación/interrupción utilizando puertos/protocolos/servicios no autorizados. El DAIM bloqueará todo tipo de intentos maliciosos de explotar sistemas de información/OT no autorizados o débilmente configurados que estén expuestos a Internet.
(4) Maniobra-operación con efectos de interceptación/exfiltración e interrupción/degradación utilizando movimiento de datos y tráfico a través del perímetro. El DAIM bloqueará todo tipo de intentos maliciosos de establecer cualquier tipo de canales C&C (Command and Control) a malware, componentes comprometidos o servidores asociados al ciber-atacante, así mismo, neutralizará todo tipo de intentos maliciosos de facilitar la exfiltración de datos/información de sistemas de información/OT de la organización comprometidos. El DAIM bloqueará todo tipo de intentos maliciosos de causar revelación de información crítica/sensible por parte de usuarios autorizados. El DAIM bloqueará todo tipo de intentos maliciosos de causar no disponibilidad mediante la revelación de información sensible. El DAIM bloqueará todo tipo de intentos maliciosos de transmitir información sensible de forma encubierta/subliminar desde la red interna a un destino externo.
(5) Maniobra-operación con efectos de degradación e interrupción utilizando ciber-ataques simples DoS (Denial of Service). El DAIM bloqueará todo tipo de intento malicioso de realizar escaneo/reconocimiento de la red perimétrica.
(6) Maniobra-operación con efectos de degradación/interrupción utilizando ciber-ataques DDoS (Distributed Denial of Service). El DAIM bloqueará todo tipo de intento malicioso de realizar escaneo/reconocimiento de la red perimétrica y de transmitir mensajes a un conjunto dirigido de direcciones de red del perímetro para denegar servicios.
(7) Maniobra-operación con efectos de interrupción/degradación utilizando ciber-ataques DDoS (Distributed Denial of Service) dirigidos. El DAIM bloqueará todo tipo de intento malicioso de instalar sniffers dirigidos y persistentes en los sistemas de información/OT de la organización y redes y de causar degradación o denegación de servicios o capacidades seleccionados por el ciber-atacante.
(8) Maniobra-operación con efectos de degradación/interrupción utilizando ataques físicos a las instalaciones/servicios de la organización. El DAIM bloqueará todo tipo de intentos maliciosos de actuar sobre las instalaciones/servicios de la organización.
(9) Maniobra-operación con efectos de interrupción/degradación utilizando ataques físicos a las infraestructuras que soportan los servicios de la organización. El DAIM bloqueará todo tipo de intentos maliciosos de actuar sobre las infraestructuras que soportan los servicios/instalaciones de la organización.
(10) Maniobra-operación con efectos de interrupción/degradación utilizando ataques ciber-físicos a las instalaciones/servicios de la organización. El DAIM bloqueará todo tipo de intentos maliciosos de realizar ataques ciber-físicos sobre los servicios/instalaciones de la organización.
(11) Maniobra-operación con efectos de interceptación/exfiltración utilizando ciberataques de scavenging (rebuscar en la basura física y cibernética) datos en entornos de nube (cloud/fog/edge-computing). El DAIM bloqueará todo tipo de intentos maliciosos de establecer canales C&C para el malware o componentes comprometidos, así como bloqueará todo intentos maliciosos de explotar el borrado incompleto o inseguro de datos en entornos virtualizados “multi-tenant“ o de violar el aislamiento en entornos virtualizados “multi-tenant“ (basados en máquinas virtuales/VMs, containers/dockers, etc.).
(12) Maniobra-operación con efectos de uso no autorizado utilizando ciber-ataques de averiguar contraseñas y de forzar intentos de login por fuerza bruta. El DAIM bloqueará todo tipo de intentos maliciosos de establecer o usar insidiosamente un canal de comunicaciones a la empresa como un todo o para un sistema dirigido, así mismo, bloqueará todo tipo de intentos maliciosos de entregar comandos a un sistema dirigido (por ejemplo, login).
(13) Maniobra-operación con todo tipo de efectos utilizando ciber-ataques 0-day no dirigidos. El DAIM bloqueará todo tipo de intentos maliciosos de ciber-intrusión o ciberataques 0-day no dirigidos.
(14) Maniobra-operación con efectos de interceptación utilizando secuestro de sesión basado externamente. El DAIM bloqueará todo tipo de intentos maliciosos de realizar sniffing de redes expuestas.
(15) Maniobra-operación con efectos de interceptación utilizando secuestro de sesión basado internamente. El DAIM bloqueará todo tipo de intentos maliciosos de realizar sniffing de redes expuestas o bien de realizar reconocimientos internos dirigidos por el ciber-atacante o malware.
(16) Maniobra-operación con efectos de degradación/interrupción, corrupción/modificación/inserción utilizando ciberataques de modificación de tráfico de red basado externamente tipo MITM (Man In The Middle). El DAIM bloqueará todo tipo de intentos maliciosos de realizar sniffing de redes externas (por ejemplo, de ISPs/Internet Service Providers) a los que están conectadas las redes de la organización, así mismo bloqueará todo tipo de intentos maliciosos de analizar el tráfico de red basado en el sniffing, así como de inyectar tráfico de red malicioso fabricado.
(17) Maniobra-operación con efectos de degradación/interrupción, corrupción/modificación/inserción utilizando ciberataques de modificación de tráfico de red basado internamente tipo MITM (Man In The Middle). El DAIM bloqueará todo tipo de intentos maliciosos de realizar análisis el tráfico de red basado en el sniffing, así como de inyectar tráfico de red malicioso fabricado.
(18) Maniobra-operación con efectos de interceptación/exfiltración utilizando ingeniería social desde el exterior para obtener información. El DAIM bloqueará todo tipo de intentos maliciosos de recoger información utilizando descubrimiento de fuente abierta de información de la organización (en RRSS, foros, Dark-Web, etc.). El DAIM bloqueará todo tipo de intentos maliciosos de realizar ciber-ataques de manipulación psicológica fabricados contra el personal clave (spear-phishing, whale-phishing).
(19) Maniobra-operación con efectos de interceptación/exfiltración utilizando ingeniería social desde el interior para obtener información. El DAIM bloqueará todo tipo de intentos maliciosos de ciberataques de manipulación psicológica fabricados contra el personal clave (spear-phishing, whale-phishing, etc.).
(20) Maniobra-operación con efectos de corrupción/modificación/inserción o exfiltración/interceptación utilizando ciberataques dirigidos y que comprometen los dispositivos personales de empleados críticos. El DAIM bloqueará todo tipo de intentos maliciosos de recoger información utilizando descubrimiento de fuente abierta de la información de la organización. Así mismo, bloqueará todo tipo de intentos maliciosos de ciber-ataques spear-phishing fabricados, o de crear sitios Web falsificados/engañosos. Así mismo, bloqueará todo tipo de intentos maliciosos de explotar vulnerabilidades conocidas en sistemas móviles (smartphones, tablets, PCs, objetos IoMT, etc.). Así mismo, bloqueará todo tipo de intentos maliciosos de comprometer dispositivos o sistemas de información/OT utilizados externamente y reintroducidos en la organización. Así mismo, bloqueará todo tipo de intentos maliciosos de comprometer los sistemas de información/operacionales IT/OT de la organización para facilitar la exfiltración de datos/información. Así mismo, bloqueará todo tipo de intentos maliciosos de descargar información sensible a los sistemas de información/OT o dispositivos utilizados externamente y reintroducidos en la organización.
(21) Operación con efectos de corrupción/modificación/inserción utilizando ciberataques a la cadena de suministro dirigidos y explotando hardware, firmware o software crítico. El DAIM bloqueará todo tipo de intentos maliciosos de recoger información usando descubrimiento de fuente abierta de información de la organización. Así mismo, bloqueará todo tipo de intentos maliciosos de crear y operar falsas organizaciones frontales para inyectar componentes maliciosos dentro de la cadena de suministro. Así mismo, bloqueará todo tipo de intentos maliciosos de comprometer los sistemas en otra organización para establecer una presencia en la cadena de suministro. Así mismo, bloqueará todo tipo de intentos maliciosos de insertar hardware alterado/falsificado (por ejemplo, troyanos hardware) en la cadena de suministro.
(22) Maniobra-operación tipo ciber-campaña coordinada con todo tipo de efectos utilizando ciber-ataques multi-etapa (por ejemplo, “hopping”). El DAIM bloqueará todo tipo de intentos maliciosos de insertar malware dirigido en los sistemas de información/OT y componentes del sistema de información/operacional IT/OT de la organización. Así mismo, bloqueará todo tipo de intentos maliciosos de explotar vulnerabilidades en los sistemas internos de información/operacionales IT/OT de la organización.
(23) Maniobra-operación tipo ciber-campaña coordinada con todo tipo de efectos que combina ciberataques internos y externos a través de múltiples sistemas de información/operacionales IT/OT y tecnologías existentes. El DAIM bloqueará todo tipo de intentos maliciosos de insertar malware ofensivo en la organización.
(24) Maniobra-operación tipo ciber-campaña coordinada con todo tipo de efectos que ciber-ataca múltiples organizaciones para adquirir información específica o realizar el resultado deseado. El DAIM bloqueará todo tipo de intentos maliciosos de comprometer los sistemas en un socio organizacional o comprometer sistemas de información/operacionales IT/OT o dispositivos utilizados externamente y reintroducidos en la organización. Así mismo, bloqueará todo tipo de intentos maliciosos de comprometer los sistemas en otra organización para establecer una presencia en la cadena de suministro. Así mismo, bloqueará todo tipo de intentos maliciosos de establecer o utilizar canales de comunicación a la organización como un todo o a un sistema dirigido. Así mismo, bloqueará todo tipo de intentos maliciosos de insertar malware dirigido en los componentes del sistema de información/operacional IT/OT o en el propio sistema de información/operacional IT/OT.
(25) Maniobra-operación tipo ciber-campaña coordinada con todo tipo de efectos utilizando ciber-ataques a través de los sistemas de la organización desde la presencia existente. El DAIM bloqueará todo tipo de intentos maliciosos de establecer canales C&C con el ciber-atacante, malware o componentes comprometidos. Así mismo, bloqueará todo tipo de intentos maliciosos de violar el aislamiento en entornos virtualizados “multi-tenant“ (con VMs, containers/dockers, etc.). Así mismo, bloqueará todo tipo de intentos maliciosos de explotar vulnerabilidades en sistemas de información/OT internos de la organización.
(26) Maniobra-operación tipo ciber-campaña coordinada con todo tipo de efectos utilizando ciberataques continuados, adaptativos y cambiantes basados en vigilancia detallada. El DAIM bloqueará todo tipo de intentos maliciosos de ciber-penetración, ciber-intrusión y ciber-ataque.
(27) Maniobra-operación tipo ciber-campaña coordinada con todo tipo de efectos utilizando ciberataques con vectores de ciber-ataque externos (de fuera), internos (de dentro) y de la cadena de suministro (suministrador). El DAIM bloqueará todo tipo de intentos maliciosos de ciber-intrusión, ciber-penetración y ciber-ataque (como, por ejemplo, un ciberataque Web “unwanted push advertisement Website n”, “inyectar servicios y controladores de dispositivo no válidos en el Registro”, “introducir programas de desinstalación no válidos en el Registro”, etc.). Algunos vectores de ciber-ataque son: “acceso, interceptación y modificación de cookies HTTP”, “forzar integer-overflow”, “ciber-atacar utilizando datos compartidos”, “inducir buffer-overfllow para inhabilitar la validación de entradas”, “SOAP array overflow”.

ESTRUCTURACIÓN DE LOS CIBERATAQUES OFENSIVOS: IDENTIFICACIÓN DE ELEMENTOS RELEVANTES.
Los ciber-ataques ofensivos, según el modelo GB57, se especifican utilizando las siguientes fases y patrón: (1) Punto de lanzamiento. Basada en ingeniería social, spear-phishing en correos electrónicos (que pueden transportar links, botones, iconos o ficheros adjuntos infectados), CSS (Cross-Site-Scripting), Shellcode downloader, un descargador de troyano, correos con phishing que redirigían a sitios Web comprometidos que contenían JavaScript que causa que el navegador Web del cliente cargue un iFrame que carga contenidos maliciosos, etc. (2) Explotación. Basada en envenenamiento DNS/pharming, zombificación, escalada de privilegios, mantenimiento del acceso/persistencia. (3) Post-explotación. Basada en la inhabilitación de los anti-malware, C&C (Command and Control), borrador no recuperable a muy bajo nivel (o wiper), recoger información de forma no autorizada, cambiar datos ilegalmente, etc. Los ciber-ataques ofensivos, según el modelo lZ64, se especifican utilizando las siguientes fases y patrón: (1) Punto usuario. El usuario con un computador vulnerable visita un sitio/página Web comprometida con iFrame invisible. (2) Punto servidor Web malicioso o comprometido. El iFrame embebido en la página carga otra página. (3) Punto redirector. La página redirige a otra página que contiene un exploit. (4) Punto servidor exploit. Si el exploit tiene éxito el malware se descarga de otro servidor al dispositivo de la víctima. (5) Punto ejecutar acciones maliciosas, borrar huellas y dejar puerta trasera. Acciones maliciosas como capturar datos de credenciales, información de salud protegida (Sanidad, HIPAA), datos del poseedor de tarjetas de banco y números de tarjetas, PII (Personally Identificable Information), etc. cambiar datos críticos, denegar servicios, etc. Borrado de forma “wiper”, dejar semillas invisibles y “backdoors” para poder seguir actuando en un futuro.

CONSIDERACIONES FINALES.
Según el ESG (Enterprise Strategy Group) los principales problemas de ciberseguridad que preocupan de las APIs son: vulnerabilidades de las APIs un 63%, pérdida de datos como resultado de un uso no seguro de las APIs un 62%, introducción de software malicioso un 50%, uso o acceso no autorizado de las APIs de la organización un 34%, empleo de APIs no aprobadas un 34%, ninguna de las anteriores un 3%. Según Dynatrace los escáneres de vulnerabilidades sólo ofrecen una vista estática en un único momento en el tiempo y carecen de la capacidad de diferenciar entre un riesgo potencial y una exposición real. Por ello, son en gran medida ineficientes. Esto significa que las vulnerabilidades a menudo no se detectan en la producción donde los ciber-atacantes pueden explotarlas. Para desarrollar aplicaciones cada vez más organizaciones optan por arquitecturas nativas de la nube basadas en microservicios, containers (la seguridad docker debería aislar de modo que cada container no debería ver entidades (ficheros, procesos, interfaces de red, etc.) de otros containers. Las imágenes y código que se ejecutan en un container deben ser ciber-seguras) y en Kubernetes; la compañía Codecov de testeo de software sufrió una brecha de ciberseguridad, en este caso los ciber-atacantes se aprovecharon de una vulnerabilidad en el proceso de creación de una imagen para Docker consiguiendo acceder y modificar una de sus herramientas y como resultado lograron enviar información sensible almacenada en los entornos de CI de sus usuarios (como credenciales, claves, tokens) a un servidor ajeno a la compañía afectando a 29.000 clientes. El DAIM es autónomo, con autocontrol, ciber-resiliente, se basa para proteger en IA, TH, ZK, ID, IV, emplea un colectivo muy numeroso de bases de conocimiento y playbooks, utiliza el enfoque ZT (Zero Trust) basada en “nunca confiar, antes verificar, pero profundamente”.

REFERENCIAS.
- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2020.
- Areitio, J. “Dualidad del malware inteligente avanzado (ofensivo y defensivo), puntos de actuación y operativa de expansión transparente”. Revista Conectrónica. Nº 245. Octubre 2021.
- Areitio, J. “Elementos y enfoques para el diseño y síntesis de malware inteligente avanzado defensivo”. Revista Conectrónica. Nº 246. Noviembre 2021.
- Areitio, J. “Desarrollo de malware inteligente avanzado defensivo. Neutralización de acciones del malware ofensivo”. Revista Conectrónica. Nº 247. Febrero 2022.
- Areitio, J. “Actuaciones automáticas del malware inteligente avanzado defensivo”. Revista Conectrónica. Nº 248. Marzo 2022.
- Areitio, J. “Exploración de la dinámica de funcionamiento de bloqueo utilizada por el DAIM/MIAD”. Revista Conectrónica. Nº 249. Abril 2022.
- Perlroth, N. “This Is How They Tell Me the World Ends: The Cyberweapons Arms Race”. Bloomsbury Publishing. 2022.
- Wardle, P. “The Art of Mac Malware: The Guide to Analyzing Malicious Software “. No Starch Press. 2022.
- Wittkop, J. “The Cybersecurity Playbook for Modern Enterprise: An End-to-End Guide to Preventing Data Breaches and Cyber Attacks”. Packt Publishing. 2022.
- Hettema, H. “Agile Security Operations: Engineering for Agility in Cyber Defense, Detection, and Response”. Packt Publishing. 2022.
- Stamp. M., Alazab, M. and Shalaginov, A. “Malware Analysis Using Artificial Intelligence and Deep Learning “. Springer. 2021.
- Patton, H.E. “Navigating the Cybersecurity Career Path”. Wiley. 2021.
- Jenkinson, A. ”Stuxnet to Sunburst: 20 Years of Digital Exploitation and Cyber Wa

Autor: Prof. Dr. Javier Areitio Bertolín   -    Director del Grupo de Investigación Redes y Sistemas