Con el aumento de Amenazas Avanzadas Persistentes (APT por sus siglas en inglés), es de suma importancia, para aquellos que se encargan de la defensa de los sistemas y redes de posibles objetivos, saber que estos atacantes suelen utilizar herramientas legales y comunes, cuyo uso es más difícil de detectar por las investigaciones forenses.

Las aplicaciones FTP, herramientas de compresión de información, herramientas para manipulación y para la creación de tareas programadas, aplicaciones de recuperación de contraseñas y clones de cuentas de usuario, son tipos de software que pueden ser comprados legalmente a las empresas que los fabrican y se utilizan regularmente para hacer la vida del usuario y su trabajo más fácil.

El investigador de amenazas de Trend Mico, Ronald Dela Paz, ofreció algunos buenos consejos sobre el tipo de cosas que los administradores de seguridad deben tomar en cuenta.

Dela Paz afirma que la mayoría de las herramientas anteriormente mencionadas, son para interfaz de línea de comandos (CLI) o que pueden ejecutarse tanto en ésta como en interfaz gráfica de usuario (GUI). Por lo tanto, las instancias sospechosas de los procesos de los comandos shell pueden ser una manera de detectar su uso. De esta manera, al realizar estos procesos la tarea podría volverse más sencilla.

Checar ocasionalmente que herramientas están instaladas en el sistema del cual eres responsable, así como nombres de archivos inusuales y extensiones de archivos falsos, es otra manera sencilla de detectar cosas que no tienen nada que hacer ahí.

"Esto puede llegar a ser tedioso, pero vigilar los archivos de tu sistema puede hacer la diferencia entre la mitigación de un ataque APT y la exposición masiva de los documentos clasificados de la empresa", señala Dela Paz.

No hay que olvidar revisar periódicamente los trabajos programados, ya que son un método común de inicio automático para ataques APT e infecciones de malware. De esta manera, se puede detectar la existencia de un intento de ataque y descubrir cómo se desarrolla.

Por último, tener vigiladas las conexiones FTP en los registros de la red es otra manera simple de detectar ataques APT.

"En un entorno corporativo, los sitios FTP suelen ser sitios de Intranet.  De esta manera, es más sencillo resolver FTPs legítimos que sitios maliciosos", explica Dela Paz. "Las transacciones FTP son significativamente más pequeñas que otras comunicaciones en la red, lo que puede permitir que se identifique un incumplimiento más rápido. Además, la comprobación de archivos con nombres raros que fueron cargados desde un sitio remoto también podría ser un signo de que el equipo está comprometido."