Para seleccionar sus objetivos, los cibercriminales suelen realizar exploraciones de reconocimiento activo en las que recopilan información investigando las infraestructuras de sus víctimas a través del tráfico de la red.
El escaneo activo es una de las técnicas más utilizadas por los ciberdelincuentes para encontrar nuevas víctimas en Internet y, en función del tipo de información que buscan, utilizan diferentes formas y métodos.
Es importante destacar que esta técnica de reconocimiento no se puede mitigar fácilmente o con controles preventivos, ya que se basa en comportamientos que se llevan a cabo fuera del alcance de las defensas y controles de la empresa. Los esfuerzos deben centrarse en minimizar la cantidad y la sensibilidad de los datos disponibles para terceros
La matriz Mitre identifica 3 subtécnicas de escaneo activo o active Scanning:
- Escaneo de bloques de IP: consiste en el escaneo de bloques de direcciones IP para recopilar información. Las direcciones IP públicas pueden asignarse a las organizaciones por bloque o por un rango de direcciones secuenciales.
- Análisis de vulnerabilidades: en ella, los ciberdelincuentes escanean a las víctimas en busca de vulnerabilidades que puedan utilizar durante el ataque. Los escaneos de vulnerabilidades suelen comprobar si la configuración de un host o una aplicación objetivo (por ejemplo, software y versión) se alinea potencialmente con el objetivo de un exploit específico que el atacante puede intentar utilizar.
- Escaneo de listas de palabras: los cibercriminales sondean la infraestructura de forma repetitiva mediante técnicas de fuerza bruta y rastreo. Si bien esta técnica emplea métodos similares a la fuerza bruta, su objetivo es la identificación del contenido y la infraestructura en lugar del descubrimiento de credenciales válidas. Las listas de palabras utilizadas en estos análisis pueden contener nombres genéricos y de uso común, extensiones de archivo o términos específicos de un software en particular. Los atacantes también pueden crear listas de palabras personalizadas y específicas para el objetivo, utilizando datos recopilados de otras técnicas de reconocimiento.
¿Cómo puedes detectar esta amenaza?
- Contenido del tráfico de red. Monitoreando y analizando patrones de tráfico e inspeccionando paquetes asociados a protocolos que no siguen los estándares de protocolo y flujos de tráfico esperados, como patrones de tráfico gratuitos o irregulares o sintaxis o estructuras extrañas. También considerando la correlación con el monitoreo de procesos y la línea de comandos para detectar la ejecución anómala de procesos y argumentos de línea de comandos asociados a patrones de tráfico.
- Flujo de tráfico de red. Haciendo un seguimiento de los datos de la red para detectar flujos inusuales. Los procesos que utilizan la red y que normalmente no tienen comunicación de red o que nunca se han visto antes son sospechosos.
