Descripción de la Tecnica
External Remote Services es un patrón de ataque del MITRE ATT&CK que describe cómo actores maliciosos pueden aprovechar servicios remotos públicos para inicialmente acceder a una red corporativa o establecer persistencia dentro de ella. Estos servicios, como VPNs, Citrix y otros mecanismos de acceso, permiten a los usuarios conectarse a recursos internos desde ubicaciones externas. A menudo, estos servicios dependen de puertas de enlace de servicios remotos que gestionan la autenticación de credenciales.
¿Cómo Funciona?
Los atacantes pueden usar servicios remotos como intermediarios para acceder a sistemas internos. Por ejemplo, un atacante podría explotar una vulnerabilidad en un VPN para obtener acceso no autorizado. Una vez dentro de la red, podrían establecer un punto de persistencia mediante técnicas como la inyección de código o la modificación de servicios de administración de acceso. Estos servicios suelen tener permisos elevados, lo que facilita la propagación del ataque.
Actores que la Utilizan
Este patrón es utilizado por múltiples actores maliciosos, incluyendo grupos de ciberdelincuencia y entidades estatales. Estos actores aprovechan la infraestructura de servicios remotos para evitar detectarse durante las fases iniciales de un ataque. Por ejemplo, un atacante podría usar un VPN legítimo para simular una conexión normal mientras se instala malware en el back-end.
Detección
La detección de este patrón requiere monitorear actividades anómalas en servicios remotos. Se deben investigar:
- Conexiones inesperadas a servidores de red remota.
- Uso abusivo de credenciales de acceso a servicios como VNC o Windows Remote Management.
- Cambios no autorizados en configuraciones de puertas de enlace de servicios remotos.
La colaboración entre equipos de seguridad y administradores de red es clave para identificar estos comportamientos.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar el riesgo asociado a este patrón, se recomienda: - Revisar permisos y autenticación de servicios remotos. - Implementar monitoreo en tiempo real de tráfico de red para detectar conexiones sospechosas. - Actualizar regularmente sistemas y servicios para cerrar vulnerabilidades conocidas. - Limitar el acceso a servicios remotos a usuarios autorizados y evitar su uso en entornos críticos.