Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Guía Esencial: Evolución de la seguridad de la información
Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Cómo detectar y mitigar técnicas avanzadas de evasión de malware

Nick Lewis explora varias técnicas utilizadas por el malware avanzado para evadir la detección y explica cómo detectar y mitigar las amenazas.

Mientras existan objetivos que explotar y dinero que hacer, el malware seguirá avanzando.

Para seguir siendo relevantes y recibir sus pagos,los autores del malware adoptarán técnicas de evasión avanzadas e incluirán nuevas características para satisfacer las peticiones de sus clientes, para que los ataques usando malware puedan ser más eficaces y rentables. Hay muchos casos de malware cada vez más sofisticado en los últimos meses, incluyendo a Zeus pasando de 32 bits a 64 bits y el avance del malware iBanking para apuntar a los dispositivos Android.

Además de las nuevas características de malware, hay una idea relativamente nueva en torno a "vivir de la tierra", donde los atacantes utilizan herramientas incorporadas o legítimas para evitar que sus ataques sean detectados por el software antimalware. El malware Poweliks es el más reciente ejemplo de esto.

En este consejo, voy a discutir los avances más recientes de malware y los controles necesarios en la empresa para detectarlos y controlarlos.

El TROJ_POWELIKS.A o Poweliks es un malware sin archivo diseñado para descargar otros ejemplares de malware que controlarán el sistema comprometido. Poweliks requiere un vector de infección inicial separado para comprometer el sistema local e instalar el malware, el cual, según se ha informado, es un archivo de Word malicioso. Después de la infección inicial, el malware se instala y se almacena en el registro como una librería de enlace dinámico (DLL) codificado que se extrae y se inyecta en los procesos dllhost.exe legítimos que corren en un sistema, el que luego lo ejecutará.

Si bien almacenar una DLL en el registro no es un método común de instalación de malware en un punto final, hace que sea más difícil detectar el malware, porque no todas las herramientas antimalware comprueban el registro. Sin embargo, para las herramientas que sí comprueban el registro, encontrar una clave de registro con una cantidad significativa de datos sin duda sería algo por lo cual emitir una alertar. El malware Poweliks también ejecuta comandos PowerShell para completar el ataque. Los comandos PowerShell podrían haber sido utilizados para evitar la detección usando herramientas legítimas, ya que PowerShell está instalado en la mayoría de sistemas y tiene la funcionalidad avanzada para interactuar con el sistema operativo que es necesaria para completar el ataque.

Otros malware también han seguido haciendo avances para seguir siendo rentables para los creadores de malware. El maduro malware Zeus continúa incorporando nuevas funciones; la funcionalidad más recientemente reportada agregada a él era un ataque de ingeniería social mejorado donde el malware parodiaba un mensaje de advertencia del navegador para conseguir que el usuario instalara el software malicioso. Del mismo modo, iBanking.Android ha añadido una nueva funcionalidad donde utiliza software de seguridad falso para conseguir que el usuario instale el software malicioso. A continuación, roba mensajes SMS utilizados en la autenticación de dos factores.

Controles empresariales necesarios para detectar y controlar malware avanzado

La detección de malware avanzado se puede hacer de muchas maneras diferentes. El malware de múltiples etapas, como Poweliks, y los ataques de varias etapas podrían dar a las empresas más tiempo para detectar el malware ya que cada paso requiere tiempo; sin embargo, cada paso podría no ser necesariamente detectado porque los pasos individuales por sí mismos podrían no ser maliciosos.

En el ejemplo de Poweliks, su aspecto de varias etapas puede ser difícil de detectar cuando pasa cada etapa individual, pero la correlación de todas las etapas y acciones puede ayudar a detectar y mitigar la actividad maliciosa.

Por ejemplo, mientras las secuencias de comandos de PowerShell son útiles para los administradores de sistemas o usuarios acreditados, pocos usuarios finales los desarrollan y  utilizan. La detección de comandos PowerShell maliciosos es difícil porque hay muchos usos  corporativos legítimos de las funciones de PowerShell. Sin embargo, para scripts de PowerShell utilizados por los usuarios finales, los administradores de sistemas pueden requerir que la secuencia de comandos sea firmada antes de la ejecución; esto ayudaría a bloquear la ejecución de scripts maliciosos por cualquier malware. Aunque esta política no detendría a un atacante dedicado, podría elevar el nivel lo suficiente para frustrarlos e impedir un ataque.

Aunque la detección del aspecto PowerShell del malware Poweliks puede ser difícil, detectar su infraestructura de comando y control y las conexiones de red podría ser más fácil. El blog de TrendMicro menciona una IP específica que puede ser utilizada como un indicador de compromiso para que una empresa pueda monitorear su red por cualquier conexión a la IP e investigar cada conexión. El monitoreo de las conexiones de red anómalas también podría ayudar a identificar un sistema comprometido que requiere investigación adicional. Esto podría incluir la observación de los registros NetFlow para ver qué sistemas son los más conversadores hacia IPs o sistemas externos con un importante número de intentos de autenticación fallidos.

El recientemente modificado malware Zeus y el malware iBanking.Android pueden ser identificados a través de pasos similares a los utilizados para identificar Poweliks, ya que dependen de la conciencia sobre la seguridad. La variante de Zeus puede ser detectada por el control de la red sobre conexiones hacia la IP de comando y control; iBanking.Android se puede detectar mediante el uso de una herramienta antimalware móvil que analiza el sistema en busca de archivos maliciosos.

Tenga en cuenta que la detección es solo una parte de un control efectivo de malware en la empresa. La respuesta rigurosa a los incidentes relacionados con el malware es fundamental para minimizar los efectos de un sistema comprometido.

Conclusión

No debe ser ninguna sorpresa que el malware seguirá avanzando y automatizando algunas de sus técnicas de ataque manuales más eficaces. Conforme las medidas de defensa de la empresa contra el malware se vuelven más sofisticados, el malware, inevitablemente, encontrará nuevos métodos para sortearlos. Esto requerirá una atención constante de las empresas con el fin de controlar y mitigar los ataques potenciales. Los controles y tecnologías de seguridad de las empresas tendrán que ser revisados constantemente para asegurarse de que son eficaces contra los ataques actuales. El cambio de programas y controles de seguridad cuando se descubren nuevos ataques o vulnerabilidades es esencial para permanecer delante de la curva.

También es fundamental para una empresa no solo evaluar la forma en que gestiona sus sistemas, sino también evaluar la gestión de sus sistemas para decidir si ciertas funcionalidades –tales como los scripts de PowerShell– pueden introducir potencialmente nuevos riesgos en su entorno y requerirán políticas adicionales orientadas a prevenir vulnerabilidades de ser explotadas.

Sobre el autor: Nick Lewis, CISSP, es el ex oficial de seguridad de la información de la Universidad de Saint Louis. Nick recibió una maestría en ciencias en seguridad de la información por la Universidad de Norwich en 2005 y en telecomunicaciones por la Universidad Estatal de Michigan en 2002. Antes de incorporarse a la Universidad de Saint Louis en 2011, Nick trabajó en la Universidad de Michigan y en el Hospital de Niños de Boston, el principal hospital de enseñanza pediátrica de la Escuela de Medicina de Harvard, asícomo para Internet2 y la Universidad Estatal de Michigan.

Este artículo se actualizó por última vez en diciembre 2014

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close