'Hay un alto porcentaje de muestras de malware que incorporan alguna técnica de evasión' (Panda Security)
- Reportajes
En opinión de Panda Security los modelos de protección implementados necesiten disponer de capacidades que permitan un ciclo de prevención, detección y respuesta que sea rápido, ágil y eficaz.
Muy atrás quedaron los tiempos de los binarios ejecutables estáticos que se comunicaban con un servidor de comando y control (C&C) fijo a través de comunicaciones de texto sin formato. Los malwares de hoy son sofisticadas herramientas de ataque que incluyen una variedad de técnicas de evasión diseñadas para engañar, eludir y evitar las defensas antimalware existentes.
Este cuestionario forma parte del reportaje Malware Evasivo, o cómo camuflarse, tema de portada del número de Noviembre de la revista IT Digital Security, disponible desde este enlace.
Rubén Franco - Sales Security Engineer Panda Security, responde a este cuestionario sobre lo que tiene que tener un malware para ser evasivo, cuáles son las técnicas evasivas más utilizadas o cómo se combate este tipo de malware.
¿Qué característica tiene que tener un malware para considerarse evasivo?
Cualquier malware que incorpore funcionalidades que permitan evaluar su entorno y de esta manera poder cambiar su comportamiento para eludir cualquier medida o tecnología puesta en marcha dentro de un modelo de protección de seguridad establecido, dicho malware podrá considerarse como malware evasivo. Por ejemplo, determinadas muestras de malware pueden detectar que se encuentran en determinados entornos virtuales, muchas veces utilizados para entornos de sandboxing, ocultando en estos casos sus funcionalidades “maliciosas” hasta que detectan que se encuentran en un entorno real de producción donde se detonarían dichas funciones.
¿Cuán evasivo es el malware hoy en día?
Hoy en día los atacantes están utilizando numerosas técnicas avanzadas para evadir las distintas medidas de seguridad que están presentes en las organizaciones. Los ataques cada vez son más dirigidos y específicos llegando al punto de poder ejecutar código malicioso camuflado en herramientas y software legitimo del sistema sin necesitar de un programa ejecutable en disco para detonarse, directamente se desencadenaría en menoría. Esto hace que sea extremadamente complicado detectar este tipo de variantes en modelos de protección basados únicamente en técnicas tradicionales como podrían ser las soluciones de antivirus. En este punto se necesita de otras tecnologías avanzadas como por ejemplo las soluciones denominadas EDR (Endpoint Detection and Response) para que trabajen en conjunto elevando así los niveles de protección y reduciendo el riesgo.
¿Qué porcentaje del malware actual es evasivo?
Es difícil dar una cifra concreta, pero podríamos decir que durante 2017 y 2018 hay un gran porcentaje de muestras de malware utilizadas en campañas determinadas que incorporaban alguna técnica de evasión, siendo uno de los principales riegos a gestionar dentro de los modelos de seguridad de las empresas y más concretamente en el puesto debido al alto grado de movilidad que han adquirido los usuarios.
¿Cómo se combate el malware evasivo?
Una de las posibles vías para poder combatir este tipo de amenazas es disponer de tecnologías avanzadas aplicadas a la Ciberseguridad que disponga primero de una capacidad de análisis y computación muy potente además de escalable debido a la variedad y el volumen de muestras de malware generado día a día. Este primer requisito comentado anteriormente da pie al segundo, el cual requiere de procesos de análisis mucho más automatizados, eficaces y avanzados, en los cuales se recomienda disponer de capacidades de análisis inteligente, análisis de comportamiento y muy importante el análisis de contexto. Una de las tecnologías que mejor está encajando ahora mismo con este modelo es el de Machine Learning que está ofreciendo unos ratios de detección y remediación realmente interesantes.
¿Cuáles serían las técnicas de evasión más destacadas?
Existen muchas técnicas y muy variadas. De manera general podríamos mencionar algunas como:
Técnicas dedicadas a reconocer el entorno en el cual se encuentra la muestra de malware y en base a esto accionarse o no, por ejemplo, suele servir para la detección de entornos sandboxing.
Técnicas que en función de la fecha y la hora toman determinadas acciones cambiando su comportamiento.
Técnicas de ejecución de código malicioso en memoria a través de macros o scripts pertenecientes a herramientas legitimas del sistema. En este caso, por ejemplo, una macro con contenido malicioso que se inyecta al ejecutar un archivo EXCEL, por lo que no habría ningún ejecutable en disco involucrado.
Da la sensación de que, existiendo desde hace décadas, ha sido hace unos años cuando las sandboxes han recobrado protagonismo. ¿Qué opina?
Las soluciones de sandboxing han sido de utilidad desde hace bastantes años sirviendo como complemento a otras muchas soluciones, formando parte del denominado modelo de protección en profundidad basado en capas. Dicha tecnología ha asistido y asiste a Firewalls, soluciones de protección de email y web además de otras como antivirus o las nombradas anteriormente EDR. Ofreciendo así un modelo de protección cohesionado y compacto, siendo cierto que las soluciones de sandboxing cada vez han tomado más protagonismo debido a que sirve como apoyo para la detección de malware avanzado que en los últimos años ha adquirido un alto grado de polimorfismo.
¿Qué papel juega el Malware-as-a-Service en el incremento del malware avanzado?
Este tipo de servicios facilitan las herramientas necesarias para que de una manera sencilla y rápida se puedan crear muestras de malware con diferentes características y funcionalidades permitiendo enfocarse en un número determinado de objetivos o en un espectro más amplio dependiendo de la finalidad del ataque. Si adicionalmente a esto añadimos que no se necesitan unos conocimientos técnicos profundos en la utilización de este tipo de servicios hace que sea mucho más accesible para usuarios convencionales. Por esta razón entre otras, ha aumentado considerablemente el número de muestras de malware que se crean al día es difícil especificar una cifra exacta, pero se están considerando al nivel de millones de muestras de malware creadas por día. Esta situación hace que los modelos de protección implementados necesiten disponer de capacidades que permitan un ciclo de prevención, detección y respuesta que sea rápido, ágil y eficaz.