COLOMBIA (AndeanWire, 26 de Agosto de 2015) . Los hackers ingeniosos constantemente encuentran formas creativas para evadir la detección de malware mientras descubren las grietas en la seguridad de su organización y encuentran un camino hacia su red sin ser detectados. Debido a que ya investigaron y obtuvieron un profundo entendimiento sobre las defensas de su red, sus técnicas de evasión avanzadas (AETs por sus siglas en inglés) desafían a la seguridad de la red como nunca antes, aprovechándose de las debilidades en cada nivel de la infraestructura.Cuando se trata de temas de evasión, los ciberladrones tienen una gran variedad de efectivos trucos sucios. Muchas de las técnicas de evasión avanzadas de la actualidad modifican el malware o lo usan de diferentes formas para evadir la detección de firewalls, gateways, y sistemas de prevención de intrusiones (IPS). De hecho, dadas las miles de maneras en que los hackers pueden cambiar los ataques maliciosos, junto con los cientos de métodos de entrega potenciales, se estima que hay más de 800 millones de combinaciones de evasión viables.
Aquí están algunas de sus técnicas favoritas:
Análisis de la carga: Este método fragmenta los paquetes de ataque y manipula la distribución a través de patrones difíciles de inspeccionar—a veces todo o por partes. Estos paquetes son entregados, las piezas se vuelven a unir y se inicia el lanzamiento.
Ataque de arranque retardado: Cuando el código malicioso se encuentra en un entorno de prueba (sandbox), permanece inactivo y oculta su verdadera naturaleza. La ejecución es retardada hasta que pasa por el entorno de pruebas (sandbox).
URL’s salientes: Los botnets de última generación crean miles de conexiones de URL salientes que pueden confundir a los dispositivos de seguridad. Estos patrones pueden transformarse constantemente y pueden evadir algunos métodos de detección.
Extracción de datos de terminales: Ya que los dispositivos de seguridad de la red no tienen mucha visibilidad hacia los terminales, los ciberladrones generalmente instalan redireccionadores de datos. Luego, los datos se acumulan en el tráfico legítimo de la red, de modo que parezca perfectamente normal y se les permita el paso.
Comportamiento “iluminativo” y evasivo de bloques
Varias tecnologías innovadoras han “iluminado” las amenazas evasivas que antes eran invisibles. Mientras las tecnologías basadas en firmas, y de comparación de patrones todavía brindan protección básica, un nuevo tipo de tecnologías monitorea el comportamiento de códigos y comparte información en tiempo real con otros dispositivos de seguridad para evaluar los niveles de amenazas y ejecutar una acción decisiva en respuesta a un ataque.
Aquí se presentan varias acciones que ayudan a frustrar el comportamiento evasivo de la red:
Seguimiento continuo e inspección de sesiones de la red: Esto permite encontrar y bloquear los patrones complejos de AETs. La combinación de seguimiento de sesiones de red y análisis de flujo de datos en el firewall permite protegerse mejor contra técnicas de evasión conocidas y desconocidas, aun cuando se aplican en diversos niveles de protocolo.
Análisis de código estático: Este motor de observación que no necesita de firmas, ilumina puntos ciegos en el análisis de código dinámico. Este análisis inspecciona el código de archivo latente para asegurar que el código inactivo en el entorno de pruebas (sandbox) no sea malicioso. Funciona en combinación con análisis dinámico para frustrar las técnicas de evasión avanzadas de entornos de pruebas.
Seguimiento de retrollamadas inteligente: Este método permite que los botnets encubiertos sean memorizados y bloqueados. La técnica, primera en la industria, aplica seguimiento de algoritmos para realizar la ingeniería inversa de patrones de conexión de URL usados para retrollamadas de malware.
Inteligencia de terminales: Valida solo aplicaciones de confianza, de esta forma se exponen las aplicaciones no autorizadas y maliciosas. Este recurso inteligente dentro del agente terminal realiza el inventario de todos los procesos de aplicaciones, monitorea las actividades entre estos y observa todas las conexiones salientes hechas por ejecutables. Luego, comparte estas informaciones con firewalls, IPSs y otros dispositivos de seguridad a través de la red.
Sobre Intel Security
McAfee es ahora parte de Intel Security. Con su estrategia de seguridad conectada (Security Connected), su enfoque innovador para la seguridad mejorada de hardware y tecnología única de McAfee Global Threat Intelligence, Intel Security está intensamente concentrada en desarrollar soluciones y servicios de seguridad proactivos y probados que protejan sistemas, redes y dispositivos móviles para empresas y para uso personal en todo el mundo. Intel Security está combinando la experiencia y pericia de McAfee con el desempeño innovador y probado de Intel para hacer que la seguridad sea un ingrediente esencial en cada arquitectura y en todas las plataformas informáticas. La misión de Intel Security es dar a todos la confianza necesaria para vivir y trabajar de forma segura en el mundo digital www.intelsecurity.com.
Intel, el logotipo de Intel, McAfee y el logotipo de McAfee son marcas comerciales de Intel Corporation en EE.UU. y/o en otros países.
Fuente: Agencia