Malware como servicio: crecen las amenazas

Malware Sandbox de Kaspersky

Si pretende encontrar un malware, primero debe encontrar indicadores que lo ayuden a ubicarlo, y luego debe validar que sus indicadores funcionan, camuflan y repiten.

Gran parte del desafío de proteger el perímetro de malware es que se requiere un cierto nivel de confianza para confirmar que ha identificado algo realmente malicioso.

De lo contrario, obtendrá falsos positivos y una posible interrupción del servicio.

¿Cómo abordamos esta brecha?

Desde el principio, los hackers de sobrero blanco continúan buscando formas de automatizar tanto como sea posible.

Esto es central para mantenerse al día con el ritmo y la escala a la que crecen las amenazas, tanto en sofisticación como en gran volumen.

Al mismo tiempo, siempre habrá y habrá un elemento humano para el reconocimiento y la detección de amenazas.

Emotet, un conocido troyano, para ayudarnos a describir los desafíos detrás de la automatización en el mundo de la defensa cibernética y el poder del análisis humano.

Aun hoy, esta amenaza continúa evadiendo productos de seguridad, como se señaló en una reciente alerta de CISA de hace unos días.

A medida que las amenazas continúan evolucionando, el desafío para los productos antivirus tradicionales es simplemente mantenerse al día con esta evolución.

Por otro lado, los humanos están diseñados para evolucionar, para ver y reaccionar ante las influencias externas.

Emotet

Emotet –como algunos sabemos– es un mecanismo común de entrega de malware, que a menudo deja caer múltiples cepas de malware en un host comprometido.

A veces, son otras cepas conocidas como “Trickbot” o “Dridex“, otras veces es un ransomware altamente destructivo como “Ryuk“.

La buena noticia es que Emotet no es invisible; deja rastros que se pueden detectar si se sabe qué buscar.

La alerta US-CERT proporciona una base excelente y esta publicación proporcionará ejemplos adicionales y orientación para comprender cómo detectamos y combatimos a Emotet.

Los artefactos de Emotet se encuentran típicamente en rutas arbitrarias ubicadas fuera de los directorios AppData \ Local y AppData \ Roaming.

Los artefactos generalmente imitan los nombres de ejecutables conocidos.

La persistencia generalmente se mantiene a través de tareas programadas o mediante claves de registro.

Además, Emotet crea archivos con nombres aleatorios en los directorios raíz del sistema que se ejecutan como servicios de Windows.

Cuando se ejecutan, estos servicios intentan propagar el malware a sistemas adyacentes a través de recursos compartidos administrativos accesibles.

Emotet como servicio

Emotet a menudo puede aparecer como un servicio, generalmente como dos palabras concatenadas juntas.

El otro regalo es que el servicio Emotet copia una descripción del servicio de otro servicio legítimo en el host.

Examinar el complemento “Administrador de servicios” para ver descripciones de servicio duplicadas puede revelar estos servicios maliciosos.

Cuando se ejecutan, estos servicios intentan propagar el malware y moverse lateralmente a través de la red a través de recursos compartidos administrativos .

La Persistencia de Emotet

Además de los servicios, se sabe que Emotet utiliza tareas programadas y claves de ejecución del registro.

Tal vez sea una buena tarea para la automatización, pero

¿cómo puede saber un motor de automatización cuando está mirando un mecanismo de persistencia malicioso?

No es raro que se creen nuevas tareas programadas y valores de registro como parte del funcionamiento normal del sistema.

Las listas negras conocidas ayudan enormemente a eliminar la mayoría de las infecciones de Emotet, pero las listas conocidas solo lo llevarán hasta cierto punto.

Lo que es más importante, los motores de automatización requieren la “coincidencia de patrón” o “firma” correcta para saber cuándo ha encontrado un archivo malicioso.

Si el archivo malicioso cambia ligeramente lo suficiente, pueden pasar varios ciclos antes de que estos motores se den cuenta de la relación con el malware visto anteriormente antes de actualizar la firma.
El esquema de nombres varias veces a pesar de no tener alertas antivirus para este archivo.

La “intuición” humana y la experiencia previa nos dicen que está ocurriendo algo sospechoso.

Inspeccionar la pestaña “Seguridad” y la sección de certificado del archivo revelará atributos de archivo interesantes.

Incluso con evidentes anomalías en los archivos como estas, Emotet pasa por alto los sistemas automatizados.

Información de firma de un binario Emotet

 

Una de las razones por las que algunos productos de seguridad pueden pasar por alto un archivo entregado por Emotet se basa en cómo decide si un archivo es malicioso o no.

Para algunos motores, a los archivos desconocidos se les asignará una “puntuación” basada en varios indicadores y atributos.

Si el puntaje no alcanza un umbral predefinido, entonces el archivo no se marcará como lo suficientemente malicioso como para tomar medidas, algo de lo que muchos atacantes sofisticados son muy conscientes.

Eventualmente, la decisión del análisis automatizado en este archivo puede ser “superada” por otras formas de investigación de amenazas.

Sandbox

La ingeniería inversa  permite ejecutar muestras desconocidas dentro de un sandbox como el de Kaspersky antes de clasificarlo como malicioso.

Esto permite a los humanos mantenerse a la vanguardia, actuales, vigilantes, al tiempo que aprovecha la automatización para el mantenimiento de registros históricos y de escala, creando un grupo curado de malos conocidos para que los futuros encuentros se marquen automáticamente como maliciosos.

El desafío es detectar malware esa primera vez , especialmente cuando el malware encuentra formas de evadir y evolucionar.

Tomemos un momento para evaluar las posibles posibilidades de automatización y comparar rápidamente la automatización con el análisis humano:
Si bien la automatización es clave, el aspecto que a menudo se pasa por alto es el elemento humano.

Al combinar la automatización con la inteligencia humana, podemos reducir el ruido y aumenta la calidad de las detecciones.

Un “ciclo de retroalimentación” debe ser ajustado para que nos permita operar a la velocidad de los atacantes.

Tan pronto como surge una nueva variante de malware, un analista puede clasificarla adecuadamente y aplicarla retroactivamente a todos los sistemas.

Los atacantes humanos mejoran constantemente sus técnicas de evasión, por lo que los defensores humanos deben mejorar continuamente sus capacidades de detección.

La fusión de la automatización y el análisis humano, proporcionando una protección en evolución capaz de mantenerse al día con las últimas amenazas.

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam