Últimamente ha habido muchos rumores sobre el ransomware, y con razón. Su prevalencia creció un 59% en 2017 y las cifras del cuarto trimestre demuestran que no se está desacelerando. Da miedo: perder datos significa perder dinero, negocios, propiedad intelectual y clientes. Aún más alarmante, los atacantes de ransomware están apuntando a la vida pública: sistemas municipales, escuelas, hospitales y otros objetivos vulnerables de alto riesgo. A la mayoría de nosotros nos resulta más fácil entender el ransomware y lo que motiva a los atacantes: es una historia mejor que los maliciosos shell scripts y las vulnerabilidades de los protocolos remotos..

Sin embargo, el ransomware y otras formas de malware, van mucho más allá de los simples exploits para obtener ganancias financieras. Refuerzan, y en ocasiones proporcionan cobertura de distracción para, las amenazas persistentes avanzadas (APT). Estos ataques prolongados y en múltiples etapas son llevados a cabo por delincuentes y piratas informáticos patrocinados por el estado para fines de espionaje, credenciales y robo de datos, robo de propiedad intelectual, fraude, interrupción generalizada o alguna combinación de estos. Los ataques de estilo APT están aumentando a un ritmo exponencial. Ha surgido una vasta industria de productos de ciberseguridad, que van mucho más allá de las soluciones antivirus y de cortafuegos de la generación anterior, para combatir y abordar estas nuevas amenazas en las distintas etapas del ciclo de vida de la explotación..

Aunque las APT pueden variar significativamente entre sí, hay un claro denominador común que está en el centro de cada ataque exitoso: la capacidad de infiltrarse en una red, permanecer sin ser detectado y ejecutar acciones maliciosas. Las defensas tradicionales, incluso las más avanzadas, como Sandboxing, se han basado en el supuesto de que las técnicas avanzadas podrán detectar "intenciones maliciosas" y separarlas de las "buenas intenciones".

Este juego del gato y el ratón es la dinámica esencial que configura la industria de la seguridad en este momento. Pero los atacantes a menudo prevalecen, porque evolucionan con éxito sus técnicas para trabajar en torno a la detección basada en heurísticas. Por naturaleza, las tecnologías de defensa tradicionales tienen una alta tasa de detección errónea y falsas alarmas, ocultando vulnerabilidades y creando más problemas para los equipos de seguridad al máximo..

Para invertir esta dinámica frustrante y costosa, necesitamos identificar un “eslabón más débil” común a la mayoría de los ciberataques que podrían dar a los defensores la ventaja.

Terreno común

Para establecer una cabeza de playa, los atacantes necesitan una forma de instalar una 'pieza' de código ejecutable en una máquina en la red objetivo. Utilizarán cualquier número de métodos para que un usuario legítimo acceda y active contenido malicioso (spear phishing). Para evitar la detección, el código ejecutable (también conocido como 'shellcode') se oculta en los objetos de datos (documentos de Office) y se ejecuta mediante la explotación de vulnerabilidades en aplicaciones comunes.

El impacto de estas infiltraciones ha sido asombroso y continúa extendiéndose. De acuerdo con Cybersecurity Ventures, los costos globales por daños de ciberdelincuencia alcanzarán los 6 billones de dólares anuales para 2021. El gasto en productos y servicios de ciberseguridad sumará más de $ 1 billón en los próximos 3 años. Mientras tanto, millones de puestos de trabajo de ciberseguridad permanecen sin cubrir debido a la escasez de habilidades y la insuficiencia de las líneas educativas..

Se trata de prevención, no de remediación.

Las APT continúan utilizando una ruta familiar para lograr la explotación. De acuerdo con M-Trends de Mandiant, los detalles del ciclo de vida de la explotación se pueden resumir de la siguiente manera:

  • Paso 1: Reconocimiento
  • Paso 2: Intrusión inicial en la red
  • Paso 3: Establecer la red de puerta trasera
  • Paso 4: Obtener credenciales de usuario
  • Paso 5: instalar varias utilidades
  • Paso 6: Escalamiento de privilegios / Movimiento lateral / Exfiltración de datos
  • Paso 7: Mantener la persistencia

Paso 2 - la intrusión inicial - sigue siendo el paso crítico para los operadores de APT. Obtener un punto de apoyo en el entorno objetivo es el objetivo principal de la intrusión inicial. Una vez que se explota una red, el atacante generalmente coloca el malware en el sistema comprometido y lo usa como punto de partida o proxy para otras acciones. El software malicioso colocado durante la fase de intrusión inicial suele ser un simple descargador, un troyano básico de acceso remoto o un simple shell. El problema es que pocas herramientas de ciberseguridad pueden detectar shellcode usando empaquetadores dinámicos para los cuales no se dispone de firmas o patrones conocidos.

Está claro que la prevención de una intrusión temprana, antes de la necesidad de una remediación costosa, es la mejor (y más barata) práctica para combatir APT. En el 60 por ciento de los casos, los atacantes pueden comprometer una organización en cuestión de minutos, pero la mayoría de las empresas tardan unos 197 días en detectar una brecha en su red, lo que hace que los costos de remediación se disparen..

Detectando lo evasivo.

A pesar de los considerables avances e inversiones en seguridad, los atacantes aún tienen la ventaja, especialmente en los ataques de día cero. El software tradicional de ciberseguridad a menudo es contraproducente porque una vez que identifica un contenido malicioso, procede a analizarlo in situ, exponiendo así el medio ambiente al que se supone está expuesto a la contaminación y el compromiso. En un intento por mantenerse a la vanguardia de la prevención, necesita una elegante arquitectura de protección de seguridad que sea a prueba de evasión.

Una arquitectura a prueba de evasión escanea sistemáticamente las instrucciones de código oculto, o cualquier otro comando que pueda indicar un intento malicioso, y no abre ni ejecuta archivos entrantes. Al observar el código frente a la vulnerabilidad interna, no se activará ningún dispositivo del día del juicio final y la plataforma podrá detectar cualquier código sospechoso, colocarlo en cuarentena y revisarlo más adelante. En última instancia, el código malicioso no llega al punto de evadir la detección porque nunca tiene la oportunidad de ejecutarse y propagarse por toda la red..

De manera similar, el enfoque a prueba de evasión requiere analizar e interpretar scripts, evaluando cada instrucción individual línea por línea. Todo flujo de ejecución posible, incluidas las ramas condicionales, debe ser expuesto y normalizado..

Cuando se trata de URL maliciosas, este método detecta y diferencia con precisión los hipervínculos y los objetos remotos invocados automáticamente, lo que proporciona información sobre el propósito de cada objeto remoto y su comportamiento. El análisis a prueba de evasión determina el tipo de incrustación utilizada, sin necesidad de buscar el archivo u objeto remoto real, para determinar su nivel de malicia en tiempo real y bloquear incluso el malware más evasivo.

La tarea de evaluar los puntajes heurísticos, las anomalías de comportamiento, los falsos positivos y los falsos negativos se convierte rápidamente en una carga inmanejable para los equipos de seguridad que ya se han reducido. Y en el momento en que se realiza el análisis, el malware podría haber encontrado su camino en su red. Al no depender de las variaciones de la pila de tecnología subyacente o al requerir un entorno cuidadosamente curado para el análisis de tiempo de ejecución, una arquitectura a prueba de evasión puede ser más efectiva para detener a los atacantes de hoy, y protegerse contra nuevas formas de ataque que se implementarán en el futuro.

Boris Vaynberg, CEO y cofundador de Solebit

  • También hemos destacado el mejor antivirus.