Las técnicas de evasión del Malware

Cuando se trata de temas de evasión, los ciberdelincuentes tienen una gran variedad de trucos efectivos. Muchas de las técnicas de evasión avanzadas de la actualidad modifican el malware o lo usan de diferentes formas para evadir la detección de firewalls, gateways y sistemas de prevención de intrusiones (IPS).

Dadas las miles de maneras en que los hackers pueden cambiar los ataques maliciosos, junto con los cientos de métodos de entrega potenciales, se estima que hay más de 800 millones de combinaciones de evasión viables. Aquí están algunas de sus técnicas favoritas:

Análisis de la carga: Este método fragmenta los paquetes de ataque y manipula la distribución a través de patrones difíciles de inspeccionar, a veces todo o por partes. Estos paquetes son entregados, las piezas se vuelven a unir y se inicia el lanzamiento.

Ataque de arranque retardado: Cuando el código malicioso se encuentra en un entorno de prueba (sandbox), permanece inactivo y oculta su verdadera naturaleza. La ejecución es retardada hasta que pasa por el entorno de pruebas (sandbox).

URL´s salientes: Los botnets de última generación crean miles de conexiones de URL salientes que pueden confundir a los dispositivos de seguridad. Estos patrones pueden transformarse constantemente y pueden evadir algunos métodos de detección.

Extracción de datos de terminales: Ya que los dispositivos de seguridad de la red no tienen mucha visibilidad hacia los terminales, los ciberdelincuentes generalmente instalan redireccionadores de datos. Luego, los datos se acumulan en el tráfico legítimo de la red, de modo que parezca perfectamente normal y se les permita el paso.

COMPORTAMIENTO “ILUMINATIVO” Y EVASIVO DE BLOQUES

Varias tecnologías innovadoras han “iluminado” las amenazas evasivas que antes eran invisibles. Mientras las tecnologías basadas en firmas, y de comparación de patrones todavía brindan protección básica, un nuevo tipo de tecnologías monitorea el comportamiento de códigos y comparte información en tiempo real con otros dispositivos de seguridad para evaluar los niveles de amenazas y ejecutar una acción decisiva en respuesta a un ataque.

Aquí se presentan varias acciones que ayudan a frustrar el comportamiento evasivo de la red:

Seguimiento continuo e inspección de sesiones de la red: Esto permite encontrar y bloquear los patrones complejos de AETs. La combinación de seguimiento de sesiones de red y análisis de flujo de datos en el firewall permite protegerse mejor contra técnicas de evasión conocidas y desconocidas, aun cuando se aplican en diversos niveles de protocolo.

Análisis de código estático: Este motor de observación que no necesita de firmas, ilumina puntos ciegos en el análisis de código dinámico. Este análisis inspecciona el código de archivo latente para asegurar que el código inactivo en el entorno de pruebas (sandbox) no sea malicioso. Funciona en combinación con análisis dinámico para frustrar las técnicas de evasión avanzadas de entornos de pruebas.

Seguimiento de retrollamadas inteligente: Este método permite que los botnets encubiertos sean memorizados y bloqueados. La técnica, primera en la industria, aplica seguimiento de algoritmos para realizar la ingeniería inversa de patrones de conexión de URL usados para retrollamadas de malware.

Inteligencia de terminales: Valida solo aplicaciones de confianza, de esta forma se exponen las aplicaciones no autorizadas y maliciosas. Este recurso inteligente dentro del agente terminal realiza el inventario de todos los procesos de aplicaciones, monitorea las actividades entre estos y observa todas las conexiones salientes hechas por ejecutables. Luego, comparte estas informaciones con firewalls, IPSs y otros dispositivos de seguridad a través de la red.