{"id":2062,"date":"2015-09-02T14:59:33","date_gmt":"2015-09-02T14:59:33","guid":{"rendered":"http:\/\/www.netqual.com.ar\/netqual\/?p=2062"},"modified":"2015-09-02T14:59:33","modified_gmt":"2015-09-02T14:59:33","slug":"las-tecnicas-de-evasion-del-malware","status":"publish","type":"post","link":"https:\/\/www.netqual.com.ar\/netqual\/las-tecnicas-de-evasion-del-malware\/","title":{"rendered":"Las t\u00e9cnicas de evasi\u00f3n del Malware"},"content":{"rendered":"<div id=\"dslc-theme-content\"><div id=\"dslc-theme-content-inner\"><p>Cuando se trata de temas de evasi\u00f3n, los ciberdelincuentes tienen una gran variedad de trucos efectivos. Muchas de las t\u00e9cnicas de evasi\u00f3n avanzadas de la actualidad modifican el malware o lo usan de diferentes formas para evadir la detecci\u00f3n de firewalls, gateways y sistemas de prevenci\u00f3n de intrusiones (IPS).<\/p>\n<p>Dadas las miles de maneras en que los hackers pueden cambiar los ataques maliciosos, junto con los cientos de m\u00e9todos de entrega potenciales, se estima que hay m\u00e1s de 800 millones de combinaciones de evasi\u00f3n viables. Aqu\u00ed est\u00e1n algunas de sus t\u00e9cnicas favoritas:<\/p>\n<p><strong>An\u00e1lisis de la carga:<\/strong> Este m\u00e9todo fragmenta los paquetes de ataque y manipula la distribuci\u00f3n a trav\u00e9s de patrones dif\u00edciles de inspeccionar, a veces todo o por partes. Estos paquetes son entregados, las piezas se vuelven a unir y se inicia el lanzamiento.<\/p>\n<p><strong>Ataque de arranque retardado:<\/strong> Cuando el c\u00f3digo malicioso se encuentra en un entorno de prueba (sandbox), permanece inactivo y oculta su verdadera naturaleza. La ejecuci\u00f3n es retardada hasta que pasa por el entorno de pruebas (sandbox).<\/p>\n<p><strong>URL\u00b4s salientes:<\/strong> Los botnets de \u00faltima generaci\u00f3n crean miles de conexiones de URL salientes que pueden confundir a los dispositivos de seguridad. Estos patrones pueden transformarse constantemente y pueden evadir algunos m\u00e9todos de detecci\u00f3n.<\/p>\n<p><strong>Extracci\u00f3n de datos de terminales:<\/strong> Ya que los dispositivos de seguridad de la red no tienen mucha visibilidad hacia los terminales, los ciberdelincuentes generalmente instalan redireccionadores de datos. Luego, los datos se acumulan en el tr\u00e1fico leg\u00edtimo de la red, de modo que parezca perfectamente normal y se les permita el paso.<\/p>\n<p><strong>COMPORTAMIENTO \u201cILUMINATIVO\u201d Y EVASIVO DE BLOQUES<\/strong><\/p>\n<p>Varias tecnolog\u00edas innovadoras han \u201ciluminado\u201d las amenazas evasivas que antes eran invisibles. Mientras las tecnolog\u00edas basadas en firmas, y de comparaci\u00f3n de patrones todav\u00eda brindan protecci\u00f3n b\u00e1sica, un nuevo tipo de tecnolog\u00edas monitorea el comportamiento de c\u00f3digos y comparte informaci\u00f3n en tiempo real con otros dispositivos de seguridad para evaluar los niveles de amenazas y ejecutar una acci\u00f3n decisiva en respuesta a un ataque.<\/p>\n<p>Aqu\u00ed se presentan varias acciones que ayudan a frustrar el comportamiento evasivo de la red:<\/p>\n<p><strong>Seguimiento continuo e inspecci\u00f3n de sesiones de la red:<\/strong> Esto permite encontrar y bloquear los patrones complejos de AETs. La combinaci\u00f3n de seguimiento de sesiones de red y an\u00e1lisis de flujo de datos en el firewall permite protegerse mejor contra t\u00e9cnicas de evasi\u00f3n conocidas y desconocidas, aun cuando se aplican en diversos niveles de protocolo.<\/p>\n<p><strong>An\u00e1lisis de c\u00f3digo est\u00e1tico:<\/strong> Este motor de observaci\u00f3n que no necesita de firmas, ilumina puntos ciegos en el an\u00e1lisis de c\u00f3digo din\u00e1mico. Este an\u00e1lisis inspecciona el c\u00f3digo de archivo latente para asegurar que el c\u00f3digo inactivo en el entorno de pruebas (sandbox) no sea malicioso. Funciona en combinaci\u00f3n con an\u00e1lisis din\u00e1mico para frustrar las t\u00e9cnicas de evasi\u00f3n avanzadas de entornos de pruebas.<\/p>\n<p><strong>Seguimiento de retrollamadas inteligente:<\/strong> Este m\u00e9todo permite que los botnets encubiertos sean memorizados y bloqueados. La t\u00e9cnica, primera en la industria,\u00a0aplica seguimiento de algoritmos para realizar la ingenier\u00eda inversa de patrones de conexi\u00f3n de URL usados para retrollamadas de malware.<\/p>\n<p><strong>Inteligencia de terminales:<\/strong> Valida solo aplicaciones de confianza, de esta forma se exponen las aplicaciones no autorizadas y maliciosas. Este recurso inteligente dentro del agente terminal realiza el inventario de todos los procesos de aplicaciones, monitorea las actividades entre estos y observa todas las conexiones salientes hechas por ejecutables. Luego, comparte estas informaciones con firewalls, IPSs y otros dispositivos de seguridad a trav\u00e9s de la red.<\/p>\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"<p>Cuando se trata de temas de evasi\u00f3n, los ciberdelincuentes tienen una gran variedad de trucos efectivos. Muchas de las t\u00e9cnicas de evasi\u00f3n avanzadas de la actualidad modifican el malware o lo usan de diferentes formas para evadir la detecci\u00f3n de firewalls, gateways y sistemas de prevenci\u00f3n de intrusiones (IPS). Dadas las miles de maneras en [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":2063,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[2],"tags":[56,57,18],"_links":{"self":[{"href":"https:\/\/www.netqual.com.ar\/netqual\/wp-json\/wp\/v2\/posts\/2062"}],"collection":[{"href":"https:\/\/www.netqual.com.ar\/netqual\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.netqual.com.ar\/netqual\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.netqual.com.ar\/netqual\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.netqual.com.ar\/netqual\/wp-json\/wp\/v2\/comments?post=2062"}],"version-history":[{"count":0,"href":"https:\/\/www.netqual.com.ar\/netqual\/wp-json\/wp\/v2\/posts\/2062\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.netqual.com.ar\/netqual\/wp-json\/wp\/v2\/media\/2063"}],"wp:attachment":[{"href":"https:\/\/www.netqual.com.ar\/netqual\/wp-json\/wp\/v2\/media?parent=2062"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.netqual.com.ar\/netqual\/wp-json\/wp\/v2\/categories?post=2062"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.netqual.com.ar\/netqual\/wp-json\/wp\/v2\/tags?post=2062"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}