Estructuras de los grupos cibercriminales y el malware

enfoque

También las bandas criminales cada vez mas, crean las  llamadas amenazas avanzadas permanentes,programas maliciosos diseñados para infectar los grupos específicos de usuarios (Por ejemplo los usuarios de un banco).Tipicamente son programas maliciosos de alta calidad que no tienen ningún efecto significativo en las maquinas infectadas y en el momento de la infección no son detectables por medios de protección,lo que les permite permanecer sin ser detectados durante largo tiempo.

Como resultado de transición a los métodos «industriales» de edición del software malicioso en el lado oscuro,se emiten solamente los programas maliciosos que no pueden ser detectados (antes de obtener actualizaciones) por los sistemas de protección tradicionales,incluso utilizando mecanismos heuristicos. Lo cual lleva a un fuerte crecimiento en la cantidad de malware no detectable en el momento de la penetración.

LA APARICIÓN DEL MALWARE EN MANOS DE LOS CIBERDELINCUENTES DESVALORO PRUEBAS DE ANTIVIRUS COMO CRITERIOS PARA LA SELECCIÓN DE LAS PROTECCIONES ENDPOINT TRADICIONALES

Gracias a una buena organización de los grupos cibercriminales involucrados en el desarrollo y propagación del virus,la producción de virus se ha puesto en marcha.Esto provoco un crecimiento explosivo del numero de malware creado por los intrusos y que sin duda afectara la cantidad de registros de firmas diarias que se agregan a las bases de datos de virus.

Los analistas de malware no  somos magos,y no podemos procesar al instante miles de archivos sospechosos entrantes diariamente.El elemento mas importante de la lucha contra el malware son sistemas automatizados de procesamiento de flujo entrante de archivos sospechosos que poseen las compañías de ciberseguridad.La calidad de estos sistemas no es menos importante que la de los productos comerciales que se ejecutan en los ordenadores de los usuarios.

En la industria de la protección de los Endpoint y servidores existen pruebas comparativas de detección que llevan a cabo testers independientes.Para estas pruebas se toma una colección de virus y malware,los antivirus se actualizan y se ejecutan en la colección.Para ganar la prueba es necesario detectar el 100% del malware enviado.

Las características de estas pruebas son:

-Ningún probador puede garantizar que su colección contiene solo malware.

-Estas pruebas muestran solo una de las funciones de la solución endpoint,detección de amenazas.

-En este tipo de pruebas se están evaluando la calidad de solo un componente de la pluralidad de componentes de la solución,monitor de archivos o escaner,es decir se prueba la lucha del antivirus con amenazas conocidas que se encuentran en una forma inactiva.

-Estas pruebas no muestran como se comportaría la solución en condiciones reales de infección por malware del ordenador,como puede tratar un virus,si puede detectar amenazas desconocidas.

El malware tecnológico sofisticado y altamente peligroso,incluyendo rootkits,son creados con fines de lucro.Los creadores de malware los comprueban si son detectados por cualquier antivirus antes de lanzar tal virus en producción. El malware tiene que actuar en la maquina infectada el mayor tiempo posible.Si se detecta fácilmente el malware,entonces es una amenaza malicioso desde el punto de vista de sus creadores.

Es por esta razón que antes de ingresar las muestras de malware en el laboratorio,muchos de ellos no son detectados por la solución de protección  endpoint.

Como proteger las empresas del malware

El malware puede penetrar en un equipo a través de vulnerabilidades de día cero, que son vulnerabilidades conocidas solamente por el creador del malware,o el fabricante de software aun no ha lanzado un parche para poder corregirlas.

Las protecciones de Endpoint para la detección y neutralizan del malware desconocido utilizan muchas tecnologías no basadas en firmas,cuya combinación hace posible detectar las ultimas amenazas antes de su incorporación en las bases de datos de malware,veamos algunas de ellas:

-FLYCODE

Provee un escaneo de alta calidad de los objetos ejecutables empaquetados,descomprime cualquier empaquetador mediante la virtualizacion de ejecución del archivo,lo que permite detectar el malware comprimido por empaquetadores aun desconocidos.

-ORIGINS TRACING

Durante el escaneo el archivo ejecutable esta considerado como un espécimen construido de una manera particular,y luego el espécimen resultante se compara con la base de datos de programas maliciosos conocidos.La tecnología permite reconocer con un alto grado de probabilidad los virus que aun no han sido añadido a las bases de datos de los fabricantes.

-ENTROPIA ESTRUCTURAL

Detecta amenazas desconocidas sobre las particularidades de ubicación de las áreas del código en los objetos escaneados protegidos por los empaquetadores.

-SCRIPTHEURISTIC

Previene la ejecución de cualquier script malicioso en el navegador y documentos PDF,respetando la funcionalidad de los scripts legítimos. Protege de la infección de malware desconocido a traves del navegador web.Funciona independientemente del estado de la base de datos de los fabricantes junto con cualquier navegador web.

-ANALIZADOR HEURISTICO

Contiene mecanismos para detectar malware desconocido.El funcionamiento del analizador heuristico esta basado en el conocimiento de ciertos rasgos del malware como los típicos para el código del malware y viceversa, que rara vez se encuentran en los virus.Cada uno de estos atributos se caracteriza por su peso que es el numero cuyo modulo determina la importancia y la gravedad de este rasgo y el signo respectivamente,indica si confirma o rechaza la hipótesis de la posible existencia de un malware desconocido en el código analizado.

Tecnologias antimalware

Las soluciones de endpoint con inteligencia artificial tienen un numero bajo de entradas de malware en la base de datos,por lo que una sola entrada en la base de datos de los fabricantes se detecta decenas,cientos e incluso miles de malware similar.La diferencia principal de la base de firmas que aunque dispongan de un numero menos de entradas,permite detectar por el comportamiento el mismo numero o superior de malware.

La gran mayoría de amenazas actuales son programadas con malware muy agresivo.Pertenecen a la categoría de programas maliciosos y pueden causar serios daños al dueño de la maquina infectada.

Este tipo de amenazas los usuarios no lo ven y tampoco algunas soluciones tradicionales de seguridad,son capaces de robar información confidencial,incluyendo contraseñas,acceso a los sistemas de banca y de pago,o dinero de las cuentas bancarias.

También pueden descargar otros programas maliciosos e incluso poner el sistema operativo de servicio o paralizar por completo el ordenador bajo la orden del atacante.

Este tipo de software en el momento de crearse a menudo no son detectados por la soluciones tradicionales de seguridad,es mas algunos desactivan la protección del equipo.

El malware actual a menudo esta diseñado para estar presente en el equipo de la victima a largo plazo.Por lo tanto no solo actúan de forma incógnita para el usuario sin ser detectados en el momento de su creación por muchos programas de protección,sino existen programas maliciosos que luchan con los competidores y eliminan otros tipos de malware. Incluso hay malware que cierra vulnerabilidades en el equipo.

El malware puede ocultarse en archivos almacenados en otras secciones del disco duro y medios extraibles. En este caso la reinstalacion de Windows no va a ser útil,cuando se accede a este archivo el malware vuelve a activarse.

El malware en las empresas