Añadir a la recogida (s) Añadir a salvo
  1. Ninguna Categoria

guía práctica para combatir el malware avanzado

Anuncio 
GUÍA PRÁCTICA PARA COMBATIR EL
MALWARE AVANZADO
Lo que las empresas pequeñas, medianas y distribuidas deben saber sobre las amenazas de nueva generación en la red
PUBLICADO EN SEPTIEMBRE DE 2014
LOS ATAQUES DE DÍA CERO (ZERO DAY):
EL NUEVO CAMPO DE BATALLA
En el campo de la biomedicina, los investigadores y los doctores hace tiempo que
comprendieron que los microbios y las bacterias evolucionan a lo largo del tiempo
y se vuelven más resistentes a los antibióticos. Saben que es necesario desarrollar
medicamentos nuevos y más fuertes para mantenerse al día. Del mismo modo, en el
mundo de la seguridad de la información han surgido nuevos brotes de malware, más
avanzados y resistentes a las defensas convencionales. Los atacantes han evolucionado a
lo largo del tiempo y se han vuelto más inteligentes
En este eBook, explicaremos cómo ha sucedido y, lo que es más importante, qué
es lo que puede hacer al respecto.
2
PARCHES, FIRMAS Y MUCHO MÁS
DEFENSAS CON ALCANCE INSUFICIENTE
En 2003, el gusano “SQL Slammer” congestionó el tráfico de
Internet en muchas partes del mundo durante varias horas.i
Este gusano se hizo desgraciadamente famoso por atacar un
conocido punto débil de la base de datos SQL de Microsoft,
para el cual existía un parche en el mercado desde hacía
seis meses. Las claves de su éxito y su proliferación fueron su
pequeño tamaño, el modo en que se reproducía rápidamente
y su manera de buscar aleatoriamente nuevos objetivos para
infectarlos.
Durante los años posteriores, los fabricantes de TI ofrecieron
respuesta a este tipo de amenazas. Cada mes, Microsoft
lanza al mercado una serie de actualizaciones para corregir
los puntos débiles que se hayan detectado en su software.
Adobe, siguiendo su ejemplo, proporciona soluciones directas
de seguridad cada “Patch Tuesday” (martes de los parches).
Cisco también ofrece un importante conjunto de soluciones
relacionadas con la seguridad cada trimestre. Se fomenta la
buena práctica para que los administradores parcheen sus
sistemas con frecuencia para así tenerlos al día.
Otro tipo de defensas incluyen los sistemas de
prevención de intrusos (IPS, Intrusion Prevention
Systems), que realizan una inspección profunda de
los paquetes para buscar patrones conocidos de
vulnerabilidades.
Los sistemas antivirus bloquean el malware (software
malicioso) y lo ponen en cuarentena.
Las regulaciones, como el estándar PCI DSS, exigen
que las empresas mantengan su software antivirus
actualizado con la firma más reciente.
Las soluciones de gestión centralizada son usadas para
garantizar que todos los usuarios estén usando la última
versión de antivirus en su PC o portátil, e incluso en los
dispositivos móviles con sistema operativo Android.
Pero no es suficiente.
3
¿QUÉ ES UNA AMENAZA PERSISTENTE AVANZADA?
Para comprender por qué las tecnologías actuales no bastan
para proteger las redes del presente, es necesario conocer
las características de las nuevas Amenazas Persistentes
Avanzadas (APT).
El malware moderno utiliza técnicas avanzadas (como canales
de comunicación cifrados, herramientas de intrusión a nivel de
núcleo y sofisticadas capacidades de evasión) para superar las
defensas de una red. Incluso muy a menudo se aprovechan de
los puntos débiles de día cero: defectos para los cuales todavía
no existe ningún parche y no se ha creado ninguna firma.
En 2012, el equipo de WatchGuard LiveSecurity® informó de
cuatro puntos débiles de día cero que se estaban explotando
y propagando. En 2013, alertamos de cerca de trece amenazas
de día cero que se estaban utilizando activamente de manera
clandestina.ii
El software malicioso moderno es a menudo persistente
y está diseñado para quedarse. Es sigiloso y oculta
cautelosamente sus comunicaciones; además, “vive” en la red
de las víctimas tanto tiempo como puede, y a menudo borra
el rastro que deja tras de sí (elimina registros, utiliza un cifrado
fuerte y solo envía informes a su controlador en pequeñas y
ofuscadas ráfagas).
Actualmente, muchos ataques se basan en combinaciones
de distintas técnicas. Los grupos de atacantes, altamente
cualificados, motivados y respaldados económicamente,
representan una amenaza significativa pues tienen muy
claros sus objetivos y su meta: a menudo se trata de beneficios
económicos, ya sea por el robo de tarjetas de crédito o por
otros tipos de información valiosa.
4
CARACTERÍSTICAS DE UNA AMENAZA PERSISTENTE AVANZADA
Dirigida
Avanzada
Persistente
El objetivo es una determinada empresa,
una nación o una tecnología específica.
La infiltración no es accidental.
Un ataque desconocido de día cero que
incluye malware y utiliza herramientas
de intrusión a nivel de kernel, así como
tecnologías de evasión y antidetección.
No se detiene. Continúa realizando
phishing, conectándose y probando hasta
que encuentra el modo de introducirse.
5
Enero
Operation Aurora
Junio
Stuxnet
2010
Objetivo: Irán
Resultado:Afectó a las operaciones de una
planta nuclear
Marzo
RSA/Lockheed
2010
LA EVOLUCIÓN DE LAS AMENAZAS
AVANZADAS PERSISTENTES
TÉCNICAS GUBERNAMENTALES SON UTILIZADAS PARA GANAR DINERO
Las consecuencias de los fallos de seguridad son notables para cualquier
empresa. La revista Forbes informó que los beneficios de Target, una gran
compañía minorista de EE. UU., disminuyeron casi un 50 % en el cuarto
trimestre de 2013,iii y la razón principal fue la publicidad negativa que se originó
a causa de una falla en su sistema de seguridad de datos durante la temporada
navideña de 2013. El precio de las acciones cayó un 9 %. El Director de TI ya no
trabaja en la compañía y del 5 % al 10 % de sus compradores afirmaron que
nunca más volverán a comprar en sus tiendas.iv
Tras el fallo de seguridad de Target, y durante los meses posteriores, otros
grandes distribuidores revelaron pérdidas de datos. A finales de julio de 2014,
el Departamento de Seguridad Nacional de EE. UU. emitió una advertencia
informando que el malware PoS Backoff y sus variantes habían afectado
a más de 1000 redes. Las autoridades instaron a las empresas a buscar el
troyano Backoff en sus redes para eliminarlo.v
2011
Objetivo: Google
Resultado: Robo del código fuente
Objetivo: RSA y Lockheed Martin
Resultado: Robo de varios SecureID
Septiembre
Duqu
MAyo
Flame
Enero
New York Times
2011
2012
Objetivo: Irán, Sudán, Siria y Cuba
Resultado: Robo de certificados digitales
Objetivo: Países de Oriente Medio
Resultado: Recopilación y extracción de datos
2013
Objetivo: NY Times
Resultado: Robo de datos y contraseñas
corporativas
Octubre
Falla seguridad Adobe
Diciembre
Falla seguridad Target
Septiembre
Falla seguridad Home Depot
2013
2013
2014
Objetivo: Adobe
Resultado: Robo de información y
datos de clientes
Objetivo: Target
Resultado: Robo de datos de tarjetas
de crédito de clientes
Objetivo: Home Depot
Resultado: Robo de datos de tarjetas de crédito
de clientes.
6
LOS ANTIVIRUS NO PUEDEN SEGUIR EL RITMO
La lucha contra el malware es muy similar a una carrera armamentística. Cada vez que los
defensores introducen nuevas técnicas de detección, los atacantes intentan encontrar nuevas
vías para esquivarlas. Las empresas antivirus (AV) tradicionales emplean ingenieros y creadores
de firmas que analizan los archivos. Ellos se encargan de monitorizar el funcionamiento
de los programas desconocidos en un entorno controlado. También envían los archivos a
herramientas como Anubis, las cuales ejecutan un archivo e informan sobre cualquier tipo de
actividad o comportamiento que indique la presencia de un virus. Pero el desarrollo de firmas
es una alternativa abocada al fracaso pues existe un 88% de probabilidades de que el nuevo
malware se haya creado como una variante de otro malware existente evitando su detección
por medio de las técnicas clásicas.
Lastline Labs publicó un estudio basado en cientos de miles de fragmentos de software
malicioso detectados en el transcurso de un año, desde mayo de 2013 hasta mayo de 2014.
Cada muestra de software malicioso se probó con los 47 antivirus que los vendedores
incluyeron en VirusTotal, un sitio web de terceros que agrega distintas soluciones AV y las
compara. El objetivo de esta investigación era determinar la efectividad del AV, qué motores
captaron las muestras de software malicioso y con qué rapidez se detectaba nuevo software
malicioso. Los resultados fueron sorprendentes.
7
• En el día 0, sólo el 51 % de los escáneres del AV detectaron nuevas muestras de malware
• Transcurridas 2 semanas, se observó un salto considerable en los índices de detección (hasta un
61 %), lo que indica la existencia de una demora habitual en el desarrollo por parte de los vendedores de AV.
• El software malicioso en la categoría del 1.er percentil, “el menos probable de ser detectado” (línea
roja), pasó desapercibido para la mayoría de los escáneres del AV durante meses y, en algunos casos, nunca
llegó a detectarse.
8
LAS DEFENSAS EVOLUCIONAN
PASO 1: MÁS ALLÁ DEL ENTORNO SEGURO (SANDBOX)
En la actualidad, las soluciones sandbox se utilizan automáticamente como parte del proceso de detección. El código se
ejecuta y analiza de manera dinámica en el sandbox sin ningún
tipo de supervisión humana. Por desgracia, los programadores
de malware utilizan técnicas evasivas para asegurarse de que sus
programas no revelen ninguna actividad maliciosa cuando se
ejecutan en tales entornos de análisis automatizados.
Los fabricantes de seguridad reaccionaron añadiendo algunas
medidas de contrainteligencia a sus sistemas. Comprueban si el
malware está haciendo peticiones a claves de registro conocidos, y fuerzan a despertarle en caso que entre en reposo. Pero
esta estrategia continúa siendo reactiva. Los sistemas de análisis
de malware deben actualizarse manualmente para tratar cada
nueva y evasiva artimaña. Los desarrolladores de malware que
crearon las evasiones de día cero pueden esquivar la detección
hasta que la sandbox se actualice.
Algunas de las técnicas comunes utilizadas por malware son:
• Comprobar si se está ejecutando en una máquina virtual
• Solicitar las claves de registro conocidas de Windows
que indiquen la presencia de una sandbox concreta
• Entrar en modo de reposo durante un tiempo, esperando a que la sandbox agote el tiempo previsto para realizar su
análisis
9
LIMITACIONES DE LOS ENTORNOS SEGUROS (SANDBOXES) BASADOS EN LA VIRTUALIZACIÓN
En la actualidad, las implantaciones más comunes de las sandboxes
dependen normalmente de un entorno virtual que contiene
el sistema operativo huésped. Algunas veces, una sandbox
ejecuta el sistema operativo directamente en una máquina real.
La clave del problema, y la limitación principal de las sandboxes
modernas basadas en la virtualización, es su falta de visibilidad y
de profundización en la ejecución de un programa malware. La
sandbox necesita observar con el mayor detalle que le sea posible el
comportamiento del malware, pero siempre debe hacerlo de manera
que quede oculto para el malware. Si el malware puede detectar la
presencia de una sandbox, alterará su comportamiento.
Por ejemplo, en lugar de simplemente entrar en modo de reposo, los
programas más sofisticados llevan a cabo algunas operaciones de
computación, que no sirven para nada, pero que dan la apariencia
de actividad. Por lo tanto, la sandbox no puede activar el programa
de ninguna manera. El programa sencillamente se ejecuta y, desde el
punto de vista del sistema de análisis de malware, todo es normal.
La mayoría de software malware se ejecuta en modo usuario (ya
sea como usuario habitual o como administrador). Las sandboxes
basadas en la virtualización examinan las llamadas al Sistema y las
llamadas API de Windows procedentes de los programas que se
ejecutan en modo usuario. Las llamadas del sistema o las llamadas
a funciones capturan todas las interacciones entre un programa y
su entorno (p. ej., cuando se leen los archivos, se escriben las claves
de registro y se genera tráfico de red). Pero la sandbox no ve nada
de lo que sucede entre las llamadas del sistema. Los desarrollares de
malware pueden atacar este punto débil.
En nuestro ejemplo, el código de infección es un código que se
ejecuta entre las llamadas del sistema.
10
PASO 2: EMULACIÓN COMPLETA DEL SISTEMA
Se requiere una estrategia más inteligente. Un emulador es un programa de software
que simula la funcionalidad de otro programa o de un componente de hardware. Desde
el momento en que un emulador desarrolla su funcionalidad vía software, le proporciona una gran flexibilidad. La emulación del sistema operativo proporciona un alto nivel
de visibilidad de los comportamientos del malware. Ahora bien, los emuladores a nivel
de sistema operativo no pueden replicar cada una de las llamadas de un sistema operativo. Habitualmente, se centran en un subconjunto común de funciones. Por desgracia,
esta estrategia es la que el malware avanzado detecta con mayor facilidad para evadirse.
La emulación completa del sistema, en la que el emulador simula ser el hardware físico
(incluidas la CPU y la memoria), proporciona el nivel de visibilidad más profundo del
comportamiento del malware y también es la táctica más difícil de detectar para el
software malicioso avanzado.
11
APT BLOCKER DE WATCHGUARD
TIPOS DE ARCHIVOS ANALIZADOS POR APT BLOCKER
El APT Blocker, un nuevo servicio disponible para todas las soluciones
UTM y NGFW de WatchGuard, utiliza la emulación del sistema (CPU
y memoria) para obtener una visión detallada de la ejecución del
programa malware. Después de haber sido analizado a través de otros
servicios de seguridad, se genera un hash y se contrasta con una base
de datos existente: primero en el propio dispositivo y después en la
nube. Si el archivo no había sido nunca visto, se analiza mediante el
emulador del sistema, monitorizando la ejecución de todas las instrucciones, siendo capaz de detectar las técnicas de evasión que otras
sandboxes no perciben.vi
•
•
•
•
•
Cuando se detecta el malware, es posible bloquearlo inmediatamente
en el dispositivo. Si se tratase de un auténtico archivo de día cero (un
archivo nunca antes analizado) éste se entregará al usuario, y en paralelo se realizará el análisis en la nube. La seguridad estará siempre garantizada pues el sistema WatchGuard permite garantizar la seguridad
y el seguimiento de todas las amenazas por parte del departamento
de TI. Puede generar alertas indicando que un fichero sospechoso se
encuentra en la red.
Todos los archivos ejecutables de Windows
Adobe PDF
Microsoft Office
Archivos del instalador de aplicaciones de Android (.apk)
Los archivos comprimidos (como los .zip de Windows) se descomprimen
LASTLINE TECHNOLOGY
WatchGuard seleccionó el mejor socio de su categoría para el desarrollo
del servicio del APT Blocker. Lastline Technology fue fundada por el equipo
técnico que desarrolló Anubis, la herramienta que los investigadores de
todo el mundo han utilizado durante los últimos ocho años para analizar los
archivos en busca de un potencial software malicioso.vii
12
DIFICULTAD PARA LA DETECCION DE EVASIONES DE SOFTWARE MALWARE
DIFICULTAD DE EVASIÓN
Los sistemas de emulación poseen la mayor capacidad para detectar malware.
VIRTUALIZACIÓN (VM)
Sandbox tradicional
INTERCEPCIÓN DE
LLAMADAS EN MODO
USUARIO
EMULACIÓN COMPLETA
DE SISTEMA
CPU, memoria
EMULACIÓN DEL SO
CONOCIMIENTO SOBRE EL COMPORTAMIENTO DEL SOFTWARE MALICIOSO
13
EL INFORME DE APT MUESTRA ACTIVIDAD
MALICIOSA
PASO 3: VISIBILIDAD DEL SISTEMA
WatchGuard Dimension™ también incluye la actividad de APT
en cuadros de mando de seguridad de primer nivel, junto con
informes detallados del resto de servicios de seguridad. La
actividad de APT está incluida en el resumen de los informes
ejecutivos de alto nivel. Los administradores cuentan con diez
informes diferentes predefinidos.
El ejemplo anterior muestra varias características que son típicas de un
software malicioso. Las dos evasiones de la parte superior muestran cómo la
solución ha sido capaz de detectar la actividad maliciosa que habría podido
confundir a otro tipo de soluciones con sandboxes.
14
LA ACTIVIDAD DE APT BLOCKER VISTA A
TRAVÉS DE WATCHGUARD DIMENSION
15
PASO 4: INFORMACIÓN PROCESABLE
EL APT BLOCKER DE WATCHGUARD
La detección del software malware no es suficiente. El personal de TI necesita
información clara y útil, y no perderse en una cantidad ingente de logs. Los
departamentos de TI tienen la tarea de garantizar la continuidad del negocio. A pesar
del tremendo impacto que las incidencias de seguridad pueden tener en un negocio,
muchos departamentos de TI desconfían de los avisos de seguridad sospechosos.
Neiman Marcus tuvo más de 60 000 incidencias de registro que demostraron la
existencia de software malicioso en su red.viii Target contó con ficheros de logs un par
de días después de la primera brecha de seguridad indicando la existencia de una
problema. Fueron ignorados.ix
cumple todos los requisitos de visibilidad
gracias a los avisos por correo electrónico, el
análisis de registros (logs) en tiempo real y la
capacidad de poder entrar a mayor detalle
siempre que se requiera más información.
El servicio está totalmente integrado en
WatchGuard Dimension, la premiada solución
de visibilidad e inteligencia en seguridadx
que se incluye gratuitamente en todas las
soluciones UTM y NGFW de WatchGuard. Va
más allá de un simple aviso que dice que un
archivo es sospechoso.
Proporciona un informe detallado de la
actividad maliciosa de cada uno de los archivos
que se califican como software malicioso
Cualquier solución avanzada contra malware debe proporcionar lo siguiente:
• Avisos por correo electrónico cuando un archivo dañino sea detectado
• Capacidades de registro (logs) e informes que estén estrechamente integradas con
otras medidas de seguridad en la red
• Indicación clara de por qué el archivo se ha identificado como software malicioso,
evitando su inmediato descarte como potencial falso positivo
16
MANTENGA SUS DATOS A SALVO CON LA DETECCIÓN
AVANZADA DE MALWARE
Las amenazas han evolucionado. Hoy en día, los piratas
informáticos utilizan las mismas técnicas avanzadas que los
ataques a los gobiernos en los pasados años.
1. Sandbox en la nube con una emulación completa del
sistema, que tenga la capacidad de analizar varios tipos de
archivos
Las soluciones de seguridad deben evolucionar para
anticiparse a estas amenazas y mantener la seguridad de
su red. La detección de malware basada en firmas ya no
es suficiente. Los antivirus y los servicios de prevención de
intrusos (IPS) todavía son una parte necesaria para la defensa
de cualquier empresa, pero deben completarse con nuevas
capacidades de detección avanzadas que dispongan de
cuatro características clave:
2. Ir más allá de la sandbox para detectar distintas formas
de evasiones avanzadas
3. Visibilidad con avisos claros de todo el malware
detectado, y el detalle de por qué se considera malicioso
cada uno de ellos
4. Capacidad para actuar de forma proactiva y bloquear
los archivos perniciosos
El APT Blocker de WatchGuard va más allá de la detección antivirus basada en la firma, puesto que utiliza una sandbox basada
en la nube con una emulación completa del sistema para detectar y bloquear el malware avanzado y los ataques de día cero.
Si desea obtener más información acerca del APT Blocker de WatchGuard y otros servicios punteros de
seguridad que WatchGuard ofrece en sus plataformas UTM y NGFW, visite www.watchguard.com/apt.
17
WEB:
www.watchguard.com
ACERCA DE WATCHGUARD
WatchGuard® Technologies, Inc. es un líder mundial en el sector de las soluciones integradas de seguridad empresarial multifunción,
que combinan hábilmente el hardware industrial estándar, las mejores funciones de seguridad y herramientas de gestión basadas en
las políticas. WatchGuard ofrece una protección profesional de alta seguridad y fácil de usar a cientos de miles de empresas de todo el
mundo. Los productos de WatchGuard están respaldados por el servicio WatchGuard LiveSecurity® y por un innovador programa de
soporte. WatchGuard tiene su sede central en Seattle, Washingotn, con oficinas en América del Norte, Europa, Asia-Pacífico y América
Latina. Para obtener más información, visite WatchGuard.com.
VENTAS EN AMÉRICA
DEL NORTE:
+1.800.734.9905
En el presente documento no se proporciona ninguna garantía explícita o implícita. Todas las especificaciones están sujetas a cambios
y todos los productos, las características o las funcionalidades previstos para el futuro se proporcionarán según las bases disponibles, si
las hay y cuando las haya. ©2014 WatchGuard Technologies, Inc.
VENTAS
INTERNACIONALES:
+1.206.613.0895
Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard y WatchGuard Dimension son marcas comerciales registradas
o marcas comerciales de WatchGuard Technologies, Inc. en Estados Unidos y/o en otros países. Todos los demás nombres comerciales
y marcas comerciales pertenecen a sus respectivos propietarios.
DIRECCIÓN:
505 Fifth Avenue
South Suite 500
Seattle, WA 98104
END NOTES
i
http://en.wikipedia.org/wiki/SQL_Slammer
ii iii iv v
vi vii viii ix x
http://watchguardsecuritycenter.com
http://www.forbes.com/sites/maggiemcgrath/2014/02/26/target-profit-falls-46-on-credit-card-breach-and-says-the-hits-could-keep-on-coming/
http://www.usatoday.com/story/money/business/2014/03/11/target-customer-traffic/6262059/
http://bits.blogs.nytimes.com/2014/08/22/secret-service-warns-1000-businesses-on-hack-that-affected-target/?_php=true&_type=blogs&_r=0]
http://info.lastline.com/blog/next-generation-sandbox-offers-comprehensive-detection-of-advanced-malware
http://info.lastline.com/blog/different-sandboxing-techniques-to-detect-advanced-malware
http://www.businessweek.com/articles/2014-02-21/neiman-marcus-hackers-set-off-60-000-alerts-while-bagging-credit-card-data
http://www.businessweek.com/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data#p1
http://www.watchguard.com/news/press-releases/network-computing-awards-names-watchguard-dimension-best-new-product-of-the-year.asp
18
Documentos relacionados
10 consejos para evitar el malware y los virus informáticos
10 consejos para evitar el malware y los virus informáticos
Ejercicios - CriptoRed
Ejercicios - CriptoRed
niryara - Entelgy
niryara - Entelgy
Seguridad en el Smartphone
Seguridad en el Smartphone
Hacking Ético, Forénsica Digital y Manejo de Incidentes
Hacking Ético, Forénsica Digital y Manejo de Incidentes
COMBATEN ROBO DE INFORMACIÓN EN DISPOSITIVOS MÓVILES
COMBATEN ROBO DE INFORMACIÓN EN DISPOSITIVOS MÓVILES
A toda la comunidad universitaria: Se han reportado casos dentro
A toda la comunidad universitaria: Se han reportado casos dentro
"Malware" (programa malicioso), "Worms" (gusanos
"Malware" (programa malicioso), "Worms" (gusanos
Los_10_mandamientos_de_seg
Los_10_mandamientos_de_seg
¿qué tipo de empresa tiene?
¿qué tipo de empresa tiene?
Descargar
Anuncio
Anuncio