GUÍA PRÁCTICA PARA COMBATIR EL MALWARE AVANZADO Lo que las empresas pequeñas, medianas y distribuidas deben saber sobre las amenazas de nueva generación en la red PUBLICADO EN SEPTIEMBRE DE 2014 LOS ATAQUES DE DÍA CERO (ZERO DAY): EL NUEVO CAMPO DE BATALLA En el campo de la biomedicina, los investigadores y los doctores hace tiempo que comprendieron que los microbios y las bacterias evolucionan a lo largo del tiempo y se vuelven más resistentes a los antibióticos. Saben que es necesario desarrollar medicamentos nuevos y más fuertes para mantenerse al día. Del mismo modo, en el mundo de la seguridad de la información han surgido nuevos brotes de malware, más avanzados y resistentes a las defensas convencionales. Los atacantes han evolucionado a lo largo del tiempo y se han vuelto más inteligentes En este eBook, explicaremos cómo ha sucedido y, lo que es más importante, qué es lo que puede hacer al respecto. 2 PARCHES, FIRMAS Y MUCHO MÁS DEFENSAS CON ALCANCE INSUFICIENTE En 2003, el gusano “SQL Slammer” congestionó el tráfico de Internet en muchas partes del mundo durante varias horas.i Este gusano se hizo desgraciadamente famoso por atacar un conocido punto débil de la base de datos SQL de Microsoft, para el cual existía un parche en el mercado desde hacía seis meses. Las claves de su éxito y su proliferación fueron su pequeño tamaño, el modo en que se reproducía rápidamente y su manera de buscar aleatoriamente nuevos objetivos para infectarlos. Durante los años posteriores, los fabricantes de TI ofrecieron respuesta a este tipo de amenazas. Cada mes, Microsoft lanza al mercado una serie de actualizaciones para corregir los puntos débiles que se hayan detectado en su software. Adobe, siguiendo su ejemplo, proporciona soluciones directas de seguridad cada “Patch Tuesday” (martes de los parches). Cisco también ofrece un importante conjunto de soluciones relacionadas con la seguridad cada trimestre. Se fomenta la buena práctica para que los administradores parcheen sus sistemas con frecuencia para así tenerlos al día. Otro tipo de defensas incluyen los sistemas de prevención de intrusos (IPS, Intrusion Prevention Systems), que realizan una inspección profunda de los paquetes para buscar patrones conocidos de vulnerabilidades. Los sistemas antivirus bloquean el malware (software malicioso) y lo ponen en cuarentena. Las regulaciones, como el estándar PCI DSS, exigen que las empresas mantengan su software antivirus actualizado con la firma más reciente. Las soluciones de gestión centralizada son usadas para garantizar que todos los usuarios estén usando la última versión de antivirus en su PC o portátil, e incluso en los dispositivos móviles con sistema operativo Android. Pero no es suficiente. 3 ¿QUÉ ES UNA AMENAZA PERSISTENTE AVANZADA? Para comprender por qué las tecnologías actuales no bastan para proteger las redes del presente, es necesario conocer las características de las nuevas Amenazas Persistentes Avanzadas (APT). El malware moderno utiliza técnicas avanzadas (como canales de comunicación cifrados, herramientas de intrusión a nivel de núcleo y sofisticadas capacidades de evasión) para superar las defensas de una red. Incluso muy a menudo se aprovechan de los puntos débiles de día cero: defectos para los cuales todavía no existe ningún parche y no se ha creado ninguna firma. En 2012, el equipo de WatchGuard LiveSecurity® informó de cuatro puntos débiles de día cero que se estaban explotando y propagando. En 2013, alertamos de cerca de trece amenazas de día cero que se estaban utilizando activamente de manera clandestina.ii El software malicioso moderno es a menudo persistente y está diseñado para quedarse. Es sigiloso y oculta cautelosamente sus comunicaciones; además, “vive” en la red de las víctimas tanto tiempo como puede, y a menudo borra el rastro que deja tras de sí (elimina registros, utiliza un cifrado fuerte y solo envía informes a su controlador en pequeñas y ofuscadas ráfagas). Actualmente, muchos ataques se basan en combinaciones de distintas técnicas. Los grupos de atacantes, altamente cualificados, motivados y respaldados económicamente, representan una amenaza significativa pues tienen muy claros sus objetivos y su meta: a menudo se trata de beneficios económicos, ya sea por el robo de tarjetas de crédito o por otros tipos de información valiosa. 4 CARACTERÍSTICAS DE UNA AMENAZA PERSISTENTE AVANZADA Dirigida Avanzada Persistente El objetivo es una determinada empresa, una nación o una tecnología específica. La infiltración no es accidental. Un ataque desconocido de día cero que incluye malware y utiliza herramientas de intrusión a nivel de kernel, así como tecnologías de evasión y antidetección. No se detiene. Continúa realizando phishing, conectándose y probando hasta que encuentra el modo de introducirse. 5 Enero Operation Aurora Junio Stuxnet 2010 Objetivo: Irán Resultado:Afectó a las operaciones de una planta nuclear Marzo RSA/Lockheed 2010 LA EVOLUCIÓN DE LAS AMENAZAS AVANZADAS PERSISTENTES TÉCNICAS GUBERNAMENTALES SON UTILIZADAS PARA GANAR DINERO Las consecuencias de los fallos de seguridad son notables para cualquier empresa. La revista Forbes informó que los beneficios de Target, una gran compañía minorista de EE. UU., disminuyeron casi un 50 % en el cuarto trimestre de 2013,iii y la razón principal fue la publicidad negativa que se originó a causa de una falla en su sistema de seguridad de datos durante la temporada navideña de 2013. El precio de las acciones cayó un 9 %. El Director de TI ya no trabaja en la compañía y del 5 % al 10 % de sus compradores afirmaron que nunca más volverán a comprar en sus tiendas.iv Tras el fallo de seguridad de Target, y durante los meses posteriores, otros grandes distribuidores revelaron pérdidas de datos. A finales de julio de 2014, el Departamento de Seguridad Nacional de EE. UU. emitió una advertencia informando que el malware PoS Backoff y sus variantes habían afectado a más de 1000 redes. Las autoridades instaron a las empresas a buscar el troyano Backoff en sus redes para eliminarlo.v 2011 Objetivo: Google Resultado: Robo del código fuente Objetivo: RSA y Lockheed Martin Resultado: Robo de varios SecureID Septiembre Duqu MAyo Flame Enero New York Times 2011 2012 Objetivo: Irán, Sudán, Siria y Cuba Resultado: Robo de certificados digitales Objetivo: Países de Oriente Medio Resultado: Recopilación y extracción de datos 2013 Objetivo: NY Times Resultado: Robo de datos y contraseñas corporativas Octubre Falla seguridad Adobe Diciembre Falla seguridad Target Septiembre Falla seguridad Home Depot 2013 2013 2014 Objetivo: Adobe Resultado: Robo de información y datos de clientes Objetivo: Target Resultado: Robo de datos de tarjetas de crédito de clientes Objetivo: Home Depot Resultado: Robo de datos de tarjetas de crédito de clientes. 6 LOS ANTIVIRUS NO PUEDEN SEGUIR EL RITMO La lucha contra el malware es muy similar a una carrera armamentística. Cada vez que los defensores introducen nuevas técnicas de detección, los atacantes intentan encontrar nuevas vías para esquivarlas. Las empresas antivirus (AV) tradicionales emplean ingenieros y creadores de firmas que analizan los archivos. Ellos se encargan de monitorizar el funcionamiento de los programas desconocidos en un entorno controlado. También envían los archivos a herramientas como Anubis, las cuales ejecutan un archivo e informan sobre cualquier tipo de actividad o comportamiento que indique la presencia de un virus. Pero el desarrollo de firmas es una alternativa abocada al fracaso pues existe un 88% de probabilidades de que el nuevo malware se haya creado como una variante de otro malware existente evitando su detección por medio de las técnicas clásicas. Lastline Labs publicó un estudio basado en cientos de miles de fragmentos de software malicioso detectados en el transcurso de un año, desde mayo de 2013 hasta mayo de 2014. Cada muestra de software malicioso se probó con los 47 antivirus que los vendedores incluyeron en VirusTotal, un sitio web de terceros que agrega distintas soluciones AV y las compara. El objetivo de esta investigación era determinar la efectividad del AV, qué motores captaron las muestras de software malicioso y con qué rapidez se detectaba nuevo software malicioso. Los resultados fueron sorprendentes. 7 • En el día 0, sólo el 51 % de los escáneres del AV detectaron nuevas muestras de malware • Transcurridas 2 semanas, se observó un salto considerable en los índices de detección (hasta un 61 %), lo que indica la existencia de una demora habitual en el desarrollo por parte de los vendedores de AV. • El software malicioso en la categoría del 1.er percentil, “el menos probable de ser detectado” (línea roja), pasó desapercibido para la mayoría de los escáneres del AV durante meses y, en algunos casos, nunca llegó a detectarse. 8 LAS DEFENSAS EVOLUCIONAN PASO 1: MÁS ALLÁ DEL ENTORNO SEGURO (SANDBOX) En la actualidad, las soluciones sandbox se utilizan automáticamente como parte del proceso de detección. El código se ejecuta y analiza de manera dinámica en el sandbox sin ningún tipo de supervisión humana. Por desgracia, los programadores de malware utilizan técnicas evasivas para asegurarse de que sus programas no revelen ninguna actividad maliciosa cuando se ejecutan en tales entornos de análisis automatizados. Los fabricantes de seguridad reaccionaron añadiendo algunas medidas de contrainteligencia a sus sistemas. Comprueban si el malware está haciendo peticiones a claves de registro conocidos, y fuerzan a despertarle en caso que entre en reposo. Pero esta estrategia continúa siendo reactiva. Los sistemas de análisis de malware deben actualizarse manualmente para tratar cada nueva y evasiva artimaña. Los desarrolladores de malware que crearon las evasiones de día cero pueden esquivar la detección hasta que la sandbox se actualice. Algunas de las técnicas comunes utilizadas por malware son: • Comprobar si se está ejecutando en una máquina virtual • Solicitar las claves de registro conocidas de Windows que indiquen la presencia de una sandbox concreta • Entrar en modo de reposo durante un tiempo, esperando a que la sandbox agote el tiempo previsto para realizar su análisis 9 LIMITACIONES DE LOS ENTORNOS SEGUROS (SANDBOXES) BASADOS EN LA VIRTUALIZACIÓN En la actualidad, las implantaciones más comunes de las sandboxes dependen normalmente de un entorno virtual que contiene el sistema operativo huésped. Algunas veces, una sandbox ejecuta el sistema operativo directamente en una máquina real. La clave del problema, y la limitación principal de las sandboxes modernas basadas en la virtualización, es su falta de visibilidad y de profundización en la ejecución de un programa malware. La sandbox necesita observar con el mayor detalle que le sea posible el comportamiento del malware, pero siempre debe hacerlo de manera que quede oculto para el malware. Si el malware puede detectar la presencia de una sandbox, alterará su comportamiento. Por ejemplo, en lugar de simplemente entrar en modo de reposo, los programas más sofisticados llevan a cabo algunas operaciones de computación, que no sirven para nada, pero que dan la apariencia de actividad. Por lo tanto, la sandbox no puede activar el programa de ninguna manera. El programa sencillamente se ejecuta y, desde el punto de vista del sistema de análisis de malware, todo es normal. La mayoría de software malware se ejecuta en modo usuario (ya sea como usuario habitual o como administrador). Las sandboxes basadas en la virtualización examinan las llamadas al Sistema y las llamadas API de Windows procedentes de los programas que se ejecutan en modo usuario. Las llamadas del sistema o las llamadas a funciones capturan todas las interacciones entre un programa y su entorno (p. ej., cuando se leen los archivos, se escriben las claves de registro y se genera tráfico de red). Pero la sandbox no ve nada de lo que sucede entre las llamadas del sistema. Los desarrollares de malware pueden atacar este punto débil. En nuestro ejemplo, el código de infección es un código que se ejecuta entre las llamadas del sistema. 10 PASO 2: EMULACIÓN COMPLETA DEL SISTEMA Se requiere una estrategia más inteligente. Un emulador es un programa de software que simula la funcionalidad de otro programa o de un componente de hardware. Desde el momento en que un emulador desarrolla su funcionalidad vía software, le proporciona una gran flexibilidad. La emulación del sistema operativo proporciona un alto nivel de visibilidad de los comportamientos del malware. Ahora bien, los emuladores a nivel de sistema operativo no pueden replicar cada una de las llamadas de un sistema operativo. Habitualmente, se centran en un subconjunto común de funciones. Por desgracia, esta estrategia es la que el malware avanzado detecta con mayor facilidad para evadirse. La emulación completa del sistema, en la que el emulador simula ser el hardware físico (incluidas la CPU y la memoria), proporciona el nivel de visibilidad más profundo del comportamiento del malware y también es la táctica más difícil de detectar para el software malicioso avanzado. 11 APT BLOCKER DE WATCHGUARD TIPOS DE ARCHIVOS ANALIZADOS POR APT BLOCKER El APT Blocker, un nuevo servicio disponible para todas las soluciones UTM y NGFW de WatchGuard, utiliza la emulación del sistema (CPU y memoria) para obtener una visión detallada de la ejecución del programa malware. Después de haber sido analizado a través de otros servicios de seguridad, se genera un hash y se contrasta con una base de datos existente: primero en el propio dispositivo y después en la nube. Si el archivo no había sido nunca visto, se analiza mediante el emulador del sistema, monitorizando la ejecución de todas las instrucciones, siendo capaz de detectar las técnicas de evasión que otras sandboxes no perciben.vi • • • • • Cuando se detecta el malware, es posible bloquearlo inmediatamente en el dispositivo. Si se tratase de un auténtico archivo de día cero (un archivo nunca antes analizado) éste se entregará al usuario, y en paralelo se realizará el análisis en la nube. La seguridad estará siempre garantizada pues el sistema WatchGuard permite garantizar la seguridad y el seguimiento de todas las amenazas por parte del departamento de TI. Puede generar alertas indicando que un fichero sospechoso se encuentra en la red. Todos los archivos ejecutables de Windows Adobe PDF Microsoft Office Archivos del instalador de aplicaciones de Android (.apk) Los archivos comprimidos (como los .zip de Windows) se descomprimen LASTLINE TECHNOLOGY WatchGuard seleccionó el mejor socio de su categoría para el desarrollo del servicio del APT Blocker. Lastline Technology fue fundada por el equipo técnico que desarrolló Anubis, la herramienta que los investigadores de todo el mundo han utilizado durante los últimos ocho años para analizar los archivos en busca de un potencial software malicioso.vii 12 DIFICULTAD PARA LA DETECCION DE EVASIONES DE SOFTWARE MALWARE DIFICULTAD DE EVASIÓN Los sistemas de emulación poseen la mayor capacidad para detectar malware. VIRTUALIZACIÓN (VM) Sandbox tradicional INTERCEPCIÓN DE LLAMADAS EN MODO USUARIO EMULACIÓN COMPLETA DE SISTEMA CPU, memoria EMULACIÓN DEL SO CONOCIMIENTO SOBRE EL COMPORTAMIENTO DEL SOFTWARE MALICIOSO 13 EL INFORME DE APT MUESTRA ACTIVIDAD MALICIOSA PASO 3: VISIBILIDAD DEL SISTEMA WatchGuard Dimension™ también incluye la actividad de APT en cuadros de mando de seguridad de primer nivel, junto con informes detallados del resto de servicios de seguridad. La actividad de APT está incluida en el resumen de los informes ejecutivos de alto nivel. Los administradores cuentan con diez informes diferentes predefinidos. El ejemplo anterior muestra varias características que son típicas de un software malicioso. Las dos evasiones de la parte superior muestran cómo la solución ha sido capaz de detectar la actividad maliciosa que habría podido confundir a otro tipo de soluciones con sandboxes. 14 LA ACTIVIDAD DE APT BLOCKER VISTA A TRAVÉS DE WATCHGUARD DIMENSION 15 PASO 4: INFORMACIÓN PROCESABLE EL APT BLOCKER DE WATCHGUARD La detección del software malware no es suficiente. El personal de TI necesita información clara y útil, y no perderse en una cantidad ingente de logs. Los departamentos de TI tienen la tarea de garantizar la continuidad del negocio. A pesar del tremendo impacto que las incidencias de seguridad pueden tener en un negocio, muchos departamentos de TI desconfían de los avisos de seguridad sospechosos. Neiman Marcus tuvo más de 60 000 incidencias de registro que demostraron la existencia de software malicioso en su red.viii Target contó con ficheros de logs un par de días después de la primera brecha de seguridad indicando la existencia de una problema. Fueron ignorados.ix cumple todos los requisitos de visibilidad gracias a los avisos por correo electrónico, el análisis de registros (logs) en tiempo real y la capacidad de poder entrar a mayor detalle siempre que se requiera más información. El servicio está totalmente integrado en WatchGuard Dimension, la premiada solución de visibilidad e inteligencia en seguridadx que se incluye gratuitamente en todas las soluciones UTM y NGFW de WatchGuard. Va más allá de un simple aviso que dice que un archivo es sospechoso. Proporciona un informe detallado de la actividad maliciosa de cada uno de los archivos que se califican como software malicioso Cualquier solución avanzada contra malware debe proporcionar lo siguiente: • Avisos por correo electrónico cuando un archivo dañino sea detectado • Capacidades de registro (logs) e informes que estén estrechamente integradas con otras medidas de seguridad en la red • Indicación clara de por qué el archivo se ha identificado como software malicioso, evitando su inmediato descarte como potencial falso positivo 16 MANTENGA SUS DATOS A SALVO CON LA DETECCIÓN AVANZADA DE MALWARE Las amenazas han evolucionado. Hoy en día, los piratas informáticos utilizan las mismas técnicas avanzadas que los ataques a los gobiernos en los pasados años. 1. Sandbox en la nube con una emulación completa del sistema, que tenga la capacidad de analizar varios tipos de archivos Las soluciones de seguridad deben evolucionar para anticiparse a estas amenazas y mantener la seguridad de su red. La detección de malware basada en firmas ya no es suficiente. Los antivirus y los servicios de prevención de intrusos (IPS) todavía son una parte necesaria para la defensa de cualquier empresa, pero deben completarse con nuevas capacidades de detección avanzadas que dispongan de cuatro características clave: 2. Ir más allá de la sandbox para detectar distintas formas de evasiones avanzadas 3. Visibilidad con avisos claros de todo el malware detectado, y el detalle de por qué se considera malicioso cada uno de ellos 4. Capacidad para actuar de forma proactiva y bloquear los archivos perniciosos El APT Blocker de WatchGuard va más allá de la detección antivirus basada en la firma, puesto que utiliza una sandbox basada en la nube con una emulación completa del sistema para detectar y bloquear el malware avanzado y los ataques de día cero. Si desea obtener más información acerca del APT Blocker de WatchGuard y otros servicios punteros de seguridad que WatchGuard ofrece en sus plataformas UTM y NGFW, visite www.watchguard.com/apt. 17 WEB: www.watchguard.com ACERCA DE WATCHGUARD WatchGuard® Technologies, Inc. es un líder mundial en el sector de las soluciones integradas de seguridad empresarial multifunción, que combinan hábilmente el hardware industrial estándar, las mejores funciones de seguridad y herramientas de gestión basadas en las políticas. WatchGuard ofrece una protección profesional de alta seguridad y fácil de usar a cientos de miles de empresas de todo el mundo. Los productos de WatchGuard están respaldados por el servicio WatchGuard LiveSecurity® y por un innovador programa de soporte. WatchGuard tiene su sede central en Seattle, Washingotn, con oficinas en América del Norte, Europa, Asia-Pacífico y América Latina. Para obtener más información, visite WatchGuard.com. VENTAS EN AMÉRICA DEL NORTE: +1.800.734.9905 En el presente documento no se proporciona ninguna garantía explícita o implícita. Todas las especificaciones están sujetas a cambios y todos los productos, las características o las funcionalidades previstos para el futuro se proporcionarán según las bases disponibles, si las hay y cuando las haya. ©2014 WatchGuard Technologies, Inc. VENTAS INTERNACIONALES: +1.206.613.0895 Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard y WatchGuard Dimension son marcas comerciales registradas o marcas comerciales de WatchGuard Technologies, Inc. en Estados Unidos y/o en otros países. Todos los demás nombres comerciales y marcas comerciales pertenecen a sus respectivos propietarios. DIRECCIÓN: 505 Fifth Avenue South Suite 500 Seattle, WA 98104 END NOTES i http://en.wikipedia.org/wiki/SQL_Slammer ii iii iv v vi vii viii ix x http://watchguardsecuritycenter.com http://www.forbes.com/sites/maggiemcgrath/2014/02/26/target-profit-falls-46-on-credit-card-breach-and-says-the-hits-could-keep-on-coming/ http://www.usatoday.com/story/money/business/2014/03/11/target-customer-traffic/6262059/ http://bits.blogs.nytimes.com/2014/08/22/secret-service-warns-1000-businesses-on-hack-that-affected-target/?_php=true&_type=blogs&_r=0] http://info.lastline.com/blog/next-generation-sandbox-offers-comprehensive-detection-of-advanced-malware http://info.lastline.com/blog/different-sandboxing-techniques-to-detect-advanced-malware http://www.businessweek.com/articles/2014-02-21/neiman-marcus-hackers-set-off-60-000-alerts-while-bagging-credit-card-data http://www.businessweek.com/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-credit-card-data#p1 http://www.watchguard.com/news/press-releases/network-computing-awards-names-watchguard-dimension-best-new-product-of-the-year.asp 18