Análisis de malware

Análisis del comportamiento de la red de malware

25 de agosto de por Dimitar Kostadinov

Tipos de análisis de malware

El análisis es un proceso de inspección de muestras de un malware para obtener más información sobre su naturaleza, funcionalidad y propósito. Esto, a su vez, creará una firma que se puede colocar en una base de datos para proteger a otros usuarios de la infección. Los propósitos del análisis de malware incluyen:

• Alertas de amenazas y clasificación
• Respuesta al incidente
• caza de amenazas
• investigación de malware

El análisis de malware puede ser “estático” o “dinámico”. El análisis estático no implica realmente la ejecución del malware, mientras que el análisis dinámico lleva a cabo dicha acción en un entorno controlado. El análisis dinámico tiene que ver con comportamientos y acciones que pueden generar sospechas, como abrir un socket de red, escribir claves de registro y escribir archivos en un disco. A menudo, la depuración se realiza pasando el malware por un depurador para analizar su comportamiento (llamadas API, llamadas a funciones, etc.) para revelar sus funciones.

La detección de malware basada en firmas se utiliza para identificar malware que ya es “conocido”. La metodología basada en firmas generalmente no reconoce las nuevas versiones o mutaciones de malware.

Esto puede resultar problemático, porque según el Informe Anual de Ciberseguridad de Cisco , el 95% de los archivos de malware analizados evolucionaron dentro de un período de 24 horas o menos. El malware avanzado de hoy tiene la capacidad de cambiar sus firmas para evitar la detección mediante una serie de técnicas de transformación, como la permutación de código, el cambio de nombre de registros, la expansión y reducción de código y la inserción de código basura u otras formas de disfrazarse.

Por otro lado, la detección basada en el comportamiento analiza acciones y actividades sospechosas relacionadas con algún tipo de malware. Por lo general, las soluciones de análisis del comportamiento de la red no se basan en firmas de amenazas conocidas. En cambio, observan a los huéspedes que se comportan de manera inusual. Ejemplos de comportamiento potencialmente dañino son el escaneo de máquina a máquina, el uso de credenciales desde múltiples máquinas y varias ubicaciones, la desactivación de antivirus/firewall/otras medidas de seguridad, la búsqueda de una zona de pruebas, la instalación de rootkits, etc.

Como se puede ver, el comportamiento de la red puede significar muchas cosas, pero al mismo tiempo casi siempre gira en torno a actividades maliciosas de la red que van más allá de lo que se considera normal. A pesar de que esta explicación es un poco general, dicho comportamiento parecerá mostrar rasgos más distintivos dependiendo de la vulnerabilidad explotada o del tipo de malware encontrado.

La buena noticia es que este enfoque es lo suficientemente completo como para hacer frente a amenazas que aún no se han manifestado: los llamados ataques de día cero. De hecho, se puede sacar a la luz de todo, desde spam y botnets hasta incursiones de reconocimiento y ataques de día cero.

Analizar el tráfico de red que fluye desde conmutadores y enrutadores le permitiría identificar comportamientos anormales de cualquier tipo. Los algoritmos basados ​​en el comportamiento se especializan en monitorear, informar e identificar amenazas mediante el análisis del comportamiento tanto del host como de las aplicaciones.

¿Cómo funciona esto en la práctica?

Al ser parte de la suite IDS , el objetivo de Network Behavior AnomalyDetection (NBAD) es monitorear toda la subred a nivel de red. Antes de comenzar a inspeccionar el tráfico en tiempo real, el NBAD debería crear una línea de base de lo que se considera “normal”. Una vez que se tiene esta norma, todo lo que se desvía de ella es una anomalía, independientemente de si se trata de actividades, eventos o tendencias inusuales, que deben tratarse con precaución.

Análisis basado en balizas

Algunos expertos en seguridad recomiendan una tecnología llamada análisis de balizas como una herramienta indispensable para la búsqueda de malware en los cotos de caza llamados redes. “Beaconing” es un concepto dentro de la industria de la seguridad de la información que denota llamar a casa a intervalos regulares. Una cosa que todos los tipos de malware tienen en común es la necesidad de comunicarse con su autor.

Los servidores intermediarios conocidos como servidores de “comando y control” (CC) desempeñan un papel de apoyo, ya que permiten a los atacantes establecer una ruta de comunicación con la máquina infectada. Normalmente, una conexión de este tipo intentará imitar el tráfico de red normal mediante el uso de HTTP, HTTPS o DNS.

Un sistema comprometido comprobaría periódicamente con el servidor CC las órdenes a ejecutar. La mayoría de las veces, el malware recibe una orden de no hacer nada, lo que da como resultado la transmisión de una cantidad idéntica de datos. Esta actividad es reveladora, independientemente de que la ofuscación se utilice como cortina de humo; esto se debe a que la mayor parte de la actividad de la red crea tamaños aleatorios de datos intercambiados en cada sesión.

Como nota al margen, el protocolo de tiempo de red (NTP) es el falso positivo más común. En el lado positivo, eliminar los falsos positivos no es imposible. Su sistema debe configurar servidores NTP predeterminados para sincronizar la hora y luego crear una “lista blanca” de estos servidores conocidos, impidiendo así todo tipo de actividad de baliza detectada.

Ejemplos de rasgos de comportamiento de la red de malware

La detección basada en el comportamiento tiene la ventaja, ya que puede descubrir amenazas desconocidas en tiempo real. No sólo eso, sino que puede ayudarte a obtener un análisis en profundidad sobre el malware; más concretamente, su modus operandi.

Cada tipo de malware tiene un comportamiento específico y típico de su tipo:

• Gusanos (p. ej., Wipper)

• Mucho escaneo
• Tráfico ruidoso
• Intentos de moverse lateralmente a través de puertos locales.

• Criptomineros

• Permanecer oculto para utilizar recursos computacionales
• En el momento de su ejecución inicial, el malware comunica las solicitudes de unión a un “grupo de minería”.
• La firma de red de los mineros es el tráfico HTTP transmitido principalmente a dominios incluidos en la lista negra.
• Un marcado aumento en el uso de recursos computacionales

• Secuestro de datos

• La actividad de cifrado es visible si miramos la huella de memoria de los dispositivos afectados
• En términos de propagación, su firma de red es sutil.
• Ofuscación de la arquitectura CC para protegerla de eliminaciones por parte de las fuerzas del orden.

• Troyanos de acceso remoto

• Mantener una infraestructura CC efectiva para la comunicación/ejecución regular.
• Un rastro de red distintivo relacionado con una comunicación continua entre el sistema infectado y varias direcciones IP.
• Alojamiento a prueba de balas (ocasionalmente)

Conclusión

Está confirmado: beber lejía no te salvará de ningún virus, al menos de los informáticos.

A menos que se encuentre con cepas completamente asintomáticas, lo que sería un evento sorprendente en ciberseguridad, parece muy aconsejable que cada organización que se ocupa de datos sensibles u operaciones críticas tenga en su lugar tecnologías que puedan analizar el comportamiento del malware.

Fuentes

1. Más de 10 señales de advertencia de que su computadora está infectada con malware , Tech Viral
2. Una lista completa de tutoriales de análisis de malware, hojas de trucos y herramientas para profesionales de la seguridad , GBHackers sobre seguridad
3. Detección avanzada de malware: firmas versus análisis de comportamiento , Revista Infosecurity
4. Análisis de balizas: la clave para la caza de amenazas cibernéticas , Active Countermeasures, Inc.
5. Análisis del comportamiento del malware mediante análisis forense de redes , Dionach
6. Detección de actividades sospechosas y maliciosas en su red , Alert Logic, Inc.
7. Malware desde el punto de vista del análisis del comportamiento de la red , Flowmon Networks
8. Introducción al análisis de malware , medio
9. Análisis de malware , CrowdStrike
10. Análisis del comportamiento de amenazas de la red de McAfee , McAfee
11. Startup analiza comportamiento para detener amenazas de malware , Network World
12. Comprender los comportamientos de red del malware utilizando Fantasm , Instituto de Ciencias de la Información