Virus, gusanos, troyanos – un rayo de luz en el mundo oscuro y confuso de estos nombres

Virus, gusanos, troyanos – un rayo de luz en el mundo oscuro y confuso de estos nombres

Malware, ataques cibernéticos y el cómo protegerse contra estos – esta temática ocupa no solo a personas individuales sino también a los responsables de TI. Por lo tanto, nos gustaría proporcionar una serie de información básica sobre este tema en una secuencia de publicaciones. En la primera publicación proporcionamos una definición y clasificación general de malware. Esta no es exhaustiva, pero cubre los tipos de malware más relevantes.

Existen desde hace millones de años – los virus.  En comparación con este periodo de tiempo, estos son solo conocidos por la humanidad desde lo que llamamos un abrir y cerrar de ojos, ya que su evidencia científica se presentó solo hasta finales del siglo XIX. Los virus son responsables de diferentes enfermedades, y en la naturaleza siempre ha existido una batalla constante entre la evolución de los virus y la defensa contra los mismos.

En el área de las tecnologías de la información la situación es bastante similar. También allí existe una variedad muy grande de software malicioso, y los proveedores de software de defensa se ven obligados a desarrollar constantemente métodos de defensa para evitar el acceso a intrusos y evitar así consecuencias negativas en los sistemas TI o en datos sensibles. En la denominación conceptual de estos códigos maliciosos suele usarse el término “virus”.

 

Desde el punto de vista histórico este nombre es totalmente razonable, ya que solamente los gusanos y los virus surgieron como amenaza, sin embargo teniendo en cuenta la riqueza en variedad que hoy en día se presenta, este término resulta insuficiente. Por este motivo, queremos brindar un poco de luz en el túnel y ofrecer una visión general sobre la terminología correcta y hacer una breve mención sobre los códigos maliciosos más comunes.

Virus

 

El término “Virus” se utiliza comúnmente de forma errónea, ya que por lo general es un símbolo del término más general: “Malware“. Esto a su vez, no es correcto, ya que malware abarca todo el conjunto de software malicioso.

La palabra “virus” describe solo la forma de propagación específica de un tipo particular de malware. Este infecta un tipo de fichero definido e inyecta allí su código malicioso. El fichero infectado transmite el virus al identificar e infectar ficheros de tipo similar.

El paso del virus de ordenador a ordenador no se realiza de forma activa, sino a través de medios de almacenamiento externos, E-Mails o dentro de redes.

Gusanos

La tipificación “gusano” identifica, como el virus, un tipo de distribución específico. El código malicioso se propaga, al contrario del virus de ordenador, activa e inmediatamente mediante el aprovechamiento de brechas de seguridad existentes. Un ejemplo actual es un gusano el cual se propaga en el área de Internet of Things (IoT por sus siglas en inglés), es decir, entre dispositivos que utilizan internet, usando puertos abiertos de depuración Android.

Al contrario de un software de extorsión, el cual tiene como único objetivo el cifrar los datos del ordenador y solicitar un rescate, un gusano de ordenador no tiene un objetivo claro. Este puede realizar cambios en el sistema y comprometerlo, incrementar la carga de la infraestructura de internet o desencadenar ataques DDoS.

Troyanos / Caballos de Troya

 

Una gran parte del malware, que actualmente existe, se puede describir como un “Caballo de Troya”. El término es bastante genérico y describe que el malware se camufla como benigno. Esto quiere decir que el usuario solo ve la aplicación positiva sin reconocer el resultado negativo de la aplicación por lo que no puede tener ninguna influencia sobre los resultados finales.

El nombre “Caballo de Troya” se remonta a la estrategia legendaria de la mitología griega, en la que los invasores griegos engañaron a los habitantes de Troya utilizando un caballo de madera. Por este motivo, es igualmente erróneo el uso del término “troyano” ya que los troyanos eran los habitantes de la ciudad y fueron las víctimas. El caballo era entonces, el atacante.

Variedad de nuevos tipos de amenazas

Además de la terminología de malware más común, todavía hay una gran cantidad de malware que se puede dividir en las siguientes categorías.

  • RATRemote Access Trojans (Troyanos de Acceso Remoto): Este tipo de malware permite a los atacantes hacerse cargo de las computadoras y controlarlas de forma remota. De este modo, pueden ejecutar comandos en los sistemas de las víctimas
  • Backdoor (Puerta trasera): Un malware Backdoor se basa en una visión similar a una RAT, pero utiliza un enfoque diferente. Los atacantes usan las llamadas puertas traseras las cuales son colocadas deliberadamente en programas o sistemas operativos. Sin embargo, también pueden haber sido instaladas en secreto. La peculiaridad de las puertas traseras es el hecho de que pueden pasar desapercibidas por los mecanismos de defensa habituales y, por lo tanto, son muy atractivas para los criminales cibernéticos siendo así, por ejemplo, muy populares para crear botnets.
  • Botnet y zombis: Botnets son grandes acumulaciones de computadoras infectadas que el atacante construye. Zombis se llaman las máquinas afectadas, siendo así las partes individuales del botnet. El atacante puede enviar comandos a todas las máquinas al mismo tiempo para desencadenar actividades como ataques DDoS o para extraer bitcoins con la ayuda de computadoras zombi. Lo malévolo de esta situación es que el propietario del ordenador solo nota la “membresía” en un botnet cuando ya se han llevado a cabo las actividades controladas externamente.
  • SpywareEste es un malware que recopila información del ordenador de la víctima. Estos pueden ser los denominados Credenciales Stealers (ladrones de credenciales), que roban los datos de acceso de cuentas de usuario, tales como la propia cuenta de buzón de correo electrónico, Amazon o Google. Los keyloggers, por otro lado, graban o copian apartados, o hacen capturas de pantalla de lo que los usuarios hablan o escriben. Los Stealers de Bitcoins buscan carteras de Bitcoin y las roban.
  • Downloader/DropperLos descargadores o los droppers son pequeños programas que tienen un solo propósito: volver a cargar más malware desde el Internet. Al principio, la víctima no puede reconocer qué contenido se está descargando porque solo está visible una URL. La principal ventaja del atacante con este método es que constantemente puede proporcionar malware nuevo para su descarga, distribuyendo malware actualizado y difícil de detectar.
  • RootkitLos rootkits son el tipo de malware más peligroso, que no es necesariamente malware. Más bien, un rootkit puede ocultar código malicioso contra descubrimiento. En esta forma de ataque, el atacante penetra profundamente en el sistema informático, obtiene privilegios de root y obtiene derechos de acceso general. Los cibercriminales cambian el sistema para que el usuario ya no reconozca cuándo se inician los procesos y las actividades. Es muy difícil encontrar ataques basados ​​en la ofuscación de rootkits.

Por supuesto, hay otras categorías y definiciones de malware que no se enumeran aquí. Sin embargo, debería agregarse que el malware que circula en la actualidad es en su mayoría una mezcla de diferentes tipos. Por ejemplo, hay caballos de Troya que también incluyen una puerta trasera.

A menudo, los diferentes tipos de ataque se pueden ensamblar dinámicamente de acuerdo con el principio modular. Por esta razón el malware encontrado hoy en día ya no puede asignarse claramente a una de las categorías mencionadas anteriormente.

 

En la próxima publicación hablaremos sobre los actores que toman parte del malware y de los ataques cibernéticos.

Más información:

  1. Hornetsecurity Advanced Threat Protection
  2. Filtro de spam y virus
Los pronósticos para el canal: de despejado a nublado

Los pronósticos para el canal: de despejado a nublado

Los retos son grandes, pero gratificantes para las consultoras que ahora dependen de servicios basados en la nube.

Que la computación en la nube solo es un tema periférico que solo realiza avances lentos, es aún la idea de algunos líderes empresariales. Sin embargo, la tecnología desde la nube ha avanzado mucho más y se encuentra bien establecida en la mayoría de las empresas. Y el mercado continúa creciendo: según los investigadores de mercado de ISG, el mercado alemán de los servicios públicos en la nube crecerán hasta un 26 por ciento en el año 2020. Cada vez más consultoras y empresas de sistemas están sintiendo los efectos de esto, especialmente aquellas que hasta ahora han dependido de los servicios tradicionales. Por lo tanto, cada vez es más urgente repensar la situación para seguir el ritmo de estos cambios en el mercado.

Muchos revendedores van por el buen camino – están expandiendo su portafolio con servicios gestionados tales como el servicio de Filtro Spam o el Advanced Threat Protection de Hornetsecurity. Paralelamente se está presentado una consolidación del mercado de canal, como lo demuestra la adquisición de Exabytes por parte de Telcat, ambos partners de Hornetsecurity! Esta consolidación es una muestra del futuro del canal IT, el cual se encuentra constantemente en la búsqueda de nuevos campos y propuestas. Sorprendentemente, y al mismo tiempo, una muestra de esta consolidación, son los números con los cuales planea Telcat: este toma los 30 empleados de Exabytes y planea en el área de servicios gestionados la creación de 150 puestos de trabajo para los próximos años.

Ahorro de costes, tiempo y esfuerzos con los servicios en la nube

Y esto con razón: gracias a los servicios en la nube las empresas pueden reducir drásticamente su inversión en hardware y software, lo cual junto con el ahorro en espacio y dinero, representa una reducción en la inversión en tiempo para los administradores y jefes de TI. Estos pueden ahora concentrarse en sus competencias y proyectos principales y, al mismo tiempo, crear un departamento más ágil ya que la subcontratación de tareas permite crecimientos a escala. Dudas sobre los servicios en la nube, donde los criterios sobre la protección de datos y la perdida de control son criterios de exclusión, son minimizados a través de salvaguardas contractuales junto con una profesionalidad cada vez mayor por parte de los proveedores.

Si las compañías de servicios en la nube aportan beneficios significativos, y estos generalmente son fáciles de implementar, pueden reducir sus carteras y reducir la organización, la logística y las operaciones. Prueba de esto es la conversión de contratos clásicos, con términos anuales o incluso plurianuales, a contratos mensuales. Junto con esto, por supuesto, el flujo de ingresos está cambiando de grandes pagos únicos a montos mensuales más pequeños. Sin embargo, una vez que se haya realizado el cambio, este también traerá beneficios a través de un flujo constante de ingresos.

Las transiciones pueden ser difíciles pero gratificantes

El concepto de servicio en las consultoras también debe evolucionar. Los clientes esperan una calidad de servicio diferente para los servicios basados en la nube. La calidad de los servicios debe ser más alta y, en el caso ideal, con acceso y disponibilidad constantes, tanto en el aspecto técnico como en el de ventas. Con este fin, las capacidades del centro de datos deben ampliarse o incluso crearse, los empleados deben volver a capacitarse y, si es necesario, se debe configurar un sistema operativo de turno. Muchos desafíos que requieren un alto nivel de planificación, asertividad e inversión de capital.

El esfuerzo puede valer la pena: apegarse a las tecnologías existentes y no hacer que su propia empresa sea adecuada para el futuro rara vez ha valido la pena, incluso si hay ciertos nichos en el futuro que pueden continuar sirviendo a los revendedores. La nube y con ella la interrupción de las tecnologías imperantes es imparable. Los líderes del canal no deberían sobreestimarlo, ya que de lo contrario pueden repetir los pasos de Wilhelm II, quien algún día dijo: “Creo en el caballo. El automóvil es solo un fenómeno temporal “.

Muy escondido .NET Spyware Camolog roba datos de acceso

Muy escondido .NET Spyware Camolog roba datos de acceso

Siempre que sale un nuevo tipo de malware, la pregunta es, cual es su meta. Actualmente estamos observando un nuevo tipo de .NET spyware sobre el cual no se ha reportado. Este se caracteriza por el uso de fuertes técnicas anti-análisis las cuales se implementan a través del empaquetador Confuser. Aparte de esto, este no invierte bastante tiempo en su camuflaje, dejando a la luz sus intenciones. El spyware recopila datos de acceso de diferentes programas y utiliza un ‘Keylogger’ para acceder a la información.

 

El spyware .NET que hemos denominado Camolog se está extendiendo a través de una campaña de phishing actualmente en curso. Ella trae un keylogger y recoge datos de inicio de sesión de clientes de correo, navegadores, FTP y clientes de mensajería instantánea. Los datos de acceso recopilados de esta manera generalmente son vendidos por ciberdelincuentes o utilizados para el seguimiento después de tales campañas de recopilación de información.

 

Correos de suplantación como “abre latas”

 

Las líneas de asunto y los archivos adjuntos de los correos electrónicos individuales, parte de una ola de correo no deseado bastante grande (ver captura de pantalla) varían ligeramente. Los archivos adjuntos que envían el malware eran en su mayoría entre 400 KB y 1,3 MB de tamaño. La siguiente captura de pantalla muestra uno de estos correos electrónicos de suplantación, la información de contacto ha sido tachada, ya que a menudo se trata de información robada de personas reales.

 

Ejemplo de un correo de suplantación con el cual se entrega el malware.

Ejemplo de un correo de suplantación con el cual se entrega el malware.

 

El correo electrónico de suplantación engañó al destinatario solicitando una oferta y lo motivó a abrir el archivo adjunto. Sin embargo, este contiene un archivo RAR llamado Sample Product 9076_pdf.rar. El archivo oculta el archivo ejecutable .NET SampleProduct9076_pdf.exe, que actúa como un cuentagotas para el spyware y ha sido protegido por una variante de la herramienta de ofuscación de acceso público Confuser.

 

El uso de Confuser se vuelve obvio cuando se abre el malware en .NET Decompiler dotPeek. También el nombre del proyecto usado “dimineata” es notable y se puede utilizar para identificar el malware. Esto se muestra en la siguiente captura de pantalla.

 

A través del .NET Decompiler dotPeek es posible analizar para que se utiliza el Confuser.

A través del .NET Decompiler dotPeek es posible analizar para que se utiliza el Confuser.

 

Sin embargo, el uso de técnicas anti descompiladoras y anti depuradoras dificulta el análisis del malware. La herramienta de análisis IDA Pro se bloquea mientras se carga el archivo binario, los descompiladores específicos de .NET no funcionan correctamente y los depuradores utilizados en análisis dinámicos fallan, por lo que el análisis manual apenas proporciona información. Esta es probablemente una de las razones por las cuales aún no se encuentran informes sobre este spyware.

 

Camolog se opone a una investigación

 

Solo después de ejecutarse en un entorno seguro y supervisado puede obtenerse una visión general del comportamiento del malware. Entre otras cosas, se puede observar que el malware se ejecuta como un proceso llamado “chrome.exe” con la descripción “Accu-Chek 360˚ software de gestión de la diabetes”. Este proceso inicia otro subproceso con el mismo nombre. Posteriormente, el binario original crea una copia de sí mismo como AppData \ Local \ Temp \ iaq \ iaq.exe, inicia su subproceso y luego se elimina.

 

Para cuando se va a cargar el subproceso, sus datos binarios se deben desempaquetar y descifrar por completo en la memoria. La transferencia tiene lugar en forma de una matriz de bytes a la función AppDomain.Load (). Debido a que esta característica es parte de .NET Framework, no se ve afectada por las técnicas anti-análisis de la herramienta de ofuscación y, a diferencia de las funciones de malware, se puede analizar fácilmente. Esto permite que un depurador como dnSpy establezca un punto de interrupción en esta función y descargue el binario del malware cargado por el cuentagotas. Esto será ahora examinado en más detalle a continuación.

 

Exámen del Spyware

Exámen del Spyware

 

El archivo binario del spyware caído se deja cubrir solo por un cambio de nombre aleatorio de las funciones y variables y no por otras técnicas de anti-análisis. Por lo tanto, con un descompilador de .NET se puede generar el código fuente legible de nuevo, que revela el comportamiento del malware.

 

¿Qué información recopila el spyware?

 

El spyware recoge mucha información: además de los datos de conexión almacenados en los favoritos del cliente FTP SmartFTP, también recopila contraseñas del cliente WS_FTP, las últimas conexiones usadas de FileZilla, conexiones de sesiones guardadas de WinSCP, y también los datos de conexión de FTPWare.

 

Además, lee los datos de cuenta almacenados en el Instant Messenger Pidgin y las contraseñas de Video Chat Tool Paltalk. Camolog también recopila diligentemente los datos de cuenta de los clientes de correo de Outlook y Thunderbird, así como los datos de inicio de sesión de los navegadores YandexBrowser, ChromePlus y Chromium. Con un keylogger, el spyware también puede registrar información ingresada y contraseñas de cualquier tipo.

 

El Spyware se anida en el sistema creando claves de registro para la ejecución automática de Windows (ver lista de indicadores). A través de estas claves de registro y el proceso en ejecución “chrome.exe”, el malware está muy bien identificado en el sistema.

 

Todo está bien con Hornetsecurity ATP

 

Con nuestros ingeniosos mecanismos de filtrado de correo no deseado, hemos podido detectar los correos electrónicos de esta campaña desde que aparecieron por primera vez y los filtramos en la nube. Entonces, el spyware no tiene posibilidad de acercarse a la infraestructura corporativa de nuestros clientes. Con Hornetsecurity Advanced Threat Protection, nuestros clientes también disfrutan de protección contra cualquier variación de este malware. Mediante el uso de análisis de comportamiento, la protección de Hornetsecurity ATP es muy superior a la de un filtro de spam tradicional. Aquí hay un extracto del análisis de comportamiento ATP:

 

Evaluación detallada del análisis del Sandbox

Evaluación detallada del análisis del Sandbox

 

Lista de los indicadores para el reconocimiento del malware:

 

Correos de suplantación:

 

Textos de asunto utilizadas en la campaña:

  • Quotation request
  • Quote-Bid Identifier: ITB-0011-0-2018/AM
  • Quote-Bid Identifier: ITB-0014/0015-0-2018/AM
  • Kindly Quote-Bid Identifier: ITB-0016-0-2015/AM
  • Quotation required

 

Adjunto del correo de suplantación – Archivo Win32 RAR:

 

  • Nombre el archivo: Sample Product 9076_pdf.rar
  • SHA256: 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6
  • Adjuntos de otros correos de esta campaña:
    • 30eaa3e9b9390f603d2a349c0a4cf064225eff3ede60a24aab8e69cf67cf83a5  Product sample 0015_pdf.rar
    • 6acf72c636aa9ff2fae225d75eea063c2ee61026151a6c405175dd06e8a5c01f  product sample 0019_pdf.rar
    • a54f7ff3ecf8acccc23fe2c52fd5e58099852f3448dcec67c6deff5fa925a4d5  Sample product 0011_pdf.rar
    • c165676976f9e91738c5b6a3442bf67832a7556e23e49f1a77c115af47b290ee  Sample Product 0014_pdf.rar
    • 97cea5ce28bbebff16251cbde247362915e8f41a89f979ae266c797aff6ef5e6  Sample Product 0016_pdf.rar
    • 5f5e7a57d9500fcece0b7c88c8925bb13243222182e5badddaa2419bda963ca6  Sample Product 9076_pdf.rar
  • Tipo de archivo: RAR archive data, v4, os: Win32
  • Tamaño: 331K
  • Contenido del archivo SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6

 

Cuentagotas del archivo:

 

  • Nombre del archivo: SampleProduct9076_pdf.exe
  • SHA256: 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6
  • Otros cuentagotas de la campaña:
    • 38782911f7deca093b0e6018fd6c51122a8211c9c446f89de18e6ada85afa0d1  Product sample 0015_pdf.exe
    • 542b6a778489710994aadfaca3b57e0a9c03d2e3b6d5617e3220f364cbde9a45  product sample 0019_pdf.exe
    • 04381c6ecdf618ce122084a56ca5416c6774cba4b34909e95f7a532523c3e877  Sample product 0011_pdf.exe
    • 42992976461c59a4a52e4bf202d4bfcd738408d729ff9cbc55786016cb4075c3  Sample Product 0014_pdf.exe
    • 2a159afdc686df016ee370aeed134f9c4fe44320a32ec2eb25d76270206b5b5a  Sample Product 0016_pdf.exe
    • 2feb8a19f44c29a83a0561ca7e38492e1a843add08eda2027a8a7c5041af6de6  Sample Product 9076_pdf.exe
  • Tipo de archivo: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
  • Tamaño: 429K
  • Nombre del proceso: chrome.exe
  • Descripción: Accu-Chek 360˚ diabetes management software
  • Cuentagotas del archivo SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
  • String significativa: dimineata.exe
  • Deja además una copia del mismo en C:\Benutzer\analyst\Appdata\Local\Temp\iaq.exe ab

 

Spyware recargado:

 

  • Nombre del archivo: impartial.exe
  • SHA256: 67c7840eefb640e70473ebc4bb7dec89f8168d679226be0696708e3427956114
  • Tipo de archivo: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
  • Tamaño: 58K
  • Nombre del proceso: chrome.exe

 

Llaves de registro, de las cuales se recopila la información:

 

  • HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles*
  • HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook*
  • HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\Profiles\Outlook*
  • HKEY_CURRENT_USER\Software\Paltalk
  • HKEY_CURRENT_USER\SOFTWARE\Martin Prikryl\WinSCP 2\Sessions
  • HKEY_CURRENT_USER\Software\FTPWare\COREFTP\Sites

 

Archivos de los cuales se recopila información:

 

  • C:\Users\Administrator\AppData\Roaming\SmartFTP\Client 2.0\Favorites\Quick Connect\
  • C:\Users\Administrator\AppData\Roaming\Ipswitch\WS_FTP\Sites\ws_ftp.ini
  • C:\Users\Administrator\AppData\Roaming\FileZilla\recentservers.xml
  • C:\Users\Administrator\AppData\Roaming\Thunderbird\profiles.ini
  • C:\Users\Administrator\AppData\Roaming.purple\accounts.xml
  • C:\Users\Administrator\AppData\Local\Chromium\User Data\Default\Login Data
  • C:\Users\Administrator\AppData\Local\MapleStudio\ChromePlus\User Data\Default\Login Data
  • C:\Users\Administrator\AppData\Local\Yandex\YandexBrowser\User Data\Default\Login Data

 

Claves de registro creadas para crear persistencia:

 

  • Entrada autorun del cuentagotas: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\iaq
    • reg_value   C:\Users\ADMINI~1\AppData\Local\Temp\iaq\iaq.exe
  • Entrada autorun del Spyware: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Application
    • reg_value   C:\Users\Administrator\Desktop\chrome.exe -boot
Más práctica y compatible – aquí está la nueva versión de Hornetdrive 4.5

Más práctica y compatible – aquí está la nueva versión de Hornetdrive 4.5

 

Los usuarios de Hornetdrive tienen razón para alegrarse, ya que Hornetsecurity ha actualizado su, sistema de almacenamiento en la nube completamente cifrado. La nueva versión de Hornetdrive 4.5 trae consigo un par de novedades en el tema de compatibilidad y uso amigable los cuales presentaremos en detalle a continuación.

 

Una de las nuevas funcionalidades beneficia a los usuarios de Mac-OS, específicamente a los usuarios del sistema Mac-OS versión 10.13 (High Sierra). Con la actualización, Hornetdrive soporta el nuevo sistema de ficheros APFS de Apple, el cual remplaza el antiguo sistema HFS+. Así, los usuarios pueden utilizar sin problema, y como siempre, Hornetdrive en su nuevo iMac o MacBook.

En el área de uso amigable se han realizado cambios bastante prácticos. De esta forma, la versión 4.5 de Hornetdrive ofrece una nueva función de exportación y filtro. Estas funciones le facilitarán al usuario, aún más, la posibilidad de realizar un seguimiento a los eventos que tienen lugar en Hornetdrive. Teniendo en cuenta que cada evento se almacena en un “Event-Log-File”, este puede -dependiendo de la actividad realizada- contener una gran cantidad de conjuntos de datos. A través de la nueva función de exportación y filtro es posible descargar los conjuntos de datos como fichero CSV. Así, es posible analizar y filtrar los datos, según la necesidad, fuera del cliente Hornetdrive.

 

 

Igualmente dentro de las novedades se encuentra una nueva función de notificación. Los usuarios de la versión Hornetdrive 4.5 la encontrarán en el área de “Configuración” bajo el punto “Mensajes”. Con esta herramienta es posible configurar la notificación de eventos usando correos o ventanas popup. Estas pueden ir desde el renombre de un Drive, la carga de un documento, el conflicto con un nuevo fichero, o el ingreso de un nuevo usuario a un Drive. De esta forma, puede estar seguro de no perderse ningún cambio importante en Hornetdrive.

 

La nueva versión 4.5 de Hornetdrive está disponible desde ya para todas las versiones Windows, Mac-OS y Linux de forma gratuita para su descarga desde nuestro sitio web. Los usuario de Android y iOS pueden descargar la nueva versión desde el Play o App Store.

Spectre y Meltdown afectan de forma insignificantica el estado de amenaza de Hornetsecurity

Spectre y Meltdown afectan de forma insignificantica el estado de amenaza de Hornetsecurity

Proveedores SaaS afectados de forma marginal

Spectre y Meltdown son dos amenazas actuales a las infraestructuras TI de empresas y usuarios finales que se encuentran en boca de todos. Aunque estos huecos de seguridad existen desde hace algún tiempo, solo hasta hace poco se dieron ampliamente a conocer. Especialmente en las empresas, la inquietud y la preocupación son grandes, al pensar que el hardware propio, y también el de proveedores de Servicios TI como Hornetsecurity, puedan haber sido afectados.

Sobre todo en el caso de proveedores de Software-as-a-Service (SaaS) la probabilidad de que estos huecos de seguridad sean relevantes, es bastante baja. La razón: En las propuestas SaaS, el proveedor directamente especifica que programas pueden ser instalados y si estos provienen de fuentes seguras. Software externo, sobre el cual Spectre y Meltdown puedan desplegarse, no tiene la posibilidad de entrar a la infraestructura TI de Hornetsecurity.

Parches para la más alta seguridad

Para poder proporcionar la seguridad más alta posible, Hornetsecurity realizas parches de seguridad a sus sistemas regularmente. Antes de esto, las mejoras son puestas a prueba en sistemas de test con el fin de minimizar el riesgo de cambios bruscos en el comportamiento de los sistemas. Después del cierre del test los empleados encargados de Hornetsecurity reparten los parches escaladamente en todos los sistemas en la nube. Hornetsecurity utiliza este método de mejor-practica para sus actualizaciones y parches con el fin de evitar efectos secundarios indeseados durante las pruebas. Una desmejora en el rendimiento del servicio, la cual pueda estar relacionada con la implementación de parches, no es de esperarse gracias a la gran capacidad de gestión de la nube de Hornetsecurity. Con la puesta en conocimiento de los huecos de seguridad Spectre y Meltdown se dirige la atención a dos grandes puntos débiles en la arquitectura de la computación y, de esta forma, al hardware. Estos huecos de seguridad que afectan a un gran número de procesadores, se encuentran desde que existen Speculative Execution y Out-of-Order Execution. En los procesadores Intel, este hueco de seguridad existe ya desde 1995.

La memoria del procesador como un potencial proveedor de datos

Ambos exploits utilizan vulnerabilidades en procesadores modernos y permiten que programas maliciosos extraigan datos de la memoria protegida de otros procesos. Dado que estos son huecos de seguridad en la arquitectura del hardware, todos los sistemas operativos se ven afectados. Por lo tanto, las máquinas virtuales (VM), los dispositivos móviles y las soluciones en la nube son vulnerables. Para su ejecución, ambos ataques requieren altos niveles de conocimiento sólidos. Pero, ¿qué diferencia los escenarios de ataque en detalle?

Meltdown

 

 

El exploit de vulnerabilidad CVE-2017-5754 se denomina Meltdown. Describe un escenario en el que el atacante obtiene acceso y lee la memoria del núcleo de procesos externos accediendo a la memoria del sistema operativo. Esto se logra gracias a un hueco de seguridad en la ejecución Out-of-Order. Al reordenar los procesos, el procesador lee y procesa tentativamente el contenido de una celda de memoria, aunque el proceso de llamada para esta sección de memoria en realidad no tiene derechos. Estas celdas de memoria también pueden contener datos confidenciales. Meltdown solo se puede ejecutar en procesadores con ejecución Out-of-Order, por lo que este exploit solo afecta a los procesadores Intel.

Spectre

El exploit Spectre consta de las vulnerabilidades CVE-2017-5715 y CVE-2017-5753. Estos usan la llamada ejecución especulativa de procesos en los que los procesadores ejecutan comandos posibles anticipados cuando no están en uso. Por ejemplo, durante este tiempo, se realizan cargas en la memoria en la memoria caché, ganando así una velocidad en la ejecución real. Con Spectre, un programa malicioso puede acceder a esta parte de la memoria caché y leer datos confidenciales, siempre que se encuentre en las celdas de la memoria de lectura. Sin embargo, a diferencia de Meltdown, los atacantes no tienen acceso a la memoria del sistema operativo, lo que hace que Spectre no sea menos peligroso.

Casi todos los procesadores modernos se ven afectados por este escenario de ataque – aquí cuentan igualmente Chips ARM, los cuales son integrados frecuentemente en dispositivos móviles.

No está construido sobre arena

No está construido sobre arena

El Sandbox de Hornetsecurity llega hasta el fondo de los ficheros maliciosos.

 

Uno de los puntos de entrada del malware sigue siendo el email. No importa si se trata de un archivo adjunto o a través de un enlace de descarga: una vez que el código malicioso se encuentre en los dispositivos locales, está claro que las medidas de seguridad han fallado. Y la carrera armamentística entre los atacantes y proveedores de seguridad informática persiste. Es por ello que Hornetsecurity continúa con el desarrollo de métodos de defensa, y uno de ellos es el Sandbox de Hornetsecurity Advanced Threat Protection (ATP), que examina a fondo los adjuntos de email y archivos sospechosos durante la reescritura de URL dentro de un ambiente controlado y aislado de otros sistemas. Para lograr un análisis preciso de los ficheros, se emplean diferentes técnicas.

 

Análisis estático

 

Antes de colocarlos en el Sandbox, se analizan los archivos en condiciones de análisis estático, sin ejecutarlos. Aquí, el sistema de reconocimiento revisa los metadatos generales del archivo, como la fecha de creación, la fecha de modificación y el autor. Además, se realiza un análisis de las macros de archivos de Office y código de JavaScript en ficheros PDF. Se escanean cada una de las secciones de un Portable Executable -en archivos ejecutables de Windows- para detectar contenidos críticos. Durante este proceso, el sistema recoge información acerca de las bibliotecas utilizadas, por ejemplo, para identificar si el archivo se comunica con Internet. Además, se analizan los caracteres de salida legibles. De esta manera, por ejemplo, pueden detectarse visitas a sitios web sospechosos incluso antes de que se ejecute el archivo. El análisis estático también incluye la revisión del valor hash del archivo a través de una variedad de programas antivirus.

 

Durante el análisis estático, un algoritmo “diseca”, en sentido literal, al archivo, con el fin de descubrir la mayor cantidad de información posible, y usarla como base para el desarrollo de la firma del virus. Estas firmas se utilizan para identificar a cada virus según sus patrones específicos.

 

La siguiente captura de pantalla muestra el código de un macro de Office durante el análisis estático.

 

 

 

El análisis del Sandbox

 

El análisis dinámico de los archivos se lleva a cabo en un Sandbox. En este punto, el motor de Sandbox analiza todos cambios en el sistema mientras el archivo se ejecuta. Este documenta el comportamiento de los procesos de sistema, las llamadas y cambios en el registro, y luego analiza todo esto en búsqueda de actividades anormales (captura de pantalla 2). Además, se registra todo el tráfico de red del sistema para detectar conexiones sospechosas. Si el archivo intenta comunicarse con un servidor de comando y control y carga aún más código malicioso, el Sandbox intercepta este proceso y quita el malware. Durante la ejecución del archivo, el sistema automáticamente toma capturas de pantalla de todas las llamadas.

 

Luego de haber completado el análisis dinámico, se restablece a su estado previo el entorno virtual de Sandbox que se usó para ejecutar el archivo. De esta forma, en caso de infección, puede limpiarse el sistema de cualquier rastro de malware.

 

 

Con base en todos los análisis disponibles, el Sandbox evalúa el riesgo potencial del archivo. Esto da como resultado un valor de entre 0 y 10.

 

El nuevo reporte de ATP

 

Con la actualización del Sandbox a la versión 2.0, ATP-Report ha sido revisado a fondo. Aquí, los usuarios de ATP podrán conseguir información detallada sobre el archivo analizado.

 

El resumen recoge los principales puntos de análisis. Además del análisis de riesgo del archivo (captura de pantalla 3), el informe muestra las firmas de virus correspondientes y las divide según el nivel de amenaza en tres categorías: atención, advertencia y peligro (captura de pantalla 4). También enumera las capturas de pantalla generadas durante el análisis del Sandbox (captura de pantalla 5).

 

 

 

 

Los otros menús del reporte de ATP muestran los resultados del análisis detallado.

 

Análisis del Sandbox de ATP con nueva apariencia

 

Análisis del Sandbox de ATP con nueva apariencia
Además de la revisión del reporte de ATP, la última actualización trae muchas mejoras al Sandbox. Entre otras cosas, es capaz de analizar completamente todas las aplicaciones de 64 bit. Además, los especialistas de Hornetsecurity revisaron el sistema de evaluación y llevaron a cabo actualizaciones con nuevas firmas y comportamientos de virus. También agregaron análisis estático a través de mejoras al motor de análisis de código JavaScript en archivos PDF, junto con importantes mejoras en la infraestructura y los sistemas de Sandbox, para aumentar considerablemente el rendimiento y la capacidad de análisis.

 

Desarrollo continuo

 

El laboratorio de seguridad de Hornetsecurity trabaja constantemente en la mejora del Sandbox, de modo que sea capaz de detectar las amenazas más recientes y sofisticadas. Para poder responder a ataques nuevos en cualquier momento, se añaden nuevas firmas de virus, y se mejoran las existentes. Asimismo, pueden emplearse fragmentos de comportamiento general y tráfico de red para obtener reglas generales que ayuden a detectar nuevos tipos de Malware.

 

Así es como funciona Advanced Threat Protection de Hornetsecurity en detalle: