Tercera parte del particionado múltiple “Defensa contra malware”

Los puestos de trabajo de nuestros analistas de malware no difieren de otros en las oficinas de Hornetsecurity, a pesar de que el Laboratorio de Seguridad es conocido como un “laboratorio”. No se encuentran matraces Erlenmeyer, tubos de ensayo y quemadores Bunsen, sino ordenadores normales. El trabajo se realiza de forma virtual, por ejemplo en Sandboxes o analizando el tráfico de datos. No obstante, no debe subestimarse la importancia de los analistas de malware, ya que garantiza que los sistemas de defensa de Hornetsecurity estén siempre lo más actualizados posible. esta es la única manera de mantener el alto estándar de calidad.

Pero, ¿cuál es el procedimiento para analizar el malware? Por lo general, hay un flujo de datos muy grande y continuo que analizar. La tarea principal es extraer información valiosa de estos datos brutos, procesarlos y hacerlos “inteligentes”. Con este fin, los analistas utilizan diversas herramientas y programas para responder a preguntas específicas: ¿Cuáles son los objetivos del malware? ¿Qué características son típicas del malware investigado? ¿Hay alguna evidencia de los atacantes? Idealmente, las acciones pueden derivarse de los hallazgos, como escribir nuevas reglas de filtro o crear algoritmos.

Dos tipos diferentes de análisis

Aquí se presentan con más detalle dos formas de analizar el malware. En el análisis estático, el propio código se visualiza sin ejecutar el malware, mientras que en el análisis dinámico, se realiza un seguimiento del comportamiento del código malicioso en un entorno seguro.

Hornetsecurity News


Manténgase informado

Suscríbase a Hornetsecurity News para recibir la información más reciente del área Cloud Security.

En el análisis estático, los analistas descomponen el malware hasta el más mínimo detalle para sacar conclusiones del propio código. Por ejemplo, se extraen cadenas significativas o se inician scripts de shell y se generan resultados adicionales con desensambladores. Aquí se puede encontrar información sobre las actividades del malware y las características que muestra – los llamados Indicadores de Compromiso (IoC). Basándose en los resultados, los sistemas de filtrado individuales pueden actualizarse para evitar nuevos ataques de este y otros programas maliciosos similares tan pronto como sea posible.

Una posibilidad para el análisis dinámico es dejar que el código malicioso realice su tarea en el entorno seguro de pruebas. Este método puede ser bien automatizado para obtener ciertos resultados. Los sistemas de filtrado pueden ser actualizados en estos. ¿Cambia el código ciertos archivos, hace cambios en el registro o ha adaptado generalmente la configuración del sistema a los servidores DNS, por ejemplo? ¿Con quién se pone en contacto el malware? Estas y otras preguntas pueden ser contestadas de esta manera.

Varias posibilidades de uso

La aplicación más obvia de los datos obtenidos del análisis de malware para las empresas de seguridad de TI es mejorar sus métodos de defensa y así proteger mejor a sus clientes de los ataques. Para ello, los analistas extraen ciertos patrones binarios y los utilizan para crear las llamadas reglas de Yara ,con las que se pueden encontrar, categorizar y agrupar muestras de malware. Las firmas de comportamiento aplicadas en el entorno de pruebas pueden detectar y categorizar ciertos patrones de comportamiento de código malicioso.

Un ejemplo: En el Sandbox, se abre un documento de Office en el archivo adjunto. Allí las firmas de comportamiento reconocen que el documento a examinar comienza a recoger y enviar información sobre las cuentas de usuario. Si este análisis se lleva a cabo en un entorno basado en la nube, es posible interceptar los correos electrónicos llamativos y así bloquear completamente los ataques. Todas estas y muchas otras medidas de defensa deberían ayudar a interceptar y prevenir un ataque lo antes posible, para que el daño causado por el malware sea lo más pequeño posible o, mejor aún, no ocurra en absoluto.

Muchos de los datos sin procesar obtenidos por el análisis de malware y los resultados derivados de él también son útiles para la prevención general. Los proyectos de investigación pueden beneficiarse de ello y poner sus resultados científicamente sólidos a disposición del público en general. Además, la publicación de análisis de malware también sirve para educar al público en general. Aumentar el conocimiento sobre los enfoques de los ataques cibernéticos y los ataques de malware ayuda a limitar sus tasas de éxito.