Video: COMO DETECTAR Y ELIMINAR MALWARE, SPYWARE Y TROYANOS PARA WINDOWS 10, 8 Y 7 (Noviembre 2024)
De acuerdo con Palo Alto Networks, el malware basado en web es mejor para evitar las defensas de seguridad tradicionales que el malware transmitido por correo electrónico.
Si bien el correo electrónico sigue siendo una fuente principal de malware, la gran mayoría de los malware desconocidos se envían a través de aplicaciones web, Palo Alto Networks encontró en su informe Modern Malware Review publicado el lunes. Casi el 90 por ciento de los usuarios de "malware desconocido" encontrados provienen de la navegación en la Web, en comparación con solo el 2 por ciento que proviene del correo electrónico.
"Malware desconocido" en este informe se refería a muestras maliciosas detectadas por el servicio en la nube Wildfire de la compañía que se perdieron seis productos antivirus "líderes en la industria", dijo Palo Alto Networks en el informe. Los investigadores analizaron datos de más de 1, 000 clientes que implementaron el firewall de próxima generación de la compañía y se suscribieron al servicio opcional Wildfire. De las 68.047 muestras marcadas por WildFire como malware, 26.363 muestras, o el 40 por ciento, no fueron detectadas por los productos antivirus.
"Un volumen abrumador de malware desconocido proviene de fuentes basadas en la web, y los productos AV tradicionales funcionan mucho mejor en la protección contra el malware entregado por correo electrónico", dijo Palo Alto Networks.
Mucho esfuerzo para permanecer sin ser detectado
Palo Alto Networks descubrió que la inteligencia del malware está "muy bien" dedicada a permanecer sin ser detectado por las herramientas de seguridad. Los investigadores observaron más de 30 comportamientos dedicados a ayudar al malware a evitar la detección, como hacer que el malware "duerma" durante mucho tiempo después de la infección inicial, deshabilitar las herramientas de seguridad y los procesos del sistema operativo. De hecho, de la lista de actividades y comportamientos de malware que observó Palo Alto Networks, el 52 por ciento se centró en evadir la seguridad, en comparación con el 15 por ciento que se centró en la piratería y el robo de datos, según el informe.
Informes anteriores de otros proveedores han señalado la gran cantidad de malware desconocido para argumentar que los productos antivirus fueron ineficaces para mantener a los usuarios seguros. Palo Alto Networks dijo que el objetivo del informe no era llamar a los productos antivirus por no detectar estas muestras, sino identificar las similitudes en las muestras de malware que podrían usarse para detectar amenazas mientras esperan que los productos antivirus se pongan al día.
Casi el 70 por ciento de las muestras desconocidas exhibieron "identificadores o comportamientos distintos" que podrían usarse para el control y el bloqueo en tiempo real, encontró Palo Alto Networks en su informe. Los comportamientos incluyeron tráfico personalizado generado por el malware, así como los destinos remotos con los que se contactó el malware. Aproximadamente el 33 por ciento de las muestras se conectaban a dominios recién registrados y dominios que usaban DNS dinámico, mientras que el 20 por ciento intentó enviar correos electrónicos, según el informe. Los atacantes suelen utilizar DNS dinámico para generar dominios personalizados sobre la marcha que pueden abandonarse fácilmente cuando los productos de seguridad comienzan a incluirlo en la lista negra.
Los atacantes también usaron puertos web no estándar, como el envío de tráfico no cifrado en el puerto 443, o el uso de puertos que no sean 80 para enviar tráfico web. FTP generalmente usa los puertos 20 y 21, pero el informe encontró malware que usa otros 237 puertos para enviar tráfico FTP.
Retrasos en la detección de malware
Los proveedores de antivirus tardaron un promedio de cinco días en entregar firmas para muestras de malware desconocidas detectadas por correo electrónico, en comparación con casi 20 días para las basadas en la Web. FTP fue la cuarta fuente de malware desconocido, pero casi el 95 por ciento de las muestras permanecieron sin ser detectadas después de 31 días, encontró Palo Alto Networks. Según el informe, el malware entregado a través de las redes sociales también tenía variantes que los antivirus no detectaron durante 30 días o más.
"No solo es mucho menos probable que las soluciones AV tradicionales detecten malware fuera del correo electrónico, sino que también lleva mucho más tiempo obtener cobertura", encontró el informe.
Las diferencias en el tamaño de la muestra afectaron la efectividad del antivirus en la detección de malware, dijo Palo Alto Networks. Para las amenazas transmitidas por correo electrónico, el mismo malware a menudo se entrega a muchos objetivos, lo que hace que sea más probable que el proveedor de antivirus detecte y analice el archivo. Por el contrario, los servidores web utilizan el polimorfismo del lado del servidor para personalizar el archivo malicioso cada vez que se carga la página web del ataque, creando una mayor cantidad de muestras únicas y haciendo que las muestras sean más difíciles de detectar. El hecho de que el correo electrónico tampoco necesita ser entregado en tiempo real significa que las herramientas antimalware tienen tiempo para analizar e inspeccionar los archivos. La Web es "mucho más en tiempo real" y brinda a las herramientas de seguridad "mucho menos tiempo para inspeccionar" los archivos maliciosos antes de entregarlos al usuario.
"Creemos que es crucial para las empresas reducir el volumen general de infecciones por variantes de malware conocido, para que los equipos de seguridad tengan tiempo de concentrarse en las amenazas más graves y específicas", según el informe.
