Video: (Sandboxed) Windows Defender vs Zero Day Malware (Noviembre 2024)
Realizar un análisis dinámico de software desconocido en un entorno controlado, o "sandboxing", es una herramienta poderosa que los profesionales de seguridad utilizan para eliminar el malware. Sin embargo, los malos son sabios con la técnica y han introducido nuevos trucos para salir de la caja de arena y entrar en su sistema.
"El análisis dinámico es la forma correcta, y mucha gente lo hace", dijo Christopher Kruegel, cofundador y científico jefe de la compañía de seguridad LastLine. "Pero en realidad, eso solo está rascando la superficie". El antiguo modelo para soluciones AV se centró en listas de malware conocido y se protegió contra todo lo que coincidía con esa lista. El problema es que este método no puede proteger contra exploits de día cero o las innumerables variaciones en el malware existente.
Ingrese al sandboxing, que ejecuta software desconocido en un entorno controlado, como una máquina virtual, y observa si se comporta como un malware. Al automatizar el proceso, las compañías AV han podido proporcionar protección en tiempo real contra amenazas que nunca antes habían visto.
Rompiendo la caja de arena
Como era de esperar, los chicos malos han introducido nuevas herramientas para engañar a las cajas de arena para que ignoren el malware y lo dejen pasar. Kruegel citó dos formas en que el malware ha comenzado a hacer esto: el primero es el uso de disparadores ambientales, donde el malware verificará sutilmente para ver si se está ejecutando en un entorno de espacio aislado. El malware a veces verificará el nombre del disco duro, el nombre del usuario, si se instalan ciertos programas, o algún otro criterio.
El segundo y más sofisticado método que Kruegel describió fue el malware que realmente bloquea la caja de arena. En este escenario, el malware no necesita ejecutar ninguna verificación, sino que realiza cálculos inútiles hasta que se satisfaga el entorno limitado. Una vez que el sandbox ha expirado, pasa el malware a la computadora real. "El malware se ejecuta en el host real, realiza su bucle y luego hace cosas malas", dijo Kruegel. "Es una amenaza importante para cualquier sistema que utilice un análisis dinámico".
Ya en la naturaleza
Las variantes de estas técnicas para romper la caja de arena ya han encontrado su camino en ataques de alto perfil. Según Kruegel, el ataque a los sistemas informáticos de Corea del Sur la semana pasada tuvo un sistema muy simple para evitar la detección. En ese caso, Kruegel dijo que el malware solo se ejecutaría en una fecha y hora en particular. "Si la caja de arena lo consigue al día siguiente, o el día anterior, no hace nada", explicó.
Kruegel vio una técnica similar en el ataque de Aramco, donde el malware derribó miles de terminales de computadoras en una compañía petrolera del Medio Oriente. "Comprobaban que las direcciones IP eran parte de esa región, si su sandbox no está en esa área, no se ejecutaría", dijo Kruegel.
Del malware que LastLine ha observado, Kruegel le dijo a SecurityWatch que descubrieron que al menos el cinco por ciento ya usaba código de bloqueo.
La carrera armamentista AV
La seguridad digital siempre se ha tratado de una escalada con contramedidas que enfrentan nuevos contraataques para siempre. Evadir sandboxes no es diferente, ya que LastLine, la compañía de Kruegel, ya ha tratado de investigar más profundamente el malware mediante el uso de un emulador de código y nunca permitiendo que el malware potencial se ejecute directamente.
Kruegel dijo que también intentan "empujar" el posible malware a un mal comportamiento, intentando romper los posibles bucles de bloqueo.
Desafortunadamente, los productores de malware son infinitamente innovadores y, aunque solo el cinco por ciento ha comenzado a trabajar para vencer a los sandboxes, es una apuesta segura de que hay otros que no conocemos. "Cada vez que los proveedores presentan nuevas soluciones, los atacantes se adaptan, y este problema de sandbox no es diferente", dijo Kruegel.
La buena noticia es que, si bien el empuje y la atracción tecnológica podrían no terminar pronto, otros están apuntando a los métodos que usan los productores de malware para ganar dinero. Quizás esto afecte a los malos donde incluso la programación más inteligente no puede protegerlos: sus billeteras.
