Video: Emotet - The Evolution of Malware (Noviembre 2024)
Para las máquinas virtuales infestadas de malware que uso para probar productos antivirus, es déjà vu cada vez que comienzo una nueva prueba. Retrocedo la máquina virtual al mismo punto de partida exacto para cada prueba, luego instalo (o intento instalar) el antivirus y lo desafío a que limpie. Pero a veces sucede algo más; a veces el malware invita a amigos a jugar.
Los días en que el pirata informático solitario escribía virus solo por el placer de hacerlo han quedado atrás. Hoy en día existe todo un ecosistema de malware, y un componente próspero de ese ecosistema involucra situaciones de arrastre, situaciones en las que un ciberdelincuente paga a otro para aprovechar una nueva amenaza sobre el malware existente. Los que llamamos "cuentagotas" ni siquiera tienen una carga maliciosa; solo sirven como un pie en la puerta para otro malware.
¿Qué significa eso para mis pruebas? Cuanto más tiempo funcione un sistema infestado antes de que un nuevo antivirus pueda instalarse completamente y ejecutar un escaneo, mayores serán las posibilidades de que la infestación existente invite a amigos a una fiesta. La instalación de la protección en esos sistemas a veces lleva días de trabajo por parte del soporte técnico. Mientras se mantienen ocupados, también lo está el malware; ¡de miedo!
Gameover ZeuS
En la conferencia Malware 2013 el mes pasado, un estudiante de investigación holandés presentó un análisis muy detallado de Gameover ZeuS. Al igual que otras instancias del troyano ZeuS, esta red de malware tiene una variedad de funciones, pero principalmente tiene como objetivo robar información confidencial como credenciales bancarias en línea. Lo diferente de Gameover ZeuS es que, en lugar de un sistema centralizado de Comando y Control, utiliza una red distribuida de igual a igual, lo que hace que sea mucho más difícil de rastrear y erradicar. ¡Noticias para mí!
Imagine mi sorpresa, entonces, cuando recientemente recibí una nota de mi ISP diciendo que habían detectado tráfico de Gameover ZeuS proveniente de mi dirección IP. No, no detecté una infección del investigador. Por el contrario, una de mis muestras existentes invitó a un nuevo amigo a establecerse, posiblemente durante un maratón de soporte técnico inusual que duró mucho tiempo.
Hace años, cuando comencé a probar antivirus utilizando máquinas virtuales infestadas de malware en vivo, podía contar con que la población de malware de mis sistemas de prueba se mantuviera estable. Mientras no instalara muestras de malware que intentaran propagarse activamente por Internet, podría evitar ser parte del problema. La nota de mi ISP fue una llamada de atención. Si instalo una colección representativa de muestras de malware, simplemente no hay garantía de que una de ellas no cambie el comportamiento o traiga un compañero peligroso.
Game Over Indeed
Posiblemente podría cambiar los ISP y evitar avisos, pero esa no es una solución. En buena conciencia, no puedo continuar una práctica que pueda causar daño fuera de mis máquinas virtuales. No puedo simplemente cortar los sistemas de prueba de Internet, ya que muchas herramientas antivirus requieren una conexión. Y no tengo los recursos para replicar el tráfico de malware en un entorno cerrado, como lo hacen los grandes laboratorios de pruebas independientes. Voy a tener que abandonar las pruebas prácticas de malware en vivo.
En el lado positivo, los laboratorios de pruebas de antivirus independientes producen algunas pruebas realmente buenas en estos días. Haré más uso de esos resultados, definitivamente. Todavía probaré el filtrado de spam, la protección contra phishing, el bloqueo malicioso de URL, cualquier prueba que no implique la liberación potencial de malware activo. Y aún profundizaré en cada característica de cada antivirus, trabajando para identificar los mejores. Simplemente no ejecutaré ninguna prueba que pueda causar problemas en el mundo exterior.
Nueva prueba de día cero
Además, estoy agregando una nueva prueba para verificar qué tan bien cada antivirus maneja el bloqueo de descargas de amenazas extremadamente nuevas. La buena gente de MRG-Effitas, una firma de investigación de seguridad británica, me ha dado acceso a su inmenso feed de URL maliciosas en tiempo real. Al usar este feed, puedo verificar cómo un antivirus maneja un centenar de los archivos maliciosos más nuevos. ¿Bloquea la URL? ¿Bloquear la descarga? ¿Lo extraño totalmente? Espero tener esta nueva prueba totalmente en marcha.
