EF480 - Eurofach Electrónica

INVESTIGACIÓN 44 caracteriza por su resiliencia y resis- tencia a ser detectado y eliminado. Utiliza enfoques como, por ejemplo, malware sinficheros enRAM,malware embebido de forma esteganográfica y subliminar. • Malware desconocido y 0-day. Su diseño no se conoce, utilizamúltiples vulnerabilidades 0-day. • Malware dirigido. Es no detectable y se caracteriza por transmitirse úni- camente a un conjunto de víctimas u objetivos específicos concretos. • Malware de una sola vez. Sólo infecta una vez, puede o no utilizar mecanismos de persistencia (si los utiliza puede infectar de otro modo las veces siguientes), puede o no hacer creer que se ha capturado, inhabilitado o limpiado. • Malware conocido. Ya sea recien- temente o desde hace mucho tiempo, pero puede incorporar nuevas capacidades de infección que desconcierten y desorientan y que persistan. • Malware sigiloso y oculto. No es detectable, es asintomático. Si se le intuye lanza contramedidas para engañar y deja que un clon se inac- tive o elimine como elemento de sacrificio. • Malware abierto. Si se detecta no se oculta, pero previamente ha dejado múltiples semillas de activación de nuevas infecciones malware en lugares ocultos y no imaginables. Las modernas especies de malware persistentes, con ganancia de función, multifuncionales y asintomáticos com- binan diferentes funcionalidades de las categorías anteriores por ejemplo malware de difusiónmasiva pero ade- más persistente, con funcionalidades dirigidas, conmúltiples comportamien- tos como espionaje de difusiónmasiva, bomba de tiempo de diferente valor por ejemplo para objetivos específicos, etc. UTILIZACIÓN DE LA INTELIGENCIA ARTIFICIAL PARA POTENCIA EL MALWARE La inteligencia artificial (IA) se utiliza desde hace tiempo para desarrollar malware cada vez más sofisticado. Emplea multiplicidad de tecnologías como redes neuronales profundas avanzadas, deep-learning, sistemas expertos, machine-learning, etc. Permite aumentar la efectividad del malware haciéndolo más indepen- diente, rápido, inteligente, capaz de operar de forma autónoma, capaz de elegir las técnicas de movimiento lateral, más complejo, más difícil de detectarlo e identificarlo (simula el comportamiento de aplicaciones legítimas) y oculta su presencia. Se auto-propaga tanto en redes como en dispositivos finales y memoria. Las áreas de acción de la IA a nivel de potenciar y empoderar el malware son: • Combinar diversas técnicas de infección/ciberataque. Al objeto de encontrar las opciones más efecti- vas que no pueden ser fácilmente detectadas y las prioriza sobre las alternativas con menos éxito. • Elmalwaredetecta entornos sospe- chosos. Si el algoritmo del malware detecta una máquina virtual (VM), sandbox, honeypot, honeynet, recintos de engaño/deception y de cautividad estancos, trampas malware, zona de confinamiento/aislamiento u otras herramientas de protección antima- lware, el malware asediado puede alterar su comportamiento o parar temporalmente su actividad para evitar su detección, incluso ocul- tándose de forma esteganográfica. • Implementar mecanismos de autodestrucción en el malware. Esto se activa si se detecta un com- portamiento indebido o peligroso. Inducido por un login de un pro- grama o perfil de usuario no estándar, el malware automáticamente activa un mecanismo de autodestrucción para evitar su detección o para hacer imposible un análisis ciber-forense ulterior, pero dejando previamente semillas malware bien ocultas. • Generar variantes de malware nuevas, tolerantes a fallos y muy difíciles de detectar. Ocultas la mayoría y dejando unas pocas dando la cara a hurtadillas. • Ajuste de características y enfoque del malware basado en el entorno. Si el malware desea dirigirse, por ejemplo, a navegadores Web, en vez de incorporar una lista completa de escenarios y navegadores en el malware, sólo necesita implantar unas pocas para las marcas más frecuentemente encontradas. El algoritmo de IA del malware uti- liza este entrenamiento y aprende directamente del dispositivo final la mejor forma de infiltrarse y los navegadores Web previamente no especificados y el menos popular. • Se oculta el malware en la red de la(s) victima(s). El malware puede monitorizar el comportamiento de los nodos y dispositivos de compu- tación finales de la red objetico del