EF480 - Eurofach Electrónica

INVESTIGACIÓN 45 malware y construir patrones que se parezcan al tráfico de red autorizado/ legítimo (comunicaciones sublimi- nares, comunicaciones side-channel, uso de canales esteganográficos, uso de fraccionamiento de secretos, uso del cifrado-compresión, etc.). • Ayuda a que otros nodos de una botnet aprendan colectivamente e identifiquen las formas más efectivas de infección/ciberataque. Aprender y compartir información utilizando múltiples nodos infec- tados puede ser una ventaja para el malware ya que cada uno de los bots o zombis esclavizados de una botnet puede testear diferentes téc- nicas de infiltración y reportar los resultados obtenidos. Esto puede ayudar a agentesmalware (existentes o adicionales) a aprender más sobre la infraestructura a infectar en un espacio de tiempo menor. • Aumenta la velocidad de la infec- ción/ciberataque. La velocidad de una infección malware puede ser crucial. Los algoritmos de IA del malware pueden realizar la extrac- ción o robo de datos mucho más rápido de lo que necesitaría una persona, haciendo más difícil de detectar y casi imposible de pre- venir, ya que el malware puede copiar y sacar los datos del perí- metro protegido antes de que los mecanismos de protección/defensa puedan reaccionar a tiempo. • El malware decide si el dispositivo de computaciónque visita unaWeb infectadamerece la pena. Para ello monitoriza el tráfico y selecciona quienes sonmás valiosos y les inyecta el malware. TÁCTICAS YMECANISMOS PARA IDENTIFICAR MALWARE Actualmente existe una carrera por identificar y detectar todo tipo de malware. Algunas de las tácticas y mecanismos existentes son: • Análisis estático de malware. Consiste en analizar el malware sin ejecutarlo. Se utilizan herramientas que utilizan las propiedades sin- tácticas o estructurales conocidas del código malware para extraer información del fichero infectado. A veces se utiliza el análisis basado en línea de comandos para extraer información. La información reco- gida durante este tipo de análisis es simple y no siempre suficiente para sacar una conclusión sobre el rastro malicioso del fichero. Para actuar contra malware polimórf ico se puede utilizar un análisis estático del programa basado en un grafo de flujo de control para el malware que se va a analizar, es un grafo cuyos nodos son los bloques básicos del programa donde un bloque básico es una secuencia de instrucciones con al menos una instrucción de flujo de control (tipo jump, call, etc.) al final del bloque y donde las aristas del grafo son los posibles caminos entre bloques básicos. Aunque se introduzcan grupos de instrucciones en el código malware sin ningún efecto semantiene el flujo de control básico. Por tanto, el grafo de flujo de control del malware original y del polimórfico tendrían la misma forma. El grafo de flujo de control actúa como una firma del malware. • Análisis dinámico de malware. El malware se analiza mientras se ejecuta en el sistema. Se ejecuta en un entorno controlado (de confina- miento-aislamiento) para evitar la transferencia del malware a otros dispositivos, entidades, sistemas o redes. Implica observar el malware interactuando con el sistema. Se toma una “instantánea” del estado original de la máquina virtual, se introduce, se ejecuta y se comparan el estado final con el original para observar los cambios. Los cambios monitorizados se utilizan para eliminar la infección de los sistemas contaminados y modelizar las firmas de forma más efectiva que el análisis estático. El análisis dinámico permite observar las APIs, llamadas de función del sis- tema pedidas, ficheros creados y/o borrados, cambios del registro y los datos procesados por el malware y como interactúa con el sistema • Detección de malware basada en firmas. Utiliza secuencias de código de bytes específicos que identifican de forma única una muestra de malware de una familia o variante concreta de ellos para detectar la presencia de ficheros codificados similares en un sistema de compu- tación. La secuencia de código de bytes única se guarda en la base de datos del antimalware/AV en forma de firmas y las desarrollan grupos de expertos en malware después de un análisis detallado de un número importante de malware (recogidas a nivel mundial, por ejemplo, en honeypots/honeynets, etc.). Cualquier fichero escaneado por un AV que encuentre que contiene la firma de una secuencia de código de bytes única se declara malicioso. Esto implica la necesidad de actualizar las firmas en el AV para poder detec- tar nuevos malware. Los malware 0-day lógicamente no se detectan.