EF480 - Eurofach Electrónica

INVESTIGACIÓN 46 • Detección de malware basada en heurística. En este caso no existe la necesidad de saber demasiado sobre la estructura interna o la lógica del programa malicioso que se esta escaneando. El objetivo principal que trata alcanzar es una decisión tan conclusiva como sea posible utilizando el mejor camino óptimo. Los enfoques de detección basados en heurística utilizan algoritmos y/o reglas que escanean patrones conocidos. La mayor parte de anti- virus (AV) utilizan una combinación de motores heurísticos y escaners basados en firmas. La detección de malware basada en minería de datos se considera un enfoque de detección basada en heurística. La heurística es básicamente un conjunto de procedimientos para dar una solución en base a prueba y error o por reglas que sólo se han definido de forma aproximada. • Detección de malware basada en comprobar la integridad. Las infecciones necesitan hacer cam- bios en el entorno o dispositivo a infectar. Los comprobadores de integridad se utilizan bajo la base de que un fichero que existe en un entorno operativo no infectado se utiliza como patrón/medida para encontrar cualquier futuro cambio. Para ello se utilizan firmas digita- les y funciones hash como SHA512, SHA256, etc. para calcular el hash/ resumen del programa/fichero y almacenado en la base de datos offline para protegerse de modifica- ciones maliciosas. Posteriormente, los valores hash de los programas/ ficheros se recalculan y se comparan con los valores hash originalmente calculados para comprobar si el fichero se ha modificado. • Detección de malware basada en semántica. Se enfoca en identificar el malware deduciendo la lógica del código y comparándola con los patrones de lógica maliciosos conocidos. Sigue la semántica de las instrucciones del código dentro del fichero en vez de mirar a las propiedades sintácticas a diferencia de la detección basada en firma. Esto permite a los enfoques de detección basada en semántica superar la posible ofuscación del malware y poder detectar variantes de malware desconocidas. • Detección de malware basada en comportamiento. Se enfoca en utilizar el comportamiento y las actividades de las aplicaciones específicas y sistemas observados durante el análisis dinámico de las muestras para formar patrones que pueden utilizarse para identificar software que tenga patrones simi- lares de infección malware. Aunque estas técnicas son muy inmunes a la ofuscación, su aplicabilidad es limitada debido a su rendimiento ya que el análisis dinámico necesita tiempo y además el determinar las actividades no maliciosas dentro del ecosistema/entorno es complejo. PROTOCOLO DE BUENAS PRÁCTICAS CONTRA MALWARE Es fundamental el informar ya que es prevenir. El siguiente protocolo-código de buenas prácticas posibilita dificultar las infecciones y las transmisiones de malware: • No abrir ficheros adjuntos en correos electrónicos y otras aplicaciones simi- lares ya que podrían estar infectadas y menos de remitentes desconoci- dos. Abrir los correos electrónicos conocidos en texto plano, inhabilitar autoejecutables y pantallas emergen- tes. No dejar las sesiones abiertas, aunque figure esa opción por defecto. Cerrar las sesiones si la persona no se encuentra delante de su dispositivo o si la persona se encuentra ocupada haciendo otras cosas. • Evitar el uso de redes Wi-Fi no segu- ras en lugares públicos, estas redes posibilitan inyección de todo tipo de malware y ciber-ataques comoMITM (Man-In-The-Middle). Una contrame- dida es utilizar VPN para protegerse. • Complementar el control de acceso con el control del uso. No recargar la batería de nuestro smartphone en sitios públicos ya que podría utilizar conectores trucados con acceso a nuestros datos. • Realizar copias de seguridad o backup redundantes y en lugares remotos. Hacer copias de seguridad de los datos, por ejemplo, del smartphone, en base a un plan sistemático de sin- cronización de los datos importantes. • Actualizar todo el software: hiperviso- res, sistemas operativos, aplicaciones, navegadores Web (Chrome, Firefox, Internet Explorer, Opera, Netscape, Safari, etc.), etc. incluyendo los últi- mos parches y revisiones. Borre todo lo innecesario del escritorio, incluido software redundante, etc. ya que cuantos más servicios tenga más fácil será para el malware encontrar vulnerabilidades. • Revisar las configuraciones de todo el software, por ejemplo, que los navegadores Web avisen si algún programa abre la cámara Web para