SG34

CIBERSEGURIDAD 38 (a) Escaneo. El malware explora un conjunto de direcciones para identificar nuevos obje- tivos a infectar. El escaneo se realiza secuencialmente o de forma aleatoria, por ejemplo, se escanea un conjunto de dis- positivos de computación que tienen direcciones ordenadas o tienen direcciones elegidas de forma aleatoria. Escanean no sólo direcciones globales sino también direcciones locales. A veces el ancho de banda o velocidad se limita para evadir la detección del malware.• (b) Listas de objetivos pre-generadas. El malware posee anticipada- mente listas de objetivos. (e) Pasiva. El malware espera hasta que los dispositivos de compu- tación de las redes accedan o también observa de forma pasiva los comportamientos de los usuarios legítimos. Aunque la velocidad de infección con esta estrategia es baja puede realizarse sigilosamente ya que no se genera tráfico adicional a las redes. (II) Elementos de inteligencia. Se encargan de inspeccionar el dispositivo de computación víctima y obtiene su localización y capacidades como: la IMEI ((International Mobile Equipment Identity) que permite saber el modelo del dispositivo, marca, tipo, diseño, memoria, tipo de dis- play, existencia de pantalla táctil, tamaño de la SIM, información de la batería, sistema operativo, etc.), el nombre del host, la direc- ciones MAC e IP y una lista de ficheros para comunicarse con otros dispositivos infectados o un servidor central (por ejemplo, en base a comunicación subliminar, C&C, etc.). (III) Elementos de comunicación. Se encargan de comunicar la información de forma oculta, esteganograf iada, cif rada, codificada, comprimida, a tra- vés de canales subliminares, por canales C&C, etc. sobre las vulnerabilidades obtenidas en el elemento de reconocimiento y la localización y capacidades obtenidas por el elemento de inteligencia con otros disposi- tivos infectados o un servidor central. También le permite al malware actualizarse, recargar módulos de inteligencia artificial y aumentar su letalidad funcio- nal, ciberresiliente de forma no detectable, etc. El malware se comunica tanto con el interior como con el exterior, con máqui- nas virtuales (VM), servidores, virtual-clouds (nubes virtuales), virtual-fog, virtual-edge, etc. (IV) Elementos de comando. Se encar- gan de ejecutar los comandos del sistema operativo. (V) Elementos de ciberataque. Se encargan de lanzar ciber-ataques utilizando las vulnerabilidades (por ejemplo, el hospedaje directo de SMBv1 y se duplica el malware en los dispositivos objetivos-víctimas). UTILIZACIÓN DE LA INTELIGENCIA ARTIFICIAL EN LA CONSTRUCCIÓN DEL MALWARE Los modernos malware inteligentes modulares son ciberarmas, herramien- tas de ciberataque y ciberamenazas inteligentes autónomas basadas en inteligencia artificial (simplificadamente malware basado en IA) integran el potencial de automatizar capacida- des y procesos humanos haciéndolos para dañar e infectar: más ocultables, más adaptativos (a nuevos entornos y al conocimiento adquirido en el pasado sobremalware inteligente), más autóno- mos (capaces de elegir las técnicas de movimiento lateral lo que incrementa la probabilidad de infectar los objetivos destino), más rápidos, más modulares, con más capacidades de autopropa- gación (tanto utilizando redes, con funcionalidad gusano, como ficheros con funcionalidad de virus, como en memoria principal, tipo malware resi- dente sin ficheros, como en diferentes tipos de dispositivos de computación, red y objetos IoT/IIoT/IoMT), más efectivos, conmás elementos para realizar ganan- cia de funciones, más independientes, más complejos, más multifuncionales, más sigilosos, más asintomáticos, más sofisticados, más difíciles de identificar/ detectar, más capaces de encontrar el objetivo, por ejemplo, basados en téc- nicas Deep Learning, con capacidad de reconocimiento facial, reconocimiento de voz, geolocalización, etc. para iden- tificar su objetivo para el ciber-ataque, pensemos, por ejemplo, en eliminar un sujeto que puede conducir un determi- nado vehículo conectado/autónomo, circular en un transporte horizontal/ (c) Listas de objetivos generadas externamente. El malware obtiene dinámicamente listas de objetivos de servidores C&C (Command and Control) que apo- yan al malware controladas por robots/bots, entidades autónomas de inteligencia artificial, etc. (d) Listas de objetivos internas. El malware obtiene listas de dispo- sitivos de computación que han sido utilizadas en las redes desde información local, por ejemplo, el servicio NIS (Network Information Service) que gestiona las configura- ciones del sistema como nombres de host y del usuario distribuidos enmúltiples dispositivos de com- putación de la red local, el servicio universal de tiempo NTP, etc. Otra fuente de información local son las tablas ARP que describen las correspondencias entre dirección IP-L3 y dirección MAC-L2, tablas DNS que especifican las corres- pondencias entre direcciones IP-L3 y URL-L5, etc. Nuestra sociedad va siendo cada vez más cibernética, digital, basada/definida por software y datos

RkJQdWJsaXNoZXIy Njg1MjYx