5 Ciberamenazas no cubiertas por los antivirus tradicionales

El primer virus informático del que se tiene constancia es Creeper, y se desarrolló en 1971. Creado en un entorno académico, el virus se desarrolló para demostrar la capacidad de un archivo para viajar a través de una red. En aquel momento, los programadores informáticos necesitaron seis meses para desarrollar un programa antivirus efectivo, al que llamaron Reaper. Esta fue la primera vez que se produjo una diferencia clara entre las amenazas y las medidas de defensa.

Desde entonces, los profesionales de la seguridad y los programadores informáticos han jugado al gato y al ratón. Como sector, detectamos amenazas, mejoramos nuestras defensas y repetimos este proceso tantas veces como sea necesario.

El funcionamiento de muchos programas antivirus tradicionales se basa en el uso de firmas. A medida que se detecta el software malicioso, se genera una firma que describe el archivo y se añade a una base de datos, la cual se comparte con los usuarios. Si el antivirus detecta un archivo en su equipo que coincida con una firma, lo pone en cuarentena o lo elimina. En diciembre de 2018, la tasa de detección de malware era alarmante: 350.000 nuevas amenazas cada día. Las soluciones antivirus basadas en firmas pueden tener dificultades a la hora de hacer frente a este tipo de volúmenes, lo que en muchos casos hace que los dispositivos queden expuestos.

A lo largo del tiempo, hemos podido contemplar el desarrollo de nuevos sistemas de defensa. Sin embargo, cada una de estas da lugar a un cambio de táctica por parte de los usuarios maliciosos. Estas modificaciones incluyen malware diseñado no solo para sacar partido a vulnerabilidades, sino también para superar las defensas antivirus. A continuación, detallamos los cinco tipos de ataques que no pueden detener los antivirus tradicionales.

Malware Polimórfico

Tal y como hemos comentado en la introducción, muchos programas antivirus tradicionales utilizan sistemas de detección basados en firmas. Esto supone comparar un archivo con una entrada conocida, llamada firma, en una base de datos de amenazas conocidas.

Este tipo de protección presenta algunos fallos. En primer lugar, el usuario del antivirus debe disponer de la lista más reciente de firmas, lo que requiere actualizaciones frecuentes por su parte. Si el usuario no lleva a cabo este proceso, estará desprotegido frente a los archivos más recientes. Asimismo, este método de protección es puramente reactivo. La empresa que desarrolla el antivirus debe conocer la firma antes de poder transmitirla a su base de usuarios. Asimismo, el malware suele emplear técnicas de protección para evitar la detección.

El principal fallo aquí suele ser la falta de información o una ausencia de cobertura temporal. El malware polimórfico se ha diseñado para sacar partido a este fallo. Si, por ejemplo, el malware es detectado por un antivirus, se regenerará utilizando nuevas características que no van a coincidir con las firmas asistentes. Esto dificulta la labor del antivirus a la hora de detener una infección. Asimismo, cada día se publican unas 350.000 nuevas variantes de malware . En un entorno como este, lo más probable es que los antivirus basados en firmas casi siempre vayan un paso por detrás.

Documentos convertidos en armas

Los criminales suelen sacar partido a las vulnerabilidades en diferentes formatos de documento para poner en peligro un sistema. Estos documentos suelen emplear scripts incrustados. Los usuarios maliciosos suelen ofuscar el código o el script en el interior de documentos convertidos en armas. Estos parecen inofensivos, incluso para los usuarios con formación, y superan las defensas de los antivirus porque este solo analiza el documento inicial en lugar del código o script posterior. Una vez ejecutado, el ataque se lleva a cabo en segundo plano, sin que el usuario sea consciente de ello.

Los criminales suelen utilizar archivos PDF de Adobe® con código JavaScript® integrado para ejecutar comandos del sistema operativo o descargar ejecutables para poner en peligro los dispositivos y redes a los que acceden. Los atacantes suelen utilizar scripts integrados para ejecutar comandos de PowerShell® . Puesto que esta tecnología está integrada en Windows® , estos ataques pueden dañar los terminales e incluso redes completas. Sin embargo, los PDF no son el único formato de archivo vulnerable. Los documentos basados en HTML y los de Office® suelen incluir este tipo de scripts maliciosos. Una solución de antivirus basada en la comparación de firmas ejecutables pasará por alto estos documentos convertidos en armas, ya que solo analizará el documento inicial y no el código malicioso que ejecuta el documento .

Descargas ocultas en el navegador

Las descargas ocultas en el navegador son archivos que se transfieren al terminal utilizando vulnerabilidades del navegador o de un complemento de este. En esta situación, el programa antivirus no suele activarse. La descarga puede proceder de un sitio web malicioso con un script comprometido o servicio publicitario, o podría tratarse de un sitio web malicioso configurado específicamente para iniciar la descarga. Estos ataques suelen iniciarse con acciones de phishing social o mediante correo electrónico, archivos adjuntos de correo o enlaces emergentes bien disimulados que conducen a los usuarios a un sitio web. A continuación, los criminales pueden sacar partido a las vulnerabilidades de los navegadores o complementos para descargar malware e iniciar el ataque.

Una vez que se completa, el usuario malicioso puede comenzar a causar daños, lo que puede incluir la instalación de un programa de criptominado, un troyano de acceso remoto o ransomware. En octubre de 2017, la ciudad de Issaquah (Washington) sufrió un ataque de ransomware que provocó que los servicios municipales dejaran de estar disponibles durante cuatro días. Todo comenzó con una descarga oculta, después de que un empleado abriera un PDF malicioso en un sitio web.

Ataques sin archivos

La mayoría de programas antivirus se basan en la inspección del contenido de un archivo tal y como se encuentra en el dispositivo. Sin embargo, si ni siquiera tenemos un archivo para empezar, es muy difícil que el antivirus pueda detectar un comportamiento malicioso.

Los ataques sin archivos se producen sin instalar una carga en el sistema, lo que hace que sea muy difícil detectarlos. Suelen ejecutarse en la memoria del terminal y utilizan PowerShell, rundll32.exe o cualquier otro recurso del sistema para infectar equipos. Los ataques sin archivos suelen empezar con documentos o scripts maliciosos en un sitio web, aunque esta no es la única forma en la que pueden infectar equipos.

Por ejemplo, cuando un terminal activa el protocolo de escritorio remoto (RDP), deja abierto un puerto de escucha en el equipo que puede permitir que alguien se conecte al equipo y comience a ejecutar procesos maliciosos, lo que incluye la descarga de malware basado en archivos, modificaciones del registro o robo de datos.

Si esto no le resulta lo suficientemente preocupante, SentinelOne ha detectado que se ha producido un incremento del 91 % en los ataques de malware sin archivos a lo largo de la primera mitad de 2018. A medida que aumenta la frecuencia de estos ataques, las empresas tendrán que recurrir a medidas más allá de la detección basada en datos para proteger mejor sus recursos y datos.

Malware Ofuscado

Anteriormente, hemos hablado sobre la forma en la que los profesionales e investigadores del campo de la seguridad juegan “al gato y al ratón” con los cibercriminales. Las empresas antivirus utilizan diferentes métodos para detectar el malware. Uno de los métodos de detección más habituales consiste en ejecutar los archivos en un entorno aislado con el fin de detectar un posible comportamiento malicioso. Otra modalidad consiste en analizar el código en busca de indicadores obvios de actividad peligrosa.

Los cibercriminales han encontrado métodos para superar estas estrategias. Al igual que los profesionales de la seguridad han desarrollado defensas para proteger sus datos y recursos, los atacantes también cuentan con opciones para proteger las cargas maliciosas incluidas dentro del malware.

Las versiones de malware más recientes detectan los entornos aislados y se mantienen inactivos hasta que acceden al entorno real del sistema. Esto evita que el antivirus pueda detectarlo mediante métodos basados en comportamiento.

Otra forma de evitar la detección del antivirus implica el uso de “paquetes” en los que se han aplicado medidas de cifrado o compresión para evitar que alguien pueda examinar el archivo. Como medida adicional, los desarrolladores del malware pueden ocultar el código malicioso dentro de un código inofensivo en un archivo.

Cualquiera de estas técnicas dificulta la labor de los investigadores en materia de seguridad a la hora de detectar (y comprender) estos archivos maliciosos. Asimismo, si utiliza un programa antivirus con análisis heurísticos en un entorno aislado, estas técnicas contribuirán a que el malware evada la detección antes de pasar al entorno real del sistema.

Cómo puede ayudarle SolarWinds

Para protegerse frente a las amenazas modernas, los proveedores de servicios gestionados (MSP) tienen que aplicar una estrategia de seguridad por capas. Al superponer varios controles de seguridad, podrá mitigar el riesgo de convertirse en víctima. SolarWinds MSP le ofrece dos plataformas de administración y supervisión remotas, SolarWinds® RMM y SolarWinds N-central® , que le ayudarán a ofrecer varias capas de protección a sus clientes. Si una solución antivirus no puede detectar una amenaza, puede usar el sistema de protección web para incluir los enlaces maliciosos en una lista negra, la protección del correo electrónico para evitar el correo no deseado y los intentos de phishing, y la administración de parches para cerrar las vulnerabilidades tanto en el sistema operativo como en software de terceros. Si a pesar de todo un ataque tiene éxito, podrá recurrir a la copia de seguridad y recuperación integrada para restaurar sus archivos o sistemas.

Asimismo, las dos plataformas cuentan con SolarWinds Endpoint Detection and Response (EDR), con la tecnología de SentinelOne® . SolarWinds EDR se ha diseñado para evitar, detectar y responder a las ciberamenazas en constante evolución en los terminales de los clientes. Esta solución va más allá del antivirus tradicional gracias a su enfoque sin firmas, lo que evita tener que esperar mientras se ejecutan análisis regulares o se lleva a cabo la actualización de las definiciones de firmas. Además, en el caso de ataque, EDR puede adoptar medidas para contener la amenaza, revertir sus efectos y devolver el terminal o los archivos comprometidos a un estado seguro de forma automática.