Академический Документы
Профессиональный Документы
Культура Документы
Pngase en el papel de chico malo: Conocimiento de las amenazas avanzadas y cmo mitigarlas
Sinopsis
Qu eficacia tiene la violacin de datos ms habitual? Asombrosamente, una empresa promedio puede tardar
ms de 243 das i en detectar que se ha producido una violacin, en muchos casos nicamente cuando se lo
notifica algn tercero. A pesar de que su seguridad de TI tiene que funcionar perfectamente en todo
momento, los chicos malos solo tienen que estar acertados una sola vez. Sorprendentemente, un reciente
estudio de investigacin ii demostr que ms del 90% de las violaciones que tuvieron xito solo necesitaron
aplicar las tcnicas ms bsicas. Las cargas tiles (payloads) avanzadas de hoy en da pueden actuar durante
semanas o meses, enviando paquetes pequeos e inofensivos a servidores de comando y control a la vez que
exfiltran informacin segura o regulada de los sistemas. Este documento se centra en cmo funcionan las
amenazas avanzadas, cmo pueden entrar desde cualquiera de los extremos cada vez ms mviles que se
acoplan a la red y cmo la paciencia de los autores de malware permite ataques que sortean los controles
tradicionales y evitan las cajas de arena (sandboxes).
http://t2.gstatic.com/images?q=tbn:ANd9GcQxQU-LHKSGH1e3MoBDUBg3jp-fcWOZaYnEVufnjkhICp3AVLT-
Pngase en el papel de chico malo: Conocimiento de las amenazas avanzadas y cmo mitigarlas
El tiempo es oro
Aunque algunas amenazas evitan la deteccin enviando cantidades muy pequeas de datos en una rfaga
determinada, resulta fundamental detener estas cargas tiles de malware antes de que logren sus objetivos.
Desafortunadamente, muchas de estas amenazas siguen sin ser detectadas durante meses o, en algunos casos,
durante aos. Un clebre ejemplo es GhostNet, que se supo que haba infectado sistemas del gobierno y de
otros en ms de 100 pases y que actu sin ser detectado durante 10 meses hasta que fue descubierto en 2009.
Una vez que se infecta una empresa, cada segundo importa, aunque en muchos casos los recursos son escasos.
Los miembros actuales del personal de seguridad de TI, sometidos a una carga de trabajo elevada, apenas
consiguen anticiparse a la amplia gama de ciberataques sin comprometer el rendimiento de las aplicaciones o
el ancho de banda de red. El objetivo es claro: Detener estas amenazas avanzadas en el punto de infeccin
inicial, o paciente cero. Secuestrando la carga til y forzndola a entrar en detonacin en un entorno seguro y
de caja de arena (sandbox), los profesionales de la seguridad pueden comprender mejor para qu est
concebida la carga til y, ms importante, calcular las acciones correctoras necesarias. Estas pueden incluir la
activacin de sistemas de prevencin de intrusos (IPS) y firewalls se nueva generacin (NGFW) para detener las
amenazas antes de que se produzca la propagacin lateral, actualizando filtros y conjuntos de reglas.
http://t2.gstatic.com/images?q=tbn:ANd9GcQxQU-LHKSGH1e3MoBDUBg3jp-fcWOZaYnEVufnjkhICp3AVLT-
Pngase en el papel de chico malo: Conocimiento de las amenazas avanzadas y cmo mitigarlas
Las estrategias de prevencin de amenazas suelen utilizar un entorno de caja de arena (sandbox), que son
mquinas virtuales que imitan el entorno cotidiano en el que los creadores de malware se estn intentando
infiltrar. Con el aislamiento del malware en una mquina virtual (VM) que parece ser un sistema de produccin,
el objetivo consiste en que estas amenazas intenten ejecutar y llegar a sus servidores de comando y control
para recibir actualizaciones e instrucciones. Por lo tanto, los autores de las amenazas avanzadas han creado
nuevas tcnicas que permiten a su malware eludir defensas tpicas de sombrero blanco.
Estas tcnicas han llevado a la necesidad de disponer de una nueva clase de dispositivo de seguridad, el
dispositivo contra amenazas avanzadas (ATA). Los ATA se concibieron para ayudar a proteger a la empresa
contra estos ataques agresivos que utilizan tcnicas antievasin, ofreciendo un rico conjunto de contramedidas
y la capacidad de personalizar las cajas de arena (sandboxes) para que se parezcan exactamente al entorno de
produccin de un usuario. A continuacin, se muestran algunos ejemplos de tcnicas de evasin y la forma que
tienen los ATA de engaarlas.
-
Deteccin de hipervisor El malware se suele concebir para detectar el entorno de ejecucin con el fin
de determinar si una mquina virtual ha situado el cdigo en una caja de arena (sandbox). Si el malware
determinara que no se encuentra en el entorno de produccin, la carga til no se detonar. Por
ejemplo, el malware podra intentar ejecutar operaciones solo disponibles en una mquina virtual y, si
no se devuelve ningn error, asume que el sistema est virtualizado y evita la detonacin del malware.
Cmo se derrota Los hipervisores habituales pueden deshabilitar las puertas traseras de deteccin de
las mquinas virtuales. Busque los ATA que puedan utilizar su control del hipervisor subyacente para
bloquear esta tcnica de evasin y engaar al malware en la creencia de que se encuentra en el entorno
de produccin.
Deteccin de dispositivos virtuales Algunas variedades de malware tienen la capacidad de decodificar
nombres habituales de dispositivos virtuales para DVD, disco y tarjetas de red, otra indicacin de que la
carga til no se encuentra en la red de produccin y que por lo tanto no ejecutar el malware.
Cmo se derrota Algunos ATA utilizan un proceso tipo guardin que intercepta bsquedas de
dispositivos virtuales y evita que se devuelvan resultados que indiquen un entorno virtual.
Deteccin de direcciones de red Ya que las direcciones MAC predeterminadas utilizadas por los
hipervisores habituales estn publicadas, el malware puede utilizar fcilmente dicha informacin para
detectar la presencia de mquinas virtuales y evitar la detonacin de la carga til. Si se detectara que la
direccin MAC se corresponde con alguna de estas direcciones predeterminadas, el malware
permanecer en estado latente.
Cmo se derrota Con la colaboracin de fabricantes de hardware clave, los ATA utilizan prefijos de
direcciones MAC de hardware de terceros de dichos proveedores para ayudar a combatir la deteccin
de prefijos de direcciones MAC.
Deteccin de cdigo de licencia/BIOS Ya que los hipervisores se identifican ellos mismos en
ubicaciones de registro de Windows, los ciberdelincuentes pueden utilizar su conocimiento sobre los
cdigos de Activacin de Windows de los proveedores de seguridad para determinar si deben o no
desplegarse. Por ejemplo, si el malware examinara el registro y localizara cdigos de activacin VMware
http://t2.gstatic.com/images?q=tbn:ANd9GcQxQU-LHKSGH1e3MoBDUBg3jp-fcWOZaYnEVufnjkhICp3AVLT-
Pngase en el papel de chico malo: Conocimiento de las amenazas avanzadas y cmo mitigarlas
o Xen, podra asumir que se encuentra en un entorno virtual y no se ejecutar. Las Licencias por
volumen (VL) de Windows tambin representan un objetivo. Un ataque financiado por un estado podra
comprobar la licencia por volumen de un objetivo en un consulado extranjero con respecto a una
licencia por volumen obtenida durante la fase de reconocimiento de un ataque realizado mediante un
fragmento benigno de cdigo. Esta VL se aade a la carga til real y si la caja de arena (sandbox)
presentara otra VL preestablecida o incluso una VL aleatoria que no coincidiera, la carga til no se
detonar.
Cmo se derrota Los ATA ms avanzados utilizan procesos de tipo guardin para monitorizar y evitar
bsquedas de registros especficos, adems de registrar intentos de bsqueda que tendrn un impacto
en la calificacin del anlisis virtual. Adems, los ATA burlan las comprobaciones de VL incorporando las
VL de clientes reales al personalizar la caja de arena (sandbox).
Deteccin de controladores Las mquinas virtuales suelen utilizar controladores y agentes invitados
concebidos para acelerar operaciones de VM invitadas. Para los creadores de amenazas representan
otro indicador claro de que se encuentran en una VM y evitarn la detonacin.
Cmo se derrota La tecnologa de caja de arena de los ATA puede seleccionar controladores
predeterminados especficos para evitar la necesidad de herramientas adicionales. El ATA tambin
monitoriza las llamadas de registro y de API que indican la deteccin de controladores.
Deteccin de CPUID Las mejoras en los hipervisores de mquinas virtuales con respecto a las
asignaciones de memoria de la placa base e instrucciones de la CPU, tambin estn siendo descubiertas
fcilmente por cdigo malicioso a travs del examen del registro que contiene el estado de la CPU,
determinando tambin si el cdigo se est ejecutando en una VM o no. Si el malware detectara este
entorno virtual, no se ejecutar.
Cmo se derrota Con el uso de tcnicas especiales de desensamblador de cdigo, un ATA puede
detectar y registrar la presencia de intentos de deteccin de CPUID para alertarle de malware.
Deteccin de interacciones humanas Si no hubiera ningn signo de interaccin humana detectada
por el malware, la carga til no se detonar. El malware suele concebirse para buscar actividad de
teclado y ratn; si no se produjera nada, la hiptesis seguir siendo que el malware se encuentra en una
VM.
Cmo se derrota Un algoritmo aleatorizado complejo que imita las interacciones de ratn, teclado y
otras interacciones, indica la presencia humana, lo que hace que el malware crea que se encuentra en
una mquina real y no en una VM.
Evasin de temporizador Los temporizadores aleatorizados puestos en marcha antes de la detonacin
y las tcnicas de aceleracin habituales de los temporizadores por parte de los proveedores de
seguridad tambin son detectados por amenazas avanzadas, que utilizan y manipulan los
temporizadores y el reloj del sistema para determinar el momento en el que se desplegar su carga til.
Si el malware detectara un reloj acelerado, no se detonar en la caja de arena (sandbox).
Cmo derrotarlo Los ATA utilizan la aceleracin del tiempo y la interceptacin de temporizadores
latentes relacionados con llamadas de la API para desbaratar esta tcnica de evasin.
http://t2.gstatic.com/images?q=tbn:ANd9GcQxQU-LHKSGH1e3MoBDUBg3jp-fcWOZaYnEVufnjkhICp3AVLT-
Pngase en el papel de chico malo: Conocimiento de las amenazas avanzadas y cmo mitigarlas
Qu es lo ms importante?
Todos los dispositivos contra amenazas avanzadas no son iguales. Cuando seleccione una solucin, asegrese
de que el ATA que escoja pueda abordar las tcnicas de evasin indicadas anteriormente. Aqu se incluyen
otros consejos para ayudarle a elegir la opcin correcta para su entorno e infraestructura:
1. Asegrese de que se tenga en cuenta la localizacin, especialmente en el caso de los idiomas. Si su ATA
no "hablara" portugus, probablemente no podr aislar el malware diseado para sistemas brasileos.
Por ejemplo, si el malware estuviera atacando una empresa brasilea, buscar el portugus para
asegurarse de que se est detonando en el lugar correcto. Para Canad, se prueba el francs canadiense
o el ingls. Si su dispositivo de seguridad solo ofreciera una caja de arena (sandbox) en ingls de Estados
Unidos, el malware concebido para atacar sistemas extranjeros no podr detonarse en la caja de arena,
y por lo tanto nunca se detectar.
2. Tal y como se mencion anteriormente, la imitacin de la interaccin humana representa otro
elemento clave. Esta tcnica de evasin ha estado creciendo en popularidad y es un elemento crtico de
cualquier ATA. Estos ataques dirigidos son suficientemente inteligentes para buscar pulsaciones de
teclas y movimiento del ratn, lo que no es habitual en una caja de arena virtualizada. Si no existiera
ninguna interaccin humana, el malware no se detonar en la caja de arena.
3. La replicacin de un entorno de produccin de trabajo es un aspecto crtico para la capacidad de
detonacin de cargas tiles de un ATA. Adems de las contramedidas, asegrese de que el entorno de la
caja de arena tambin incluya aplicaciones empresariales que el malware esperara ver en servidores de
produccin. Otras tcnicas de los ATA que suelen ignorarse habitualmente incluyen la utilizacin de
memorias USB falsas y datos confidenciales falsos como por ejemplo SSN y nmeros de tarjetas de
crdito, para ayudar a detectar mecanismos de propagacin USB y robos de datos habituales.
4. Asegrese de que su ATA pueda analizar archivos grandes y pequeos. La mayora del malware intenta
introducirse discretamente en su entorno en forma de paquetes pequeos que integran el malware, de
forma parecida a un conjunto de piezas de lego. Por ese motivo, algunos ATA solo se fijan en archivos
ms pequeos, y muchos no se fijan en aquellos que superen 6-7 MB. Como nos encontramos en un
juego del gato y el ratn, algunos de los creadores de malware estn creando archivos ms grandes
para conseguir eludir los ATA.
5. El ATA tiene que formar parte de una conversacin. Debe comunicarse fcilmente con consolas de
gestin, incluyendo firewalls de nueva generacin y sistemas de prevencin de intrusos para detener
eficazmente la propagacin lateral antes de que pueda iniciarse. Un ATA tambin debe implementar
servidores antivirus falsos que se monitoricen con respecto a posibles abusos. Cuando las cargas tiles
intenten deshabilitar el software antivirus ficticio, el ATA sabr que el software es malicioso.
Por qu ahora?
http://t2.gstatic.com/images?q=tbn:ANd9GcQxQU-LHKSGH1e3MoBDUBg3jp-fcWOZaYnEVufnjkhICp3AVLT-
Pngase en el papel de chico malo: Conocimiento de las amenazas avanzadas y cmo mitigarlas
De acuerdo con el reciente estudio de IDG titulado, Detecting and Containing Advanced Threats" (Deteccin y
contencin de amenazas avanzadas), la preocupacin sobre las amenazas avanzadas est creciendo de varias
formas. El 55% de los encuestados indic que el concepto de sistemas 100% seguros era una quimera, algo
completamente inalcanzable. Resumiendo, solo el 5 por ciento tena confianza de que su seguridad de red
actual detendra las amenazas actuales concebidas para infectar los sistemas y perjudicar a los usuarios. El
aislamiento de las amenazas avanzadas supone un desafo complejo, que se refleja cuando la mitad de los
encuestados indicaron que deben tomarse "varias" medidas para identificar el objetivo inicial de un ataque.
Adicionalmente, la mayora de las organizaciones se encuentran mal dotadas para tomar acciones correctivas
una vez que haya comenzado un ataque; aproximadamente, solo un tercio de los encuestados indicaron que
tenan la capacidad para poner en cuarentena usuarios y sistemas infectados.
Las amenazas avanzadas pueden mantenerse en sistemas sin que sean detectadas durante semanas o meses, o
incluso ms tiempo. Teniendo en cuenta que los creadores de malware estn desarrollando estrategias nuevas
y especficas para cada tipo de organizacin pblica y privada, el momento de desarrollar su plan para aislar y
derrotar dichas amenazas ha llegado.
i
ii
http://t2.gstatic.com/images?q=tbn:ANd9GcQxQU-LHKSGH1e3MoBDUBg3jp-fcWOZaYnEVufnjkhICp3AVLT-