Por
Chris Palm,
El
reciente Informe de Amenazas de McAfee Labs: Diciembre de 2016, ilustra cómo
los atacantes están creando malware difícil de detectar infectando código
legítimo con troyanos, y aprovechando esa legitimidad para que permanezcan
ocultos tanto tiempo como sea posible. El autor, Craig Schmugar de McAfee Labs,
también recomienda políticas y procedimientos que le ayudarán a protegerse
contra este tipo de ataques. El siguiente es un extracto del artículo sobre el importante tema de Schmugar.
El
concepto de acceso por puerta trasera es algo que ha sido codiciado por los
autores de malware, espías y estados-nación durante décadas. Las tácticas para
lograr estas metas varían desde persuadir a las víctimas a través de técnicas
de ingeniería social para que entreguen las llaves a sus dispositivos e
interceptar hardware en la cadena de suministro, hasta insertar puertas
traseras para obtener acceso remoto. Sin embargo, el método más común es a
través del despliegue de software troyano.
La
mayoría de las aplicaciones maliciosas hoy sirven con un propósito, dar lucro a los maleantes,
sometiendo a sus víctimas a ataques. Los objetivos tácticos de esos crímenes
son generalmente llegar al blanco, establecer una presencia, y persistir por un
período de tiempo prolongado. Para lograr sus objetivos, los atacantes atraen a
las víctimas a través de la ingeniería social o interceptan su uso de equipo
cotidiano, la mayoría de las veces a través de la explotación de
vulnerabilidades. En cualquier caso, la meta es que los desafortunados que se
cruzan con código malicioso no se den cuenta.
Mientras
más tiempo pasen inadvertidos los ataques, mayor será la recompensa. Con este
fin, los atacantes son cada vez más sofisticados generando creaciones duraderas
y completamente indetectables. Mientras más auténtica parezca una porción de
código, más probablemente se pasará por alto. Este es el principal factor
impulsor de una tendencia creciente de "Troyanizar" las aplicaciones
legítimas, que son inyectadas con código malicioso que no se replica.
El
uso indebido de aplicaciones respetables brinda a los atacantes diversos
beneficios. Las cargas son ocultas detrás de una marca reconocible,
contribuyendo a la impresión de legitimidad y ayudando a garantizar que
determinados usuarios muerdan el anzuelo. Este reconocimiento de la marca
continúa después de que un sistema ha sido puesto en riesgo, mediante
directorios, archivos, procesos, y nombres de clave de registro y atributos
reconocibles. Estos elementos pueden proporcionar cobertura durante análisis de
seguridad y análisis forenses, con propiedades reconocibles que se mezclan con
cientos o incluso miles de programas conocidos.
Otro
beneficio es la persistencia integrada, o un método de reinicio de código que
anteriormente estaba terminado. La persistencia de malware cae en una de dos
categorías: auto-persistencia, que involucra la instalación de ganchos de
arranque para soportar reinicios; y persistencia de acompañamiento, que
aprovecha los ganchos de arranque existentes para cargar automáticamente antes,
durante o después de otras aplicaciones deseadas. Cada cambio de sistema
realizado por código malicioso es un indicador de la puesta en riesgo. Así que
mientras menor sea el número de cambios, menor será la superficie de detección.
El troyanizar aplicaciones legítimas proporciona persistencia gratuita; el
método natural del software de inicio es todo lo que se necesita para cargar
código malicioso. De hecho, si el programa se ejecuta manualmente de manera
periódica, entonces la persistencia es auto-perpetuada por las propias
víctimas.
+++
No hay comentarios:
Publicar un comentario