Threat emulation es una técnica clave para prevenir ataques dirigidos o de día cero

El cibercrimen se ha vuelto un gran negocio y, como en cualquier otro, los criminales desean incrementar sus ganancias, así como ganar cuota de mercado. Para incrementar la posibilidad de éxito, atacan cientos, incluso miles de empresas. En 2012 se crearon y distribuyeron a diario un promedio de 70.000 a 100.000 nuevos ataques de malware – diez veces más al día que en 2011 y cien veces más que en 2006. El informe de seguridad 2013 de Check Point descubrió que el 63% de las organizaciones están infectadas con bots y que más de la mitad son infectadas con malware nuevo al menos una vez al día. Mantenerse al día con este crecimiento tan extenso es imposible para todos aquellos que elijan enfoques antimalware convencionales.

Ocultarse a plena vista

El malware sigiloso, la técnica de ataque más frecuente, es difícil de detectar y está diseñada para operar por debajo del radar de los equipos de TI. En la mayoría de estos nuevos tipos de malware el código está oculto en los formatos de archivos más comunes que todos utilizamos en el trabajo –emails y sus adjuntos, incluyendo documentos de Word, PDFs, hojas de cálculo de Excel, etc.-. Los kits de herramientas de los que disponen los hackers pueden esconder estos scripts ejecutables para ocultar las acciones de tipo malicioso, lo que puede suponer un cambio en el registro del ordenador del usuario o la descarga de un archivo ejecutable que puede ser capaz de infectar la red.

A pesar de que tener defensas por capas gracias a una solución IPS o un IDS puede ayudar a bloquear algunas acciones de malware, estas opciones no son capaces de frenar las infecciones que alcanzan la red y se extienden a través de ella. Para los nuevos ataques, o incluso para las variantes de ataques ya conocidos, no existen firmas que las defensas convencionales puedan detectar. Mientras que los antivirus, anti-spyware y soluciones similares de seguridad son útiles para la “limpieza” de las secuelas de un ataque, se muestran ineficaces como defensa frente a nuevos ataques.

Sin embargo, del mismo modo que los controles fronterizos de cualquier país usarán varios métodos para vigilar a la gente que intenta entrar, e identificar a aquellos que son una amenaza, las nuevas técnicas de seguridad han hecho posible la capacidad de escrutar los correos electrónicos, archivos y datos que entran en la red mediante correos o como descargas web, en tiempo real. Los archivos maliciosos se pueden aislar en el gateway, en el perímetro de la red o en la nube, según decida la organización, para evitar la infección en el contacto inicial – brindando una capa externa de protección contra ataques sin impactar en el flujo del negocio.

Escanear para detectar malware

El proceso de aislamiento y evaluación se realiza utilizando una técnica denominada emulación de amenazas. Del mismo modo que los escáneres de rayos X en los controles fronterizos, esta técnica permite observar el interior de los archivos sospechosos que llegan al gateway –ya sea como adjuntos de correo o como descargas web- con el fin de inspeccionar su contenido en un área en cuarentena conocida como “sandbox”. Esta versión virtualizada y autónoma de un entorno informático actúa como una zona segura para poder poner en funcionamiento diversas aplicaciones que puede ser potencialmente peligrosas o destructivas.

En el entorno virtual de la “sandbox” el archivo se abre y se monitorea para detectar cualquier comportamiento inusual en tiempo real como, por ejemplo, intentos de hacer cambios anormales de registro o conexiones de red. Si el comportamiento del archivo es sospechoso o malicioso, se bloquea y se pone en cuarentena para prevenir cualquier infección posible antes de que pueda alcanzar a la red y causar daño. En esta fase se pueden tomar más acciones para determinar y clasificar amenazas nuevas con el fin de hacer la identificación más fácil.

Veamos detenidamente cómo la emulación de amenazas identifica nuevos tipos de malware y ataques sin firmas existentes, y cómo esto puede ayudar a frenar los nuevos ataques silenciosos.

Construir la “sandbox”

El motor de la emulación de amenazas y la sandbox operan mediante un hipervisor que a su vez ejecuta múltiples entornos simultáneos para la simulación de archivos: Windows XP, 7 y 8; Office 2003, 2007 y 2010; y entornos Adobe 9, además de instancias virtualizadas de las aplicaciones de oficina de uso más común, tales como Word, Excel, PowerPoint y otros. Como la inmensa mayoría del malware moderno utiliza la ingeniería social para engañar a los usuarios e invitarles a hacer clic en los adjuntos  o en los archivos descargados, inspeccionar archivos utilizados en estos entornos y aplicaciones garantiza las mejores posibilidades de prevención de las infecciones.

La selección de los archivos que son sospechosos y que necesitan inspección – es decir, encaminarlos a la sandbox – ocurre, bien en línea en los gateways de seguridad de la organización o en la nube, utilizando un agente junto al servidor de correo de la empresa. Se pueden incluso interceptar los archivos enviados con protocolos encriptados dentro de la organización, usando túneles SSL y TLS, que de otra manera esquivarían muchas implementaciones de seguridad estándares en la industria.

El proceso de selección se realiza utilizando una combinación de métodos de análisis heurísticos y de otras tipologías. Por ejemplo, si muestras del mismo archivo ya se han almacenado en el gateway o por el agente de correo electrónico, el sistema considera que el archivo puede ser parte de un intento masivo de phishing a múltiples empleados. Este enfoque optimiza y acelera el análisis al escoger solamente archivos sospechosos para una inspección más profunda. Cuando se escogen los archivos, éstos se suben a la “sandbox”  que contiene el motor de emulación, que opera en el gateway de seguridad o en la nube.

Detección de amenazas

Los archivos cargados en el motor de emulación son copiados y se ponen en marcha  en los diferentes entornos virtuales de sistemas operativos y aplicaciones.Tras esto, son sometidos a un proceso de inspección de cinco etapas:

1. Si la instancia virtualizada del programa da error, o intenta descomprimir o sustituir un documento diferente, entonces es marcado como malicioso. Además, si el archivo  intenta llamar a .dll o .exe, esto nos señala asimismo un comportamiento anormal y potencialmente malicioso.
2. Se chequea el registro virtual para detectar  intentos de cambio por parte del archivo, un sello distintivo del software malicioso y una acción que un documento ordinario nunca debería intentar.
3. Tanto los sistemas de ficheros como los procesos se chequean para detectar de intentos de modificación por parte del fichero, de nuevo, un documento ordinario no debería intentar hacer ningún cambio.
4. El motor de emulación controla, asimismo, cualquier intento de comunicación vía web- por ejemplo, contactar con un centro C&C (Command and Control) o la descarga de malware.
5. Por último, el motor registra y genera un informe con toda la actividad realizada por el archivo, incluyendo varias capturas de pantalla del entorno de la sandbox  y, además, crea una “huella digital” del archivo de modo que ésta pueda ser identificada rápidamente en detecciones posteriores.

Los archivos maliciosos detectados por el motor de emulación son puestos en cuarentena para que no lleguen al usuario y no puedan infectar la red. Incluso el código malware desarrollado para detectar cuándo es ejecutado en un entorno virtualizado no es inmune a la tecnología de la sandbox. Este malware intenta camuflar sus acciones o actuar de una manera benigna mientras que se halla en dicho entorno para poder evitar su detección. Sin embargo, esta actividad de “encubrimiento” realmente ayuda a identificar las intenciones maliciosas, ya que el motor de emulación de amenazas controla ese intento de disfrazarse y registra la actividad sospechosa del archivo.

Todo este proceso ocurre transparentemente para la mayoría de los archivos – lo que significa que incluso en la circunstancia excepcional de que un archivo se inspeccione y se compruebe que esta ‘limpio’, el destinatario no notará ninguna pausa en su servicio de correo electrónico. La información acerca de la actividad de los archivos detectados esta luego disponible para el equipo de TI en un reporte de amenazas detallado.

Compartir información de amenazas de manera global

¿Y si después de la detección y el bloqueo de un archivo mediante la tecnología de emulación, las organizaciones fueran capaces de compartir esta información sobre la nueva amenaza para ayudar a otros a evitar esa misma infección? A fin de cuentas, se ha recogido la “huella digital” de la nueva amenaza y se ha desarrollado una firma para su detección, lo que significa que es posible prevenir una infección más amplia.

Este es el principio detrás del servicio ThreatCloud de Check Point, que ayuda a diseminar el conocimiento adquirido sobre un nuevo enemigo. De la misma forma que organizaciones de salud mundiales colaboran para combatir enfermedades emergentes, desarrollar vacunas y otros tratamientos, el enfoque colaborador de ThreatCloud minimiza la ventana de tiempo entre el descubrimiento de un ataque nuevo y la capacidad de defenderse. Una vez que se ha rastreado una amenaza nueva los detalles (Incluyendo descriptores clave como la dirección IP, URL o DNS) se suben a ThreatCloud y se comparten automáticamente con los suscriptores a nivel mundial. Por ejemplo, si se usa una amenaza nueva como un ataque dirigido a un banco en Hong Kong y se identifica por emulación de amenazas, la firma nueva se puede aplicar a todos los gateways mundiales en minutos. Al vacunar a las organizaciones contra el ataque antes de que la infección  se extienda, la emulación de amenazas reduce la posibilidad de que un brote se trasforme en una epidemia mejorando la seguridad para todos.

De este modo, incluso cuando los cibercriminales dirigen sus ataques a cientos o miles de compañías, la emulación de amenazas puede desempeñar un papel clave en la protección de las organizaciones contra los nuevos ejemplares de malware y ataques de día cero. El uso de la emulación para “conocer al enemigo” podría convertirse en uno de los métodos más robustos para proteger las redes de las empresas, creando una nueva y primera línea de defensa frente al malware.