Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Nuevo sistema de detección para identificar malware de día cero
Un grupo de investigadores han creado un nuevo sistema de detección de infecciones que puede ayudar a los proveedores de servicios de Internet y a otras grandes empresas (o a alguien que ejecute redes de gran escala) a identificar ataques de malware que los antivirus y las soluciones de listas negras no pueden.
Los resultados del software antivirus son razonablemente aceptables cuando se tratan de detener malware conocido, pero el hecho de que se basan en las firmas y en las listas de piezas de software malicioso que se han compilado, analizarlos e identificarlos no los vuelve expertos en detección de malware de día cero.
Los ataques Drive-by download consisten en tres fases:
- La fase de explotación, durante el cual el atacante tiene como objetivo ejecutar código shell en el ordenador de la víctima.
- La fase de instalación, durante el cual el shellcode mencionado obtiene el binario malicioso real y lo ejecuta.
- La fase de control, en el que el malware llega a su servidor C&C para obtener instrucciones, programas maliciosos y enviar la información.
Nazca (como los investigadores llamaron a la herramienta) no busca detectar drive-by exploits que llevan a la descarga de software malicioso ni depende en el análisis y la reputación de los programas descargados, se centra en la detección de las infraestructuras de distribución de malware (es decir, en la segunda fase).
Lo que hace es mirar el cuadro más grande (el tráfico combinado producido por un gran número de usuarios en la misma red) y detectar signos reveladores, tales como peticiones HTTP potencialmente maliciosas (más drive-by exploits utilizan la web para descargar los binarios de malware) y conexiones web sospechosas que emplean técnicas de evasión (flujos de dominio, reempaquetado de malware, etc.)
Por último, Nazca agrega todas estas conexiones y realiza una búsqueda de la actividad maliciosa relacionada.
Según los investigadores, la herramienta funcionó bien en una pruba que se realizó durante nueve días de tráfico de datos proporcionados por un proveedor de Internet (desconocido). El resultado mostró inmunidad a la ofuscación de contenido, mostró malware nunca antes visto y arrojó muy pocos falsos positivos.
Para más detalles sobre su investigación, echa un vistazo a su artículo. Ellos también presentarán su investigación en el próximo Simposio de sistemas de seguridad de Red y Distribuidos.
