• Tweet

Una señal de que los delitos electrónicos están creciendo en su nivel de sofisticación son sus métodos para ocultar código malicioso para evadir la detección, de acuerdo a una nueva investigación realizada en San Jose, California por Finjan Inc.

Conocida como "ofuscación de código dinámica", está siendo usado por atacantes para colocar código de virus en las computadoras de las víctimas, una debilidad desastrosa para los distribuidores de antivirus, dijo Yuval Ben-Itzhak, oficial en jefe de tecnología de Finjan. Por ejemplo, si dos personas visitan un sitio malicioso al mismo tiempo, cada persona obtendrá un código cifrado ofuscado diferente, generado al momento con un diferente set de funciones y nombres de parámetros. El método de ofuscación dinámico hace que las firmas de los virus sean inútiles puesto que llaves de cifrado diferentes cambian la manera de que el código malicioso exista en la maquina de una víctima, dijo Ben-Itzhak.

"Fabricantes de soluciones de seguridad que publican actualizaciones de seguridad a sus clientes necesitaran teóricamente crear millones de firmas para ellos", dijo Ben Itzhak. "Esta es la clase de verdadera amenaza para las empresas que confían solo en tecnologías alternativas para asegurar sus negocios".

Cada vez que un navegante visite un sitio malicioso, el cifrado resultante es diferente usando un método de ofuscación dinámico porque la llave es cambiada, dijo Ben Itzhak. este nuevo método está siendo usado para insertar código malicioso a las maquinas de los usuarios finales, dijo.

La ofuscación de código no es nueva, los programadores han usado esta técnica para ocultar funciones de redireccionamiento en las ventanas emergentes, sitios web de anuncios dirigidos para evitar ser sancionados por los motores de búsqueda.

Adicionalmente, los investigadores de seguridad planean liberar una utilidad llamada VOMM, como parte del framework Metasploit para pruebas de seguridad. La nueva utilidad automatizará los procesos de ofuscación de código dinámico, permitiendo a los intrusos romper las firmas de los antivirus agregando caracteres, saltos de línea y espacios al código malicioso, dijo Ben-Itzhak. La utilidad permite virtualmente a quien sea ofuscar código de manera automática, dijo.

"Una vez que esto sea liberado , habrá muchos dolores de cabeza para todos los productos basados en firmas para combatir esta ofuscación".

El uso de ofuscación de código dinámica esta ampliando lo que Finjan llama una batalla "del gato y el ratón" contra los intrusos. Una manera de combatir a los intrusos es a través de un análisis basado en comportamiento del código malicioso, sin importar su fuente original, dijo Ben-Itzhak.

Un investigador puede romper el código en partes y aprender acerca de la ruta de ejecución y el flujo de llamada de funciones, comentó. Como resultado, el código malicioso es bloqueado en el perímetro, lo que evita el ingreso a la red.

Finjan además predice que los atacantes continuarán apuntando a sitios Web que usen Web 2.0, especialmente aquellos que usen Ajax en el 2007. Ajax combina varias herramientas de programación como JavaScript y HTML dinámico para crear aplicaciones Web mas interactivas.

"Los intrusos están empezando a usar peticiones de archivos con Ajax sin indicación visual de que algo esta pasando", dijo Ben-Itzhak.

En 2006, Finjan encontró que Ajax ha sido usado para silenciar peticiones de código malicioso sin conocimiento del usuario. Los intrusos pueden explotar Ajax para solicitar contenido en la Web que no sea proporcionado por los motores de búsqueda.

"Aunque Ajax es una experiencia fantástica y rica, es también una potencial amenaza", dijo Ben-Itzhak. "Solo con un análisis en tiempo real y tomando decisiones basadas en el tráfico que circula en la red será posible descubrir y combatir esta amenaza"