Evolución de las soluciones antimalware

EVOLUCIÓN DEL MALWARE Módulo: Entendiendo los modelos de infección del software malicioso Antonio Ramos Varón / Rubén Martínez Sánchez

Programación de malware
Evolución de virus informáticos
En 1939, el matemático John Von Neumann, escribió el artículo "Teoría y organización de autómatas complejos“.
Demostraba la posibilidad de desarrollar pequeños programas que pudiesen tomar el control de otros, de estructura similar.
En 1949, en los laboratorios de la Bell Computer, Robert Thomas Morris creó el juego CoreWar, inspirado en la teoría de John Von Neumann.
Este “juego” tenía la capacidad de reproducirse cada vez que se ejecutaba y podía llegar a saturar la memoria del equipo de otro jugador.
En 1972 Robert Thomas Morris crea el virus Creeper que atacaba a la IBM 360.
En 1988 Robert Tappan Morris, difundió un virus a través de ArpaNet, logrando infectar 6,000 servidores conectados a la red.
A partir de aquí, y hasta 1995, se van desarrollando los tipos de códigos maliciosos que hoy conocemos: aparecen los primeros virus de macro, los virus polimórficos…
Un acontecimiento cambió radicalmente el panorama vírico mundial, y fue el uso masivo de Internet y el correo electrónico.
Antonio Ramos Varón / Rubén Martínez Sánchez

Programación de malware
Comunidad Malware Open Source
La generalización de Internet propició la aparición de canales de IRC, foros y blogs en los que se publican códigos de virus y troyanos.
Se pueden encontrar desde proyectos personales de códigos maliciosos hasta proyectos “comunitarios” donde la gente va aportando módulos.
Ejemplo: malware básico “propagadorvirus.bat”.
Ejemplo código cliente-servidor en Java para posible troyano.
Código del servidor de un troyano
procedure TForm1.ServerSocket1ClientRead
(Sender:TObject;Socket:TCustomWinSocket);
var Command:integer;
FullCommand,st:string;
begin
FullCommand:=Socket.ReceiveText;
st:=copy(FullCommand,1,2);
Command:=StrToInt(st);
case Command of
01:beep;
02:
begin
ShowMessage(st);
st:='The message '''+st+''' has been received';
Socket.SendText(st);
end;
end;
end;

Primer ejemplo práctico prueba de concepto: malware básico “propagadorvirus.bat” Segundo ejemplo práctico prueba de concepto: Código java para troyano Antonio Ramos Varón / Rubén Martínez Sánchez

Autodefensa del malware
Objetivos
Dificultar que el virus sea detectado mediante métodos de firmas.
Dificultar el análisis del código del virus a los especialistas.
Dificultar la detección del programa nocivo en el sistema.
Entorpecer el funcionamiento de los programas de protección (antivirus, cortafuegos, etc).
Técnicas de autodefensa
Polimorfismo y cifrado.
Empaquetadores (packers).
Rootkits.
Pronósticos y tendencias.

Polimorfismo y cifrado
Los virus polimórficos tratan de evadir la detección cambiando su patrón de byte con cada infección, así que no existe una secuencia de bytes constante que un programa antivirus pueda buscar.
Algunos virus polimórficos utilizan distintas técnicas de cifrado para cada infección.
La ofuscación en sí sólo dificulta el análisis, pero si es diferente en cada copia del programa nocivo, obstaculiza a su vez la detección por firmas.

Empaquetadores (packers)
Los creadores de malware utilizan empaquetadores para disminuir el tamaño de los virus y así incrementar la dificultad en su análisis, ya que el hecho de desempaquetar un objeto a través métodos aún desconocidos requiere tiempo y puede ser complejo.
Los empaquetadores poseen capacidad de configuración que permite a los creadores de malware lograr que sus códigos maliciosos detecten cuando están siendo ejecutados en entornos controlados, es decir, en máquinas virtuales, dificultando así su análisis.
¿Deben ser detectados los packers como herramientas para camuflar software malicioso?
Comparación entre un fichero comprimido (izquierda) y descomprimido (derecha).

Tercer ejemplo práctico prueba de concepto: Haciendo indetectable un malware mediante una de las técnicas expuestas Antonio Ramos Varón / Rubén Martínez Sánchez

Rootkits
Conjunto de herramientas que consiguen el control del usuario root y de los procesos del sistema operativo, a la vez que permanecen indetectables a dicho sistema operativo, y por tanto, al usuario.
Para que una aplicación sea catalagoda como rootkit debe realizar alguna de las siguientes actividades:
Conseguir acceso privilegiado al sistema y mantenerlo.
Ocultar procesos, threads, directorios, ficheros, claves de registro, puertos, etc.
Tiene que ser capaz de mostrar al sistema operativo una imagen limpia de sí mismo, para así pasar desapercibido.
Hay 2 tipos de rootkits: modo usuario y modo kernel.
Modo usuario: mediante procedimientos de hooking reemplazan o modifican programas que se ejecutan en modo usuario (anillo 3). Capaces de ocultar sus procesos al administrador de tareas.

Rootkits
Modo kernel: modificación de componentes del kernel del S.O. (anillo 0) que no pueden ser modificados mediante un proceso sin privilegios.
Las API
Funciones, procedimientos y bibliotecas que proporcionan acceso a servicios del SO.
Evitan al desarrollador volver a programar rutinas que son realizadas frecuentemente en el SO,
Estas funciones son el blanco para cualquiera que quiera controlar el sistema operativo, ya que cada vez que se invoque a una API, se estará llamando al código malicioso.

Rootkits
Las API
Un ejemplo podría ser una rootkit que intercepte la API de manejo de teclado, de forma que cada tecla presionada es registrada por un keylogger y el usuario no note dicha intercepción.

Rootkits
Las API
Hooking, es un mecanismo por el que una función del rootkit se engancha con una función original del SO, redireccionando el flujo de ejecución normal. Ejemplo de hooking realizado por un virus.

Pronósticos y tendencias
Evitar la detección de comportamientos sospechosos (heurística)
Desarrollo de tecnologías que detecten el entorno de ejecución.
Algunos programas maliciosos se “suicidan” al detectar que están siendo ejecutados en un entorno virtual.
Esto último es una medida de protección de los desarrolladores de malware, ya que algunos antivirus tienden a analizar el software en entornos virtuales.
Cuarto ejemplo práctico prueba de concepto:
Técnica de secuestro de threads para intentar evadir técnicas heurísticas. Fuente y desarrollo por c0de9037 .

Pronósticos y tendencias
Debido a la gran evolución en técnicas de inteligencia artifical de los antivirus, se tiende a atacar mediante ingeniería social a la parte más débil de toda la cadena: el usuario.
Quinto ejemplo práctico prueba de concepto:
Ingeniería social mediante: Tabbnabing + extensión con javascript para detectar páginas visitadas

Referencias
Rootkit.com
jbyte-security.blogspot.com
BitDefender Labs
Viruslist.com
Ghostwriting desarrollado por c0de9037
Indetectables.net

EVOLUCIÓN DE LAS SOLUCIONES ANTIMALWARE Módulo: Entendiendo los modelos de defensa de los sistemas antivirus contra software malicioso Antonio Ramos Varón / Rubén Martínez Sánchez

Introducción
La existencia de un punto de rotura en la avanzada de la tecnología antivirus:
Tecnología de reconocimiento basada en firmas.
Tecnologías “no basadas en firmas”.
Un programa malicioso será: un fichero con un determinado contenido, un conjunto de acciones en el SO y un conjunto de efectos sobre el SO, esto va a permitir varios niveles de detección: según cadenas de bytes, acciones y efectos en el sistema principalmente.

Modelos de defensa aplicables
Los componentes que entran en juego:
Podremos destacar dos componentes que entra en juego el ámbito de las tecnologías de protección, que a nivel funcional pueden ser diferenciados de manera más nítida.
El componente técnico
El componente analítico.

El componente técnico:
Este componente consta de una serie de funciones y algoritmos de uso del sotfware que recopilan y proporcionan datos al componente analítico.
Siendo estos datos: secuencias de texto dentro del fichero inspeccionado, acciones del programa sobre el sistema operativo y/o combinaciones de ambas.

El componente analítico:
Este componente será el encargado de tomar las decisiones= emitir un juicio sobre la información suministrada.
Las acciones desencadenadas dependerán de este juicio o valoración y estarán sujetas a su política de seguridad definida: poner en cuarentena, borrar, renombrar, bloquearlo, etc.
Ejemplo
En un sistema tradicional de comparación por firmas el componente técnico toma información sobre el fichero y su contenido y el componente analítico es una simple comparación de esta información en su base de datos de firmas.

Desarrollando el componente técnico
Podremos hablar de distintos métodos de recolección de datos que participan en menor o mayor medida de forma coordinada.
Ver el fichero como un conjunto de bytes.
Emulación del código del programa.
Tecnologías de virtualización.
Monitorización de eventos.
Búsqueda de anomalías.
Esto permite a su vez establecer un orden en el tiempo en la evolución de la tecnologías de los fabricantes que han ido de manera cronológica avanzando en esta línea.

Gráfico evolución
Fuente: Viruslist.com (Alisa Shevchénko)

Escaneo de ficheros
La extracción de unos conjuntos de bytes del fichero que serán transmitidos al componente analítico. En ningún momento se entra en estudiar el comportamiento .
Emulación del código del programa
Se divide el código del fichero en instrucciones y se ejecuta cada una de estas en un entorno virtual. Como particularidad no pone en riesgo el sistema y actúa como complemento al método de firmas.
Virtualización
Ya se lanza el programa en un entorno virtual controlado, para determinar su comportamiento ante una ejecución por parte del usuario. Es un paso mas avanzado a la emulación, aparece el concepto de Sandbox . Y según el motor de virtualización puede ofrecerle al ejecutable de manera virtualizada el registro, sistema de archivos, etc. Siempre se teme un impacto negativo en términos de recurso de la máquina pero esto empieza a quedar lejano debido a las técnica de optimización en los motores de virtualización.

Monitorizar eventos
Consiste en la observación o seguimiento de los programas, mediante interceptar funciones del sistema operativo, con lo cual es avisado cuando un programa realiza una llamada para ejecutar acciones en el sistema, esta información es analizada estadísticamente y enviada al componente analítico.
La búsqueda de anomalías
El concepto de sistema “saludable” o sistema “enfermo”, pero la complejidad de determinar un patrón saludable del sistema requiere de modelos complejos de análisis multivariable, que pueden hacer complejo el método en si.

Desarrollando el componente analítico
Podremos hablar de distintos métodos que vamos a englobar (aunque existen múltiples variantes intermedias) en:
La comparación simple.
La comparación compleja.
Sistemas complejos de análisis.
El análisis humano.

La comparación simple
La decisión se toma mediante el resultado de una comparación de un objeto con la muestra de que disponemos.
La comparación compleja
La decisión se toma mediante el resultado de una comparación de varios objetos con las muestras de que disponemos.
Los modelos complejos de análisis
La decisión se basará en modelos predictivos / probabilísticos.
En función de comportamientos=>puntuaciones específicas de las múltiples variables observadas y el peso de estas en sistemas de ecuaciones.
El humano
Nada que decir sobre este modelo de decisión

Entendiendo uno de los modelos complejos
Modelo discriminante multivariable
Este tipo de modelo tiene una amplia aplicación en muchas de las áreas de nuestro conocimiento (financiera, sociologica, política, biología, informática, etc, etc.)
Cuando se trata de una decisión dicotómica ( nocivo, no nocivo ) el modelo tiene muchas similitudes al calculo de una ecuación de regresión múltiple.
Función discriminante=> D1 = a 0 + a 1 X 1 + a 2 X 2 + …. + a n X n

Modelo multivariante discriminante
Si la decisión es una terna ( sospechoso, nocivo, no nocivo ) se precisará del calculo de dos funciones discriminantes, con lo cual siempre tendremos k-1 funciones discriminantes, siendo k el número de categorías donde clasificar .
Función discriminante1=> D1 = a 0 + a 1 X 1 + a 2 X 2 + …. + a n X n
Función discriminante2=> D2 = a 01 + a 11 X 1 + a 22 X 2 + …. + a nn X n

¿ Qué hacen estas funciones? “ discriminan ” el espacio de decisión entre las categorías a clasificar. De manera que un programa nocivo del cual obtenemos datos de las distintas variables que hemos observado de el (sus llamadas, su forma, tamaño, su ejecución, etc.), mediante su puntuación en estas funciones podremos con un probabilidad más que aceptable saber de que se trata. En definitiva podemos tomar una decisión y clasificarlo.

Por último y de manera muy resumida viene el problema de clasificar. La toma de decisión a que categoría o grupo corresponde el código analizado . Son múltiples los mecanismos de clasificación utilizados conocidas las funciones discriminantes y las puntuaciones obtenidas en estas, 2 de los métodos a destacar son:
1. Método de proximidad a los CENTROIDES .
2. Método de probabilidad bayesiano.

Como optar por una solución antimalware
Visto lo visto la toma de decisión vuelve a estar en nuestro lado, el lado humano:
La realización de pruebas independientes y evaluación de los resultados obtenidos sería lo que demanda el sentido común junto a una comparativa de precios en el mercado, análisis que siempre nos llevará a ……

Evolución de las soluciones antimalware

by Eventos Creativos on Jul 22, 2010

Accessibility

Categories

Tags

Upload Details

Usage Rights

Statistics

Evolución de las soluciones antimalware — Presentation Transcript