La última amenaza: un virus creado especialmente para usted

El virus informático Flashback ganó notoriedad a principios de este año como el primer malware que avanzó contra el sistema operativo relativamente intacto de Apple, Mac OS X, infectando las máquinas de unas 600.000 víctimas en el pico del brote.





Pero los informáticos y los profesionales de la seguridad estaban más preocupados por otro aspecto del malware. Los autores de Flashback utilizaron una técnica que Hollywood emplea a menudo para evitar que se copien archivos de películas y música: agregaron funciones que unían el virus a cada sistema infectado. El uso de esa técnica impidió que las empresas de seguridad ejecutaran el virus en sus laboratorios.

Una nueva investigación muestra que un refinamiento de la técnica podría hacer que el análisis automatizado de malware sea casi imposible. Paul Royal, un científico investigador con el Centro de seguridad de la información del Instituto de Tecnología de Georgia , planea revelar el trabajo en el Conferencia de Black Hat en Las Vegas esta semana.

Royal y sus colegas de Georgia Tech muestran que una forma de protección contra copias llamada cifrado basado en la identidad del host puede cifrar partes críticas de un programa de malware con claves basadas en información obtenida del sistema de la víctima, lo que dificulta aún más el análisis de la muestra en un máquina diferente.



Analizar el software malintencionado que los delincuentes utilizan para infectar las computadoras de las personas es una operación que requiere mucho tiempo, pero es necesaria. Los creadores de software antivirus recopilan regularmente muestras de malware y luego utilizan análisis automatizados para generar una colección de características de identificación, comúnmente llamada firma.

Si bien un analista individual puede sortear las restricciones impuestas por los autores de malware, de la misma manera que los piratas pueden eludir las protecciones contra copias de películas, evitar que las empresas de seguridad procesen automáticamente grandes volúmenes de archivos dañará su capacidad para mantenerse al día con los atacantes.

Para el modelo antivirus, esto complica significativamente tomar la cantidad de malware de la manguera contra incendios y reducirla a un subconjunto que pueda ser analizado de manera práctica por un analista humano, dice Royal.



Debido a que el software antivirus depende del uso de tales firmas para detectar malware, los delincuentes en línea intentan con regularidad dificultar el análisis. Durante la última década, por ejemplo, los atacantes han utilizado el polimorfismo, una técnica para cambiar los programas cada vez que se copian en una nueva máquina, para dificultar la identificación. Esta tendencia se ha acelerado en los últimos años (consulte La era de los antivirus ha terminado).

La base de datos de malware mantenida por Symantec incluye alrededor de 19 millones de firmas . En su Informe anual sobre amenazas a la seguridad en Internet publicado a principios de este año, Symantec afirmó que sus sistemas de análisis automatizados analizaron 403 millones de variantes únicas de programas maliciosos en 2011, un aumento del 41 por ciento de los 286 millones analizados en 2010. Sin la automatización, esta tarea sería mucho más difícil.

Si los tipos de malware pueden llegar a una etapa en la que, incluso si tiene el [archivo], está vinculado a una máquina en particular, eso complica nuestra vida, dice Roel Schouwenberg , investigador senior de Kaspersky , otra empresa de seguridad de software. Kaspersky procesó más de mil millones de muestras a través de sus sistemas automatizados en 2011.



Si Flashback es una indicación del futuro, y la automatización ya no puede eliminar la avalancha de archivos para analizar, entonces las compañías antivirus podrían ver que sus costos se disparan.

Desde nuestra perspectiva, analizamos cientos de miles de muestras por día, dice Dean De Beer, director de tecnología de ThreatGRID , una empresa de servicios de análisis de malware. Ahora están lanzando esta bola curva, y tenemos que sentarnos y decir: '¿Qué debemos hacer para asegurarnos de que podemos recolectar la muestra?'

Las empresas de antivirus podrían intentar frustrar dicho malware creando una máquina virtual que parezca idéntica al sistema de la víctima. Pero esto podría generar preocupaciones sobre la privacidad entre los usuarios. Para dificultar el análisis, los autores de malware podrían crear funciones que interpreten los comandos de los servidores de comando y control utilizando una clave creada a partir de información sobre la ubicación de la red de la computadora. Conocida como localización de conjuntos de instrucciones, la técnica haría que los comandos destinados a una máquina con sede en San Francisco fueran irreconocibles para una máquina con sede en Boston.



Las firmas de antivirus esperan que Royal mantenga la discusión a un alto nivel para evitar dar a los atacantes consejos precisos sobre cómo mejorar su capacidad para bloquear el malware en las máquinas infectadas. El flashback fue un dolor, dice Schouwenberg. Si la charla es sobre cómo hacer que esto sea muy fácil para el atacante, entonces no estoy deseando que llegue eso.

Royal espera que la presentación sirva como una advertencia de que los defensores deben resolver este problema rápidamente. Esta presentación no es una razón para deshacerse de sus herramientas de análisis de malware, dice. Se supone que es una advertencia. Todos necesitamos prepararnos.

esconder