miércoles, febrero 19, 2014

Una buena política anti-malware debe buscar en el pasado

Hace poco me preguntó uno de los alumnos del Master de Seguridad de la UEM una cuestión con la que yo me había topado hace ya tiempo en un proyecto con un cliente y que había resuelto de una forma peculiar. Como nunca había hablado de esto por aquí me he decidido a escribirlo por si a alguien le viene bien implementarlo en su empresa. El problema en cuestión es tan sencillo de exponer como "¿Cómo detectar un malware en tu sistema?".

Las soluciones habituales cuando se tienen un equipo solo pueden ser las habituales en equipos Mac OS X o en equipos Windows, pero si nos enfrentamos a un Évola Asesino, - o al español Careto -mejor tener una buena estrategia a nivel global.

El Évola Asesino vive en tu red

Supongamos un poderoso malware al que llamaremos Évola Asesino con capacidades de rootkit y que está siendo controlado remotamente por un equipo profesional de atacantes se ha colado en tu red. El malware, como hacen los bots de última generación viene preparado para defenderse no solo de los sistemas de seguridad, sino también de otros programas maliciosos que pudieran existir en el mismo equipo.

Además de esas protecciones, tiene controladas todas las llamadas a la API del sistema operativo para evitar la detección por parte de las herramientas antimalware, interceptando las llamadas que le interesan y las que no le interesan para evitar levantar sospechas.

Esto les permite que cuando se hacen listados de ficheros en carpetas, servicios, o cualquier otra llamada a la API del sistema operativo, el rootkit pueda ocultar su presencia en los resultados. También cuando detecta que se está utilizando alguna técnica de detección de rootkit que busca localizar diferencias entre los resultados devueltos por las llamadas a las API y los que se puede obtener accediendo en bruto, deciden no ocultarse y confundir más a las herramientas.

Además, este poderoso malware cuenta con una buena estructura detrás y muta continuamente para dificultar la generación de firmas por parte de los laboratorios de las casas antimalware. Para ello han creado un sistema curioso para protegerse y en un entorno similar a Virus Total analizan continuamente los bots con todos los motores antivirus. En el momento en que ven que un Antimalware detecta los bots como software sospechoso, mutan el código del malware y actualizan todos los equipos infectados con una nueva versión indetectable en tiempo record.

¿Cómo se podría detectar al Évola Asesino?

Cuando se me planteó esto hace tiempo llegué a la conclusión de que una buena política contra este tipo de ataques debería tener una estrategia de análisis de malware en el pasado. Es decir, que la base de datos de firmas actualiza de todos los motores de antivirus debería revisar no solo el entorno actual, sino también el entorno que habíamos tenido en el pasado. Las recomendaciones que hice en aquel entonces, además de aplicar todas protecciones en tiempo real en los puntos de conexión externa con el sistema, fueron:
1) Tener copias de seguridad completas del disco completo de equipos seleccionados de la red para poder hacer escaneos offline de los sistemas. Esto está pensado para conseguir evitar el que un malware con capacidades de rootkit logre eludir la detección manipulando las respuestas de la API tal y como hace cuando se encuentra con el sistema online. Así, las versiones de Évola Asesino que haya se irán con ellas.
Figura 2: Ejemplo de copias de seguridad completas datadas con su versión del Évola Asesino
2) Escanear las copias de seguridad del pasado con las nuevas firmas. Muchas veces las casas de antivirus añaden firmas de malware que ha estado circulando por Internet y las redes de las empresas durante mucho tiempo, así que puede que en el pasado lo tuvieras. Además, si el malware hubiera mutado para no ser detectado, no lo podría haber hecho en la copia de seguridad almacenada.
Figura 2: Ejemplo de actualización de firmas y detección de versiones del Évola Asesino
3) Escanear las copias de seguridad de los equipos con todos los antimalware posibles. No es recomendable por precio y por usabilidad tener varias soluciones antimalware en los equipos de trabajo, pero tener una licencia de muchos antimalware para escanear copias de seguridad del pasado, es económicamente barato para una empresa y funcionalmente cómodo. Se podría tener un servidor escaneando constantemente copias de seguridad de equipos para detectar firmas de malware en el pasado.
Figura 3: Cuando se iría descubriendo cada versión del bot
4) Escanear las copias de seguridad de equipos con distribución geográfica y temporal. Es decir, hacer el proceso con equipos significativos de cada maqueta de ellos que haya en la red de la organización y hacerlo con diferentes copias temporales.
Conclusiones

Al final, con una estrategia como esta podrás sacar mucho conocimiento de cómo hay ido evolucionando la seguridad de tu organización y descubrir posibles infecciones hechas por algún Évola Asesino u otro similar, además de que podrás encontrarte con brechas de seguridad no conocidas hasta el momento. Si por el contrario no haces esto, el malware Évola Asesino podría permanecer indetectable durante años en tus sistemas hasta que perdiera una carrera con tu software antimalware. No es lo suyo jugárselo todo a una carta.

Como dice Sergio de los Santos (@ssantosv) en su libro de Máxima Seguridad en Windows, un antimalware no es suficiente para una amenaza como la del Évola Asesino y hay que hacer más cosas en el sistema, pero una buena estrategia te puede ayudar a mejorar la ayuda que te pueden dar estas tecnologías. Si tienes esas copias de seguridad hechas, ahora podrías saber si tuviste un Careto en tu red en algún momento.

Saludos Malignos!

7 comentarios:

  1. Que opinas de las nuevas soluciones de EPP como BIT9, Lumension....

    ResponderEliminar
  2. Una pequeña corrección. Si ese "évola" se refiere al virus, se escribe ébola ;)

    ResponderEliminar
  3. Quizás éVola es por Virus... Creo yo...
    .157

    ResponderEliminar
  4. Nunca me lo había planteado de esta manera. Muy bien pensado Chema!

    ResponderEliminar
  5. @Anónimos, el vírus inventado es mío y lo he llamado Évola Asesino... me encanta }:)

    Saludos!

    ResponderEliminar
  6. Lo primero felicitarte. Sigo el blog desde hace poco y me parece muy profesional.

    Segundo quisiera hacer un par de preguntas
    -¿con formatear la partición del sistema se eliminaría el virus/rootkit? quizás no sea la solución más óptima pero si funciona al menos te puedes quedar tranquilo. Al mnos en ambientea domésticos no debe ser muy traumatico.
    -¿si pasamos el antimalware desde un livecd se detectaría la amenaza?

    ResponderEliminar
  7. Hola,

    En muchos foros utilizan herramientas de analisis para la detección de malware como otl byolder y farbar recovery scan pero creo que son poco eficaces si un virus rootkit o bootkit está instalado en el sistema. Creo como dices hacer escaneos offline con varias soluciones antivirus. En estos tiempos hay que tener mucho cuidado si manejamos información sensible, tanto en un entorno doméstico como empresarial.

    Un saludo

    ResponderEliminar