Cómo detectar nuevas amenazas a través de actividades sospechosas

teknomers


El malware desconocido representa una amenaza significativa para la seguridad cibernética y puede causar daños graves a organizaciones e individuos por igual. Cuando no se detecta, el código malicioso puede obtener acceso a información confidencial, corromper datos y permitir que los atacantes obtengan el control de los sistemas. Descubra cómo evitar estas circunstancias y detectar comportamientos maliciosos desconocidos de manera eficiente.

Retos de la detección de nuevas amenazas

Si bien las familias de malware conocidas son más predecibles y se pueden detectar con mayor facilidad, las amenazas desconocidas pueden adoptar una variedad de formas, lo que provoca una serie de desafíos para su detección:

  1. Los desarrolladores de malware usan polimorfismo, lo que les permite modificar el código malicioso para generar variantes únicas del mismo malware.

  2. Hay malware que todavía no está identificado y no tiene ningún conjunto de reglas para la detección.

  3. Algunas amenazas pueden ser totalmente indetectables (FUD) durante algún tiempo y desafiar la seguridad del perímetro.

  4. El código suele estar encriptado, lo que dificulta su detección por parte de las soluciones de seguridad basadas en firmas.

  5. Los autores de malware pueden usar un enfoque “bajo y lento”, que consiste en enviar una pequeña cantidad de código malicioso a través de una red durante mucho tiempo, lo que hace que sea más difícil de detectar y bloquear. Esto puede ser especialmente dañino en las redes corporativas, donde la falta de visibilidad del entorno puede generar actividad maliciosa no detectada.

          Detección de nuevas amenazas.

          Al analizar familias de malware conocidas, los investigadores pueden aprovechar la información existente sobre el malware, como su comportamiento, cargas útiles y vulnerabilidades conocidas, para detectarlo y responder a él.

          Pero al enfrentarse a nuevas amenazas, los investigadores tienen que empezar de cero, utilizando la siguiente guía:

          Paso 1. Utilice ingeniería inversa para analizar el código del malware para identificar su propósito y naturaleza maliciosa.

          Paso 2. Utilice el análisis estático para examinar el código del malware para identificar su comportamiento, cargas útiles y vulnerabilidades.

          Paso 3. Utilice el análisis dinámico para observar el comportamiento del malware durante la ejecución.

          Etapa 4. Utilice sandboxing para ejecutar el malware en un entorno aislado para observar su comportamiento sin dañar el sistema.

          Paso 5. Use la heurística para identificar código potencialmente malicioso en función de patrones y comportamientos observables.

          Paso 6. Analice los resultados de la ingeniería inversa, el análisis estático, el análisis dinámico, el sandboxing y la heurística para determinar si el código es malicioso.

          Hay muchas herramientas desde Process Monitor y Wireshark hasta ANY.RUN para ayudarlo a realizar los primeros 5 pasos. Pero, ¿cómo sacar una conclusión precisa, a qué debes prestar atención mientras tienes todos estos datos?

          La respuesta es simple: concéntrese en los indicadores de comportamiento malicioso.

          Supervise las actividades sospechosas para una detección eficaz

          Se utilizan diferentes firmas para detectar amenazas. En la terminología de seguridad informática, una firma es una huella o patrón típico asociado con un ataque malicioso en una red o sistema informático.

          Parte de estas firmas son las de comportamiento. Es imposible hacer algo en el sistema operativo y no dejar rastro. Podemos identificar qué software o script era a través de sus actividades sospechosas.

          Puede ejecutar un programa sospechoso en un espacio aislado para observar el comportamiento del malware e identificar cualquier comportamiento malicioso, como:

          • actividad anormal del sistema de archivos,
          • creación y terminación de procesos sospechosos
          • actividad de red anormal
          • leer o modificar archivos del sistema
          • acceder a los recursos del sistema
          • crear nuevos usuarios
          • conectarse a servidores remotos
          • ejecutar otros comandos maliciosos
          • explotar vulnerabilidades conocidas en el sistema

          Microsoft Office está lanzando PowerShell, parece sospechoso, ¿verdad? Una aplicación se agrega a las tareas programadas; definitivamente préstele atención. Un proceso svchost se ejecuta desde el registro temporal: definitivamente algo anda mal.

          Siempre puede detectar cualquier amenaza por su comportamiento, incluso sin firmas.

          Demostrémoslo.

          Caso de uso #1

          Aquí hay un muestra del ladrón. ¿Qué hace? Roba datos de usuarios, cookies, wallets, etc. ¿Cómo podemos detectarlo? Por ejemplo, se revela cuando la aplicación abre el archivo de datos de inicio de sesión del navegador Chrome.

          Análisis de malware
          Comportamiento sospechoso del ladrón

          La actividad en el tráfico de la red también anuncia las intenciones maliciosas de la amenaza. Una aplicación legítima nunca enviaría credenciales, características del sistema operativo y otros datos confidenciales recopilados localmente.

          En el caso del tráfico, el malware puede detectarse mediante funciones conocidas. agente tesla en algunos casos no cifra los datos enviados desde un sistema infectado como en este muestra.

          Análisis de malware
          Actividad sospechosa en el tráfico de red

          Caso de uso #2

          No hay muchos programas legítimos que necesiten detener Windows Defender u otras aplicaciones para proteger el sistema operativo o hacer una exclusión por sí mismo. Cada vez que encuentre este tipo de comportamiento, es una señal de actividad sospechosa.

          Análisis de malware
          Comportamientos sospechosos

          ¿La aplicación elimina las instantáneas? Parece ransomware. ¿Elimina las instantáneas y crea un archivo TXT/HTML con texto Léame en cada directorio? Es una prueba más de ello.

          Si los datos del usuario se cifran en el proceso, podemos estar seguros de que se trata de ransomware. Como lo que pasó en este ejemplo malicioso. Incluso si no conocemos a la familia, podemos identificar qué tipo de amenaza de seguridad representa este software y luego actuar en consecuencia y tomar medidas para proteger las estaciones de trabajo y la red de la organización.

          Análisis de malware
          Comportamiento sospechoso de ransomware

          Podemos sacar conclusiones sobre casi todos los tipos de malware en función del comportamiento observado en la zona de pruebas. Intentar Servicio interactivo en línea ANY.RUN para monitorearlo: puede obtener los primeros resultados de inmediato y ver la acción de todo el malware en tiempo real. Exactamente lo que necesitamos para detectar cualquier actividad sospechosa.

          Escribe el “NOTICIAS DE HACKER2” código de promoción en [email protected] usando su dirección de correo electrónico comercial y obtenga 14 días de suscripción premium ANY.RUN gratis!

          Terminando

          Los ciberdelincuentes pueden usar amenazas desconocidas para extorsionar a las empresas por dinero y lanzar ciberataques a gran escala. Incluso si no se detecta la familia de malware, siempre podemos concluir la funcionalidad de la amenaza considerando su comportamiento. Con estos datos, puede crear seguridad de la información para evitar nuevas amenazas. El análisis de comportamiento mejora su capacidad para responder a amenazas nuevas y desconocidas y fortalece la protección de su organización sin costos adicionales.

          ¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





          ttn-es-57