Fuente: enlace
Hace más de un año que McAfee se convirtió en una empresa de Intel, y el equipo y yo hemos tenido el privilegio de ser parte del diseño y desarrollo de nuestra tecnología DeepSAFE, así como de Deep Defender, el primer producto disponible que aprovecha este avance. . Las amenazas recientes en las noticias validan lo que hemos estado trabajando y este blog sirve una actualización para nuestros seguidores.
Prevalencia de malware firmado
El malware firmado digitalmente ha recibido mucha atención de los medios recientemente. De hecho, más de 200,000 binarios de malware nuevos y únicos descubiertos en 2012 tienen firmas digitales válidas.
Binares maliciosos únicos descubiertos con firmas digitales válidas (acumulativas a partir de enero de 2012)
Fuente: Base de datos de muestra de McAfee Labs
¿Por qué firmar?
Los atacantes firman el malware en un intento de engañar a los usuarios y administradores para que confíen en el archivo, pero también en un esfuerzo por evadir la detección mediante software de seguridad y evadir las políticas del sistema. Gran parte de este malware está firmado con certificados robados, mientras que otros binarios son autofirmados o "prueba firmada". La firma de prueba a veces se usa como parte de un ataque de ingeniería social.
firma de prueba
La firma de prueba es particularmente útil para los atacantes en Windows de 64 bits, en los que Microsoft aplica la firma de controladores. Por defecto, estos controladores no se cargarán. Sin embargo, Microsoft proporciona a los desarrolladores los medios para deshabilitar esta política, y los autores de malware han aprendido a hacer lo mismo. Los rootkits en Windows de 64 bits, como Necurs utilizados por Banker, Advanced PC Shield 2012 y Cridex, utilizan este enfoque para comprometer el sistema operativo. Para combatir esto, la versión 1.0.1 de Deep Defender bloquea los controladores con firma de prueba de manera predeterminada, al tiempo que permite a los administradores de ePO excluir de forma selectiva los sistemas internos del desarrollador del controlador del kernel, según sea necesario.
Esto es solo una capa de protección, por supuesto. La seguridad se trata de "defensa en profundidad", desde la red hasta el silicio. El monitoreo de la memoria en tiempo real permite que Deep Defender identifique el rootkit de Necurs cuando intenta comprometer el kernel.
Intentando ocultar
El hecho de poder observar eventos transitorios en la memoria permite a DeepSAFE superar las vistas de archivos ofuscados que desafían las soluciones antivirus tradicionales.
El caso en cuestión es el troyano Mediyes al que se hace referencia en los artículos de prensa mencionados anteriormente. Una revisión rápida de nuestra base de datos de muestra muestra más de 7,000 binarios únicos en esta familia. Sin embargo, las reglas de memoria escritas hace más de un año para cubrir las técnicas de rootkit son capaces de identificar proactivamente el último ataque firmado, incluso como un día cero.
Después de que se conocieron los ataques, el certificado fue revocado
Más por venir
Durante algún tiempo hemos visto cargas maliciosas que intentan robar certificados digitales con propósitos infames, y es probable que estemos viendo los frutos de esa labor. Con tanto malware en línea, estamos seguros de que esta tendencia de malware firmado continuará y aumentará.
PD La versión 1.0.1 de Deep Defender se encuentra actualmente en fase beta y se espera que llegue al mercado en el segundo trimestre. Si está interesado en ayudar a proteger el mundo más allá del sistema operativo, estamos contratando.