Descubren una nueva técnica de malware

Los sistemas de prevención de intrusiones, utilizados desde hace más de una década, se están enfrentando a una nueva técnica que burla su vigilancia.

1. Sistemas de prevención de instrusiones

Los vendedores deberían actualizar su equipamiento para poder enfrentarse a una nueva categoría de malware que utiliza avanzadas técnicas de evasión para superar la mayoría de los sistemas de prevención de intrusiones.

Se ha descubierto una nueva categoría de malware, AETs (advanced evasion techniques) capaz de atravesar la mayoría de los sistemas de prevención de intrusiones y aprovecharse incluso de exploits ya conocidos como el de Sasser o Confiquer para atacar a máquinas sin ni siquiera dejar un rastro de cómo llegaron allí.

Equipos de respuesta de emergencia de varios países han estado enviando información a docenas de vendedores de sistemas de prevención de intrusiones para comunicarles la amenaza y que así puedan tomar las medidas oportunas para defenderse de los AETs. Stonesoft, vendedor de sistemas de prevención de intrusiones, ha sido la empresa que ha descubierto la nueva amenaza de malware.

AETs combina más de una técnica de evasión simple conocida contra las que los sistemas de prevención son capaces de defenderse de manera individual, pero la combinación de varias convierte al malware en una variante que estos sistemas no pueden detectar.

Aunque en sí no hace daño, el malware aporta capacidad de ocultación  a otros códigos maliciosos para que puedan llegar a sistemas específicos, aunque lo cierto es que por el momento no existen pruebas de que se estén utilizando AETs para estos fines.

2. La combinación aumenta el peligro

Las técnicas de evasión se conocen desde hace más de una década y la mayoría de los sistemas de prevención de intrusiones pueden defenderse contra ellas, pero como aseguran desde Stonesoft, utilizar más de una al mismo tiempo crea una combinación diferente capaz de superar los sistemas actuales.

Mezclando y emparejando pares de técnicas de evasión conocidas se pueden conseguir 2.180 AETs posibles; si a esto se le añaden AETs que utilicen más de dos al mismo tiempo, el número total de posibilidades es incluso mayor y además añade nuevas técnicas de evasión simples a la lista ya conocida.

Según los datos que obran en poder de Stonesoft, un conjunto de AETs fueron utilizados para ocultar a los gusanos Conficker y Sasser y consiguieron superar diez de los sistemas de prevención de intrusiones líderes de la industria, ninguno de los cuales consiguió detectarles.

En unas pruebas controladas, AETs generados por una herramienta de Stonesoft consiguieron superar con éxito algunos sistemas de prevención de intrusiones y lanzar el gusano Conficker contra sistemas Windows Servers que tenían sin parchear la vulnerabilidad CVE-2008-4250. Se utilizó Conficker porque es muy conocido y los sistemas de prevención de intrusiones deberían ser capaces de reconocerlo y bloquearlo aún cuando se disimule.

Un ejemplo de una técnica de evasión simple es la fragmentación IP, que consiste en que los atacantes fragmentan los paquetes que contienen el malware con la esperanza de que los sistemas de detección no los reconozcan y los dejen pasar. Actualmente es una técnica conocida que no engaña a los sistemas de prevención de intrusiones.

La ofuscación de la URL es otro ejemplo de evasión simple. Con esta técnica, la URL es alterada ligeramente de forma que pueda pasar  a través de un sistema de prevención, pero no se altera tanto como para que la máquina no pueda utilizarla. Tampoco es un misterio para los actuales sistemas de prevención de intrusiones, pero la combinación de ambas sí que puede sorprender a estos sistemas, y es en este tipo de novedades en las que tienen que trabajar los vendedores de software de seguridad para no verse sorprendidos por los creadores de malware, que afinan cada vez más sus creaciones en una constante carrera por ver quién es el más rápido y el más listo.