fbpx

O noua generatie de malware


Pentru industria de criminalitate informatica, malware-ul a devenit o arma redutabila pentru a exploata companii si utilizatori deopotriva. Bijuteria coroanei arsenalului armelor cibernetice, malware-ul evaziv pentru masinile virtuale, este considerat ca fiind “urmatoarea generatie de malware” si este destul de impresionant.

Industria de securitate a fost intotdeauna intr-o cursa a inarmarii cu baietii rai. Pe cat de repede sunt create tehnologiile noi, pe atat de repede sunt gasite si exploatate. In peisajul amenintarilor de astazi, companiile care au un potential de risc foarte mare sunt primele care adopta noua tehnologie de securitate – companii din domeniul bancar, industria de aparae, etc – dar totusi istoria se repeta mereu. Ca si firewall-urile in trecut, hackerii gasesc tot timpul modalitati noi de a eluda formele de securitate.

Solutiile de sandbox, un plus relativ recent la arsenalul de securitate, a fost construit pe o platforma de masini virtuale (VMs) pentru a replica un Windows PC pentru a executa si analiza fisiere suspicioase si pentru a dedecta compartamente malitioase. Confruntati cu  aceste mecanisme noi de aparare, infractorii cibenetici au creat un nou tip de malware, care este un malware VM-aware, alias sandbox evaziv. Acest malware este atat de sofisticat incat poate spune daca este intr-un mediu virtual si va evita detectarea pana cand acesta este eliberat intr-un PC printr-un echipament de sandboxing. Malware-ul se comporta asa cum s-ar comporta orice continut benign intr-un VM si poate monitoriza chiar miscarile mouse-ului, dar, imediat ce se afla in fata unei finite umane, se va comporta asa cum este proiectat.

Un atac VM poate targeta un folder sau aplicatie anume, despre care se stie ca este folosita in mod constant de organizatie. Unele atacuri pot ramane ascunse pana la o anumita data, ademenind sandboxingul sa creada ca este benign. Acest lucru este adevarat mai ales in cazul in care malware-ul evaziv VM modifica codul pentru a evita detectarea chiar si dupa ce a intrat in sandbox. Atacurile multi-stat si multi-vectoriale sunt tot mai obisnuite ca atacuri provenind din mai multe locuri, precum spearphising combinat cu un USB drive corrupt.

Infractorii cibernetici pot folosi chiar SSL criptat pentru a prolifera un atac-veti primi un e-mail de la colegul dumneavoastra, veti da click pe un link ce va va duce intr-un tunel SSL criptat. Acesta ascunde atacul de uneltele de analiza traditionale pentru malware-uri. Este dificil sa –l depistati chiar si atunci cand il cautati in mod expres – puteti verifica tunelul de SSL re-directat in browserul PC-ului, dar nu il veti putea vedea in browser-ul telefonului sau in aplicatiile mobilului.

Uneltele de analiza ale malware-ului sunt la fel de eficiente precum mediile pe care le imita. Trebuie avut in  vedere ca infractorii cibernetici se asteapta ca malware-ul sa fie analizat in sandbox. Uneltele de analiza a malware-ului care au capacitatea de a combate noua generatie de malware ar trebui sa poata analiza malware-ul atat in modul de emulare bare-metal, dar si in modul VM pentru a putea detecta comportamentul de tip evaziv VM si sa ofere o analiza de tip utilizator fantoma, cum ar fi imitarea miscarilor mouse-ului, pacalind malware-ul ca este in fata unui om. Solutia Blue Coat Malware Analysis Appliance foloseste aceasta analiza de generatie urmatoare pentru a va ajuta sa luptati cu noua generatie de malware.

https://www.bluecoat.com/company-blog/2014-09-10/next-generation-malware

Cautati informatii