Boletines

Boletines
Hits: 138

Cómo detectar nuevas amenazas a través de actividades sospechosas

Star InactiveStar InactiveStar InactiveStar InactiveStar Inactive
 
El malware desconocido representa una importante amenaza para la ciberseguridad y puede causar graves daños tanto a organizaciones como a particulares. Cuando no se detecta, el código malicioso puede obtener acceso a información confidencial, corromper datos y permitir a los atacantes hacerse con el control de los sistemas. Descubra cómo evitar estas circunstancias y detectar eficazmente comportamientos maliciosos desconocidos.

 

Retos de la detección de nuevas amenazas

Mientras que las familias de malware conocidas son más predecibles y pueden detectarse con mayor facilidad, las amenazas desconocidas pueden adoptar formas muy diversas, lo que plantea un montón de retos para su detección:

  • Los desarrolladores de malware utilizan el polimorfismo, que les permite modificar el código malicioso para generar variantes únicas del mismo malware.
  • Hay programas maliciosos que aún no están identificados y no disponen de reglas para su detección.
  • Algunas amenazas pueden ser totalmente indetectables (FUD) durante algún tiempo y desafiar la seguridad perimetral.
  • El código suele estar cifrado, lo que dificulta su detección por las soluciones de seguridad basadas en firmas.
  • Los autores de programas maliciosos pueden utilizar un enfoque "bajo y lento", que consiste en enviar una pequeña cantidad de código malicioso a través de una red durante mucho tiempo, lo que dificulta su detección y bloqueo. Esto puede ser especialmente perjudicial en las redes corporativas, donde la falta de visibilidad del entorno puede dar lugar a actividades maliciosas no detectadas.

Detección de nuevas amenazas

Al analizar familias de malware conocidas, los investigadores pueden aprovechar la información existente sobre el malware, como su comportamiento, cargas útiles y vulnerabilidades conocidas, para detectarlo y responder a él.

Pero cuando se trata de nuevas amenazas, los investigadores tienen que empezar desde cero, utilizando la siguiente guía:

Paso 1. Utilizar la ingeniería inversa para analizar el código del malware e identificar su propósito y naturaleza maliciosa.

Paso 2. Utilizar el análisis estático para examinar el código del malware e identificar su comportamiento, cargas útiles y vulnerabilidades.

Paso 3. Utilice el análisis dinámico para observar el comportamiento del malware durante su ejecución.

Paso 4. Utilizar sandboxing para ejecutar el malware en un entorno aislado y observar su comportamiento sin dañar el sistema.

Paso 5. Utilizar la heurística para identificar código potencialmente malicioso basándose en patrones y comportamientos observables.

Paso 6. Analizar los resultados de la ingeniería inversa, el análisis estático, el análisis dinámico, el sandboxing y la heurística para determinar si el código es malicioso.

Existen multitud de herramientas, desde Process Monitor y Wireshark hasta ANY.RUN, que le ayudarán a realizar los 5 primeros pasos. Pero, ¿cómo sacar una conclusión precisa, a qué debes prestar atención mientras tienes todos estos datos?

La respuesta es sencilla: céntrate en los indicadores de comportamiento malicioso.

Supervise las actividades sospechosas para una detección eficaz

Para detectar amenazas se utilizan diferentes firmas. En terminología de seguridad informática, una firma es una huella o patrón típico asociado a un ataque malicioso a una red o sistema informático.

Parte de estas firmas son de comportamiento. Es imposible hacer algo en el sistema operativo y no dejar ningún rastro. Podemos identificar qué software o script fue a través de sus actividades sospechosas.

Se puede ejecutar un programa sospechoso en un sandbox para observar el comportamiento del malware e identificar cualquier comportamiento malicioso, como:

  • actividad anormal del sistema de archivos,
  • creación y terminación de procesos sospechosos
  • actividad de red anormal
  • lectura o modificación de archivos del sistema
  • acceder a recursos del sistema
  • crear nuevos usuarios
  • conectarse a servidores remotos
  • ejecutar otros comandos maliciosos
  • explotar vulnerabilidades conocidas del sistema

Microsoft Office inicia PowerShell - parece sospechoso, ¿verdad? Una aplicación se añade a sí misma a las tareas programadas - definitivamente preste atención a ello. Un proceso svchost se ejecuta desde el registro temporal - definitivamente algo va mal.

Siempre se puede detectar cualquier amenaza por su comportamiento, incluso sin firmas.

Fuente: https://thehackernews.com/2023/02/how-to-detect-new-threats-via.html

Rating:
( 0 Rating )

Búscar

Últimas Noticias

Información

CSIRT CELEC EP

Respuesta a Incidentes de Ciberseguridad (Análisis, Gestión, Coordinación) de nuestra Comunidad Objetivo.

Dirección: Panamericana Norte Km 7 Cuenca-Ecuador

Zona horaria: América / Guayaquil (GMT-0500)

Teléfono: +593 02 2900400  Ext: 3119

 

Últimas Noticias

Csirts Ecuador

Acceso Rápido

Search