Malware

Malware (software malicioso)

Inteligencia Artificial, la evolución de la detección y protección de malware/virus. Las soluciones actuales utilizan múltiples métodos y tecnologías para la detección de malware, incluso la inteligencia artificial y machine learning.

Existen varios tipos malware como virus, gusanos, caballos de troya, botnet, ransomware, etc. Por lo general estos están inactivos hasta que se genere un evento de activación por parte de los usuarios o del sistema remoto que los controla. Estos pueden propagarse a través de diferentes medios como correo electrónico, medios compartidos, transferencia de archivos, descarga de archivos, navegación en internet, medios de almacenamiento extraíbles, entre otros.

Las amenazas actuales son desarrolladas con altos niveles de complejidad, estas son automatizadas para que puedan encontrar una puerta abierta o una puerta trasera en los sistemas a través de diferentes medios y alojarse dentro del mismo. Luego de esto el objetivo del malware es replicarse fácilmente y poder comprometer miles o millones de sistemas en un lapso corto de tiempo. El malware es diseñado para llevar a cabo una amplia gama de actividades maliciosas, una vez este ha comprometido un sistema empieza a desarrollar estas actividades como por ejemplo buscar y obtener información sensible de las personas o las organizaciones (números de tarjetas de crédito, contraseñas, números de identificación, información de cuentas bancarias, credenciales, información personal), para que luego de conseguir su objetivo establezca comunicación con un equipo remoto para enviar toda la información colectada pasando totalmente desapercibido.

Tipos de análisis y detección:

Basado en firmas: a través de este método el software antimalware/virus recibe actualizaciones diarias de firmas que son huellas digitales de códigos y archivos maliciosos que son reconocidos a nivel global por los fabricantes de estas soluciones. Una desventaja de este modelo es que las amenazas de hora cero no son reconocidas fácilmente, ya que se depende de la identificación, condensacion y liberación de la firma a nivel global

Heuristico: este es mas avanzado y analiza a profundidad las características de un archivo para llevar un conteo y determinar con su inteligencia de acuerdo a un umbral,  si este es una amenaza que tiene características maliciosas. Este método también puede no ser tan efectivo si la inteligencia de la solución no es alimentada o actualizada correctamente contra las amenazas de hora o día cero.

Comportamientos: este supervisa y analiza constantemente la actividad de las aplicaciones, programas, servicios y procesos que corren en el sistema operativo para determinar si tienen comportamientos maliciosos, sin hacer exclusión alguna de aplicaciones conocidas y confiables como word, excel, pdf, etc. Por ejemplo si un archivo PDF trata de leer y escribir en el registro del sistema, esto se puede considerar como un comportamiento anormal y malicioso, y la solución actuaria neutralizando el mismo. Las aplicaciones conocidas y “confiables”, también tiene la posibilidad de ser infectadas y realizar actividades maliciosas. La desventaja de este modelo similar a los anteriores es que depende de las actualizaciones recibidas cada día de reputación y comportamientos, para una mayor efectividad de sus módulos y algoritmos.

* * Inteligencia artificial (Tendencia):

Ahora hay un nuevo modelo de análisis y detección considerado de ultima generación, soluciones que utilizan inteligencia artificial (AI) para identificar amenazas. Para la solución en mención, se recolecto una gran bases de datos millones de muestras de malware y virus, los cuales fueron analizados individualmente mediante procesamiento cuántico (gran procesamiento), y a cada código o archivo se le identifico cerca de 3.000 características particulares con el objetivo de conocer mas acerca de los mismos. Luego de esto fueron desarrollados algoritmos con inteligencia de aprendizaje que utilizan machine learning (ML) para reconocer si un código, software o archivo es malicioso de acuerdo al gran análisis de probabilidades realizado mediante inteligencia algorítmica. Este nueva tendencia que tiene una gran ventaja frente a los métodos tradicionales, ya que no necesita de tantas actualizaciones de firmas y comportamientos liberadas, sino que autonomamente puede reconocer amenazas de forma predictiva incluso antes de que sean desarrolladas (Si). Por ejemplo si el algoritmo tiene una actualización del año pasado es posible que identifique y neutralice una amenaza desarrollada el día de hoy; esto sucedió con WannaCry que fue detectado con una actualización del algoritmo 6 meses inferior al día de liberación y contaminación global que sucedió en 2017.

La proliferación de malware tiene una relación directa con la gran cantidad de dispositivos y sistemas que pueden ser vulnerados y de los cuales pueden obtener muchos beneficios sin riesgo de ser detectados.

Las soluciones modernas tienen análisis en tiempo real que supervisa todo lo que se ejecuta en los dispositivos para determinar si algo es malicioso, por ejemplo mientras un usuario trabaja con normalidad, navega, transfiere, copia o descarga informacion, instala o corre un programa; alguna amenaza puede ejecutarse en el equipo sin ser percibido, pero la solución anti malware/virus detecta esta anomalía y lo neutraliza como se puede ver a continuación.

Hay 6 elementos que son comunes en el malware, sin embargo no es necesario que todos ellos tomen lugar o se cumplan:

  • InserciónSe instala el mismo en el sistema de la victima
  • EvasiónUsa métodos para evitar ser detectado
  • ErradicaciónSe remueve el mismo luego de que la carga o la acción ejecutada
  • ReplicaciónHace una copia de sí mismo y extiende hacia otras victimas
  • DesencadenanteUsa un evento específico para iniciar la su ejecución
  • Acción (carga)Lleva a cabo su función como eliminar archivos, instalar una puerta trasera, explotar una vulnerabilidad, cambiar atributos, cifrar archivos, etc).

Es importante que los usuarios finales tengan un conocimiento y una cultura general del manejo de los recursos tecnológicos para prevenir la infección de algún tipo de código malicioso (malware), como por ejemplo no abrir archivos ejecutables ni enlaces web sospechosos que vengan adjuntos en el correo electrónico, ni siquiera si estos provienen de una fuente conocida, ya que muchas cuentas de correo electrónico han sido infectadas y la libreta de contactos de la misma es utilizada para el reenvió de mensajes infectados con malware hacia sus contactos personales.

El malware se almacena habitualmente en la memoria RAM y no se en el disco duro, lo que hace que sea más difícil de detectar. La memoria RAM es vaciada cuando el sistema se apaga o se reinicia, por lo cual casi no hay evidencia de que el malware estaba allí alojado. El malware puede ser instalado en un proceso donde el usuario es engañado al dar clic sobre algo malintencionado (enlace web, mensaje del sistema, ventana emergente) que infecta el dispositivo.

** Capacítese en ciberseguridad con nuestro cursos en linea, ver aquí

Comparta este contenido en redes sociales: