Malheur: el aprendizaje automático aplicado al análisis de malware

Cuando nos enfrentamos al análisis de códigos maliciosos tenemos múltiples herramientas y métodos para obtener información sobre el comportamiento de una muestra en particular. Pero cuando queremos determinar patrones de comportamiento entre varias muestras o encontrar semejanzas u otras características que puedan ser comunes, debemos pasar a utilizar algoritmos de machine learning que nos permitan este tipo de análisis.

El equipo de investigación en Computer Security de la universidad alemana de Göttingen desarrollaron Malheur, una herramienta bastante interesante desarrollada en lenguaje C que a partir de los resultados de análisis dinámicos de muestras de códigos maliciosos permite descubrir y clasificar el malware en diferentes clases utilizando algoritmos de aprendizaje automático. Como característica adicional, Malheur tiene algunas funciones para integrarse con entornos basados en Matlab.

Los análisis realizados con esta herramienta, se pueden complementar con opciones para visualizar los datos de otros algoritmos como sdhash, para encontrar similitudes entre códigos maliciosos.

Funcionamiento de la herramienta

Malheur a partir de los resultados de análisis dinámicos permite realizar un perfil del comportamiento de diferentes muestras de códigos maliciosos. La base para hacer este tipo de análisis son los patrones de comportamiento que tiene cada malware. Características como la creación o modificación de archivos del sistema, llaves de registro u otros comportamientos sobre un sistema operativo afectado permite encontrar patrones que pueden ser explotados con algoritmos de agrupamiento y clasificación.

Lo interesante del enfoque en el funcionamiento de esta herramienta, es que a partir del análisis del comportamiento de cada muestra se evita lidiar con problemas como la ofuscación de código o el empaquetamiento de la muestra. Obviamente hay que ser cuidadosos con aquellas muestras que tengan algún tipo de protección para no ejecutarse en un entorno controlado como puede ser una sandbox.

Una característica de Malheur es el análisis incremental para grandes conjuntos de datos. Con el uso de procesamiento por secciones los requisitos de tiempo de ejecución y de memoria se reducen significativamente.

Algoritmos utilizados por Malheur

En particular la herramienta utiliza dos conceptos de aprendizaje para el análisis. La implementación de algoritmo de clustering de acuerdo al comportamiento de la muestra, que permite la identificación de nuevas clases de malware de acuerdo a las acciones realizadas sobre el sistema y la implementación de algoritmos de clasificación.

Con el algoritmo de clustering a partir del comportamiento se pueden identificar grupos de muestras con un comportamiento similar. Estos algoritmos de agrupamiento permiten descubrir nuevas clases de malware y pueden ser utilizados para detectar familias de amenazas que puedan ser utilizadas para crear firmas por ejemplo.

También tiene la opción de utilizar algoritmo de clasificación, de tal forma que a partir de los resultados de clustering se pueden asignar nuevos comportamientos a grupos conocidos de códigos maliciosos. Con esto es posible llegar a detectar nuevas variantes y obtener información relevante para análisis más profundos.

Con el análisis realizado se logra la extracción de prototipos, que son un subconjunto de muestras que tengan características representativas para todo el conjunto de datos completo. Estos prototipos proporcionan una visión rápida de la conducta registrada y se puede utilizar para disparar algunos análisis que se hagan manualmente.

Este tipo de técnicas resultan interesantes para entender cuál es la lógica detrás de la creación de este tipo de amenazas o determinar, por ejemplo, cuáles son las características de las campañas de propagación. Además con estas herramientas los investigadores tienen alternativas eficientes para adaptar los modelos de seguridad a las amenazas que cada vez son más cambiantes.

Cómo detectar direcciones web maliciosas (sin pincharlas)

Las infecciones causadas por enlaces o sitios web maliciosos son uno de los mayores problemas a los que se enfrenta la seguridad informática actualmente. Estas URLs acostumbran a ejecutar programas en el ordenador del usuario, en la mayor parte de los casos furtivamente. Por lo que a este le parece que el sitio funciona con total normalidad. Pero nada más lejos de la realidad.

El malware explota vulnerabilidades en los programas instalados de nuestro ordenador para, de esta forma, sustraer nuestra información, datos personales, desviarnos hacia contenidos indeseables, ilegales o spam, o llevar a cabo cualquier otra actividad con alguna finalidad fraudulenta.

Hacer click en algunos de estos links es más fácil de lo que parece. Sin embargo, existen algunas claves que nos pueden ayudar a no caer en la trampa.

Alterando letras o caracteres

Es una de las prácticas más habituales. Puede parecer que estamos entrando en una dirección web determinada, pero hacerlo en realidad en otra maliciosa. El error se produce porque no hemos leído detenidamente la URL.

Un ejemplo de esto lo tenemos en el dominio http://www.rnicrosoft.com en lugar del correcto http://www.microsoft.com. ¿Les ha resultado complicado distinguirlos? No se preocupen. Es normal. La r y la n juntas parecen una m. Y como este caso hay mil más. Algo de lo que se valen los ciberdelincuentes para crear dominios fraudulentos. Ahora supongan que les sucede con la dirección web de su banco.

No es el único efecto visual del que se aprovechan. En otras ocasiones directamente cambian el tipo de letra logrando que ni el ojo más experto se percate. “Estamos hablando de aquellos hackers que utilizan enlaces con caracteres Unicode pertenecientes a otros alfabetos como el cirílico, pero que pueden confundirse con el nuestro”, ha explicado a Teknautas Josep Albors, director de Comunicación y Laboratorio de Eset España.

Veamos un ejemplo: http://www.exɑmple.com. Aparentemente no hay nada extraño en este enlace, ¿verdad?. Pero en realidad sí que lo hay. “Si nos fijamos con atención veremos que el carácter que nosotros identificamos como una a es en realidad una ɑ. Puede que para nosotros esto no suponga mucha diferencia, pero cuando hablamos de ordenadores que se comunican entre sí hay todo un mundo entre el carácter Unicode U+0061 (a) y el carácter U+0251 (ɑ)”, ha concluido el experto en informática.

Direcciones abreviadas

Cada vez hay más direcciones abreviadas en internet. Sin embargo, esto conlleva muchos peligros. “No sabes dónde estás entrando. Puedes estar metiéndote en una página falsa que te lleve a otra maliciosa y no saberlo. Todos los peligros de los que hablamos cuando navegamos por la red están reunidos en una dirección abreviada. Es como entrar a ciegas. Pero la gente se fía”, ha argumentado a este diario Fernando de la Cuadra, director de Educación de Eset España.

La clave en estos casos está en comprobar la procedencia en aquellos supuestos en los que sospechamos.

Ahora mismo el riesgo más elevado de infección se encuentra en los acortadores de URLsSegún Daniel Creus, informático de Kaspersky: “Ahora mismo el riesgo más elevado de infección se encuentra en los acortadores de URLs. Se aconseja tener en cuenta el contexto en el que nos llega. Si nos hace sospechar lo recomendable es comprobar que la dirección es segura acudiendo al proveedor”. Por ejemplo, el servidor bit.ly ofrece la posibilidad de ver un preliminar de la dirección. Te dice hacia qué sitio apunta e incluso ofrece una captura de pantalla. Esto es una buena medida cautelar, aunque también es cierto que resulta algo incómodo.

En este último caso también se puede además copiar y pegar la URL en el navegador añadiendo un símbolo + al final. De esta forma se accede a la vista preliminar de bit.ly en lugar de ir al destino.

“Si el proveedor no ofrece este servicio se puede buscar en Google y escribir la URL que nos han enviado. Puede ser que haya sido denunciada por el resto de usuarios”, ha añadido Creus.

Por otro lado existen complementos para navegadores que hacen la traducción a la URL larga. Un ejemplo lo tenemos en longURL.

Trampas imposibles de distinguir

Por último, también es habitual que los ciberdelincuentes se aprovechen de la característica de la escritura derecha-a-izquierda de la codificación Unicode para ocultar la verdadera extensión de un fichero malicioso. Es decir, que creen ficheros con una terminación determinada, pongamos por caso, fdp en hebreo, y que al convertirlo nuestro navegador lo transforme en pdf.

“Con esto consigues engañar al usuario y que se crea que está abriendo un documento pdf seguro, cuando en realidad está accediendo a un troyano”, ha explicado Fernando de la Cuadra. No podemos detectar a simple vista este tipo de malware pero sí hacer uso de webs que analizan ficheros como por ejemplo VirusTotal o URL X-ray.

Fuente:http://www.elconfidencial.com/

Servicio Antibotnet, la amenaza de las redes zombies

Imagen decorativa post servicio AntiBotnet

El servicio AntiBotnet de la OSI te permite conocer si desde tu conexión a Internet hay algún equipo que pueda estar afectado por una botnet y en caso afirmativo, te orienta con información y herramientas de desinfección.
El Servicio AntiBotnet pone a tu disposición un mecanismo que te permite conocer si existen amenazas o incidentes de ciberseguridad relacionados con redes de ordenadores comprometidos o botnets (ordenadores infectados con un tipo de virus que es capaz de controlar el equipo de forma remota para llevar a cabo acciones maliciosas) asociados a tu conexión a Internet. Para ello se chequea la dirección IP pública que tengas asignada en cada momento contra nuestra base de datos. La finalidad del servicio es proporcionarte información y herramientas que puedan ayudarte en la desinfección de los dispositivos afectados, contribuyendo así a un Internet más confiable y seguro para todos. El servicio AntiBotnet es fruto de una estrecha colaboración público-privada, entre la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información (SETSI), INTECO y los principales operadores de Internet nacionales.
El servicio AntiBotnet complementa a otros nuevos servicios que hemos puesto en marcha a lo largo de este año (CONAN mobile, Historias reales, y “Qué deberías saber”). Con una nueva imagen desde junio, la OSI evoluciona manteniendo la esencia. A través de nuestra página web (www.osi.es) queremos ayudarte a evitar y resolver los problemas de seguridad que pueden existir al navegar por Internet. Por eso, hemos puesto a tu disposición contenidos multimedia, herramientas para proteger tu smartphone y tableta, un sistema de alerta de amenazas, etc. Además contamos con un servicio de atención al internauta donde podremos resolver tus dudas y problemas relacionados con la seguridad online.

Fuente:https://www.osi.es/es/

Cisco lanza el primer firewall de próxima generación de la industria enfocado en las amenazas

Cisco lanza el primer firewall de próxima generación de la industria enfocado en las amenazas

Cisco ha presentado hoy el primer firewall de próxima generación (NGFW, Next-Generation Firewall) de la industria enfocado en las amenazas avanzadas, diseñado para cambiar la forma en que las organizaciones se protegen frente a las amenazas más sofisticadas.

Cisco ASA con Servicios FirePOWER proporciona toda la información contextual y los controles dinámicos necesarios para analizar las amenazas de manera automática, correlacionar inteligencia y optimizar las defensas con el fin último de proteger todas las redes.

Al integrar el contrastado firewall Cisco ASA 5500 Series con control de aplicaciones con los sistemas de Prevención de Intrusiones de próxima generación (NGIPS, Next-Generation Intrusion Prevention Systems) y la Protección frente a Malware Avanzado (AMP, Advanced Malware Protection) de Sourcefire, Cisco proporciona una defensa integrada frente a las amenazas en todas las etapas de los ataques: antes, durante y después.

Cisco ASA con Servicios FirePOWER constituye así una nueva generación de sistemas NGFW con mayores capacidades, adaptivos y enfocados en las amenazas que facilitan una protección multi-capa superior. Hasta ahora, los equipos NGFW se han centrado en el control de políticas y aplicaciones, siendo incapaces de proteger frente a las amenazas avanzadas y los ataques de día cero. Cisco ASA con Servicios FirePOWER transforma este escenario, ofreciendo una aproximación con completa visibilidad, enfocada en las amenazas y basada en plataforma:

  • Completa visibilidad, ofreciendo información contextual de usuarios, dispositivos móviles, aplicaciones cliente, comunicaciones máquina-a-máquina virtuales, vulnerabilidades, amenazas, URLs y otra información telemétrica relevante. Sus capacidades de gestión de clase empresarial proporcionan a los usuarios cuadros de mando e informes estructurados sobre hosts, aplicaciones, amenazas e indicadores de compromiso (IoCs) descubiertos para obtener así una completa visibilidad.
  • Enfocada en las amenazas, incorporando sistemas de Prevención de Intrusiones de próxima generación para facilitar una completa protección frente a amenazas conocidas y avanzadas, así como Protección frente a Malware Avanzado, ataques de día cero y ataques persistentes. Su analítica de Big Data, la funcionalidad de análisis continuo y Cisco Collective Security Intelligence (CSI) trabajan conjuntamente para proporcionar capacidades de detección, bloqueo, seguimiento, análisis y eliminación que permiten a las organizaciones protegerse frente a todo el espectro de ataques, conocidos y no conocidos.
  • Basada en plataforma, combinando en un mismo dispositivo funcionalidad firewall contrastada y control de aplicaciones, capacidad de prevención de intrusiones de próxima generación líder y detección y eliminación avanzada de brechas de seguridad. Esta integración proporciona a las organizaciones una mayor protección a la par que minimiza la complejidad y los costes operativos reduciendo el número de dispositivos de seguridad que se necesitan desplegar y gestionar, además de evitar la adquisición de licencias añadidas que tradicionalmente se necesitan para ampliar la funcionalidad de los equipos heredados.

Como consecuencia del actual escenario de amenazas -que evolucionan rápidamente en número y complejidad- y de los cambiantes modelos de negocio, las organizaciones deben transformar sus estrategias de seguridad reduciendo el tiempo que se tarda en mitigar las amenazas mediante una aproximación verdaderamente integrada y enfocada en las amenazas.

Igualmente, frente a la posibilidad del robo de propiedad intelectual o información confidencial y la consecuente pérdida de credibilidad, se requiere una completa cobertura de todos los vectores de ataque potenciales y la capacidad de aprender de nuevos métodos de ataque para después aplicar dicha inteligencia en beneficio propio. Cisco ASA con Servicios FirePOWER ofrece esa defensa integrada frente a amenazas para ayudar verdaderamente a los negocios a protegerse frente al mayor riesgo de seguridad: las amenazas avanzadas y los ataques de día cero.

Cisco ASA con Servicios FirePOWER proporciona una visibilidad superior y un análisis continuo para detectar amenazas avanzadas multi-vector y optimizar y automatizar la respuesta tanto para el malware conocido como para el no conocido. También ofrece funcionalidad holística de Indicadores de Compromiso para acelerar el análisis de amenazas y la eliminación retrospectiva, así como respuesta integrada frente a incidentes y detección de actualización de políticas automática.

Todas estas novedades se apoyan en un firewall con seguimiento de estado de clase empresarial, VPN, clustering avanzado y controles granulares de capa de aplicaciones y basados en el riesgo que evocan las políticas NGIPS personalizadas de detección de intrusiones para optimizar su efectividad. Además, la integración de seguridad open source con Snort, OpenAppID y ClamAV permite a las organizaciones personalizar la seguridad de forma sencilla para responder a nuevas amenazas o amenazas y aplicaciones específicas tan rápido como sea posible.

Las organizaciones pueden aprovechar las ventajas de esta nueva solución de dos maneras:

  • Cisco ASA con Servicios FirePOWER (los clientes pueden adquirir los equipos ASA 5500-X Series y ASA 5585-X Series con una licencia de Servicios FirePOWER).
  • Servicios FirePOWER para Cisco ASA (los clientes pueden habilitar los servicios FirePOWER en sus actuales equipos ASA 5500-X Series y ASA 5585-X Series).

Junto a sus partners, Cisco también ofrece servicios de seguridad técnicos y profesionales para ayudar a los negocios a acelerar la migración desde sus actuales entornos de seguridad hacia la nueva aproximación de defensa integrada frente a amenazas que proporciona Cisco ASA con Servicios FirePOWER. Avalados por una gran experiencia, herramientas y procesos contrastados y disponibilidad global, los servicios de seguridad de Cisco ayudan a las organizaciones a realizar esta transformación con rapidez y de manera sencilla.

 

5 Mejores Herramientas – Seguridad y Hacking

En general, todas estas herramientas que describiremos a continuación son herramientas de seguridad y hacking. Estas se utilizan para fines tanto legales como ilegales, y por lo tanto, la mayoría de las personas piensan que estas herramientas son solo utilizadas por hackers maliciosas (algo totalmente fuera de la realidad), cuando en realidad están diseñadas para ayudar a los administradores y profesionales de seguridad a asegurar las redes y los sistemas de información.

1.-Nmap

nmap

Nmap (“Network Mapper”) es una herramienta gratuita de código abierto para la exploración de la red o la auditoría de seguridad. Fue diseñado para analizar rápidamente grandes redes, aunque funciona muy bien contra equipos individuales. Nmap utiliza paquetes IP para determinar qué hosts están disponibles en la red, qué servicios (nombre de la aplicación y la versión) estos equipos ofrecen, qué sistemas operativos (y versiones del sistema operativo) se están ejecutando, qué tipo de filtros de paquetes o cortafuegos están en uso, y docenas de otras características. Nmap se ejecuta en la mayoría de los ordenadores y la consola y versiones gráficas están disponibles. Nmap es libre y de código abierto.

Clic aquí descargar la versión de Linux

Clic aquí para descargar la versión de Windows

2.-John the Ripper

jhonthe ripper

John the Ripper es esencialmente una herramienta de descifrado de contraseñas que se desarrolló para sistemas tipo UNIX. También sus desarrolladores han extendido su apoyo a los sistemas Windows y MAC.

El software es utilizado por muchos usuarios para probar la fortaleza de la contraseña elegida. Obviamente, esta herramienta también puede ser usada para descifrar las contraseñas y entrar en un sistema. Es compatible tanto con ataque de diccionario (probando todas las palabras en el diccionario, de ahí que nunca se debe elegir una palabra que se ha encontrado en el diccionario) y ataque de fuerza bruta (en este caso todas las posibles combinaciones son juzgados – por lo tanto, si usted elige una contraseña que es alfanumérico y largo plazo, será difícil romperlo).

Clic aquí para descargar la versión de Linux

Clic aquí para descargar la versión de Windows

3.-Wireshark

wireshark

Wireshark es un programa analizador de protocolos de red o sniffer, que le permite capturar y navegar de forma interactiva por los contenidos de los paquetes capturados en la red. El objetivo del proyecto fue crear un analizador de calidad comercial para Unix. Funciona muy bien en Linux y Windows (con una interfaz gráfica de usuario), fácil de utilizar y puede reconstruir flujos TCP / IP y VoIP!

Clic aquí para descargar la versión de Linux

Clic aquí para descargar la versión de Windows

4.-NetStumbler

netstunbler

NetStumbler es una herramienta de detección de redes inalámbricas para Windows. NetStumbler es una herramienta para Windows que permite detectar redes de área local (WLAN), usando 802.11b, 802.11ay 802.11g.

Algunos de los usos de esta herramienta son:

  • Verificar que su red esta configurada de la manera segura.
  • Buscar lugares con baja cobertura en su WLAN.
  • Detectar otras redes que puedan estar causando interferencias en la red.
  • Detectar AP no autorizados “rogue” en su lugar de trabajo.
  • Ayudar a apuntar antenas direccionales para enlaces de larga distancia WLAN.

El equivalente de NetStumbler para Linux se llama Kismet.

Clic aquí para descargar la versión de Linux (Kismet)

Clic aquí para descargar la versión de Windows

5.-Metasploit

metasploit_logo

El Proyecto Metasploit es un proyecto de seguridad informática que proporciona información sobre las vulnerabilidades, ayuda en las pruebas de penetración y en la ejecución de la explotación de vulnerabilidades de seguridad. Metasploit representa un conjunto de herramientas que ayuda a los profesionales de seguridad y hacker a llevar a cabo ataques informáticos de manera sistematizada y automatizada.

Su más conocido sub-proyecto es el marco de código abierto Metasploit, una herramienta para el desarrollo y ejecución de código de explotación en contra de un equipo o sistema de información destino remoto. Otros importantes sub-proyectos son la base de datos Opcode, archivo shellcode, e investigaciones de seguridad.

Clic aquí para descargar la versión de Linux

Click aquí para descargar la versión de Windows

Recuerda que para prevenir estos ataques no basta con el conocimiento teórico sino ponerlo en practica, para prevenir ser victima de algun metodo de hacking te recomendamos tomes tus medidas de seguridad. Si consideras que este articulo agrega valor a tu vida, te invito a compatirlo con todas aquellas personas que les pueda interesar ser mejores profesionales.