Detección y evasión de defensas
DETECCIÓN Y EVASIÓN DE DEFENSAS
Podemos encontrar herramientas de seguridad podemos encontrarlas en:
- RED: IDS, Firewall, herramienta anomalías, WAV, balanceadores, etc
- Equipos: antivirus, EDR, LP, etc
Todas ellas implementan un motor de detección para servir.
La mayoría implementan un:
STATIC SIGNATURE ANALYSIS
:
- Se fundamenta en el concepto de lista negra o blacklist
- Cuando un nuevo malware es detectado los analistas crean unas firmas para detectarlo.
- Las firmas suelen basarse en los primeros bytes del binario para identificarlo.
- El problema de este enfoque es que no permite detectar nuevo malware o modificaciones sobre el existente.
Una firma consiste en un patrón de caracteres o bytes que corresponden normalmente con los primeros del malware, de manera que cuando la herramienta analice el software comprueba esos bytes por si aparecen o no y si es así bloquea el binario.
Otros mecanismos pueden ser:
STATIC HEURISTIC ANALYSIS:
- Se fundamenta en blacklists
- Se crean reglas que verifican patrones que normalmente se encuentran en malware
- Estos patrones involucran artefactos como llamadas al sistema, procesos, escrituras en memoria...
- Permiten identificar malware reciente o modificado.
Se basa en un análisis del comportamiento del malware.
DYNAMIC ANALISIS:
- Cuando se escanea un malware, se ejecuta en un entorno virtual durante un periodo de tiempo
- Se combina con las técnicas anteriores y permite detectar malware nuevo, modificado o que se encuentre cifrado.
- Consume mucho más tiempo y recursos que las técnicas anteriores y no suele realizarse a no ser que se indique expresamente.
Por ejemplo si un binario está cifrado u ofuscado y no puede analizar comportamientos previos a la ejecución y solo cuando ya se ha cargado en memoria.
Para evitar esto este tipo de análisis coge el binario, lo lleva a un entorno virtual, lo ejecuta durante un tiempo. Recauda todas las acciones que ha realizado el malware y junta las dos anteriores técnicas para intentar determinar si es un binario malicioso o legítimo.
Este método es raro que se utilice de forma usual.
TIPOS DE HERRAMIENTAS DE SEGURIDAD
:
- →
→ RED:
- Balanceadores
- WAF (Web Application Firewall)
- Network Firewall
- IDS/IPS
- NDR (Network Detection and Response)
- Sistemas de detección de anomalias
- ...
- →
→ Endpoint:
- Antivirus
- EDR (Endpoint Detection and Response)
- DLP (Data Loss Prevention)
- HIDS
- Local Firewall
- ...
Con todo esto veremos que a veces podemos saltarnos estas defensas simplemente ofuscando el código y otras no.