AtomBombing Windows Panda

AtomBombing, una nueva amenaza para tu Windows

atombombing-nueva-amenaza-windows

©Microsoft

Actualizado 10 | 11 | 2016 10:18

AtomBombing Windows

Hace unos días Tal Liberman, un investigador de seguridad de la empresa enSilo, mostró una nueva técnica de inyección de código que afecta a todas las versiones de Windows, incluyendo Windows 10. Debido a la naturaleza de esta técnica es poco probable que pueda ser parcheada. Desde PandaLabs analizamos cómo funciona esta técnica, sus consecuencias y qué podemos hacer para protegernos.

¿Cómo funciona?

Básicamente este ataque se aprovecha de funcionalidades del propio sistema operativo para inyectar código malicioso para que sea ejecutado por un proceso legítimo. Aunque no es tan distinto a lo visto en otros ataques desde hace tiempo (desde hace décadas existe malware que se inyecta en otros procesos) es cierto que el uso de las atom tables (proporcionadas por Windows para permitir el almacenamiento y acceso a datos a aplicaciones) no es –hasta ahora- común y pasará desapercibido por muchas soluciones de seguridad.

Esta nueva técnica no es común y pasará desapercibido por muchas soluciones de seguridad.

La mejor explicación que podemos encontrar es la que ha escrito Tal en su artículo “AtomBombing: A Code Injection that Bypasses Current Security Solutions”.

Si no hay parche y afecta a todas las versions de Windows, ¿estamos ante un peligro como nunca antes hemos visto?

Realmente no. Para empezar, de cara a utilizar esta técnica el malware tiene primero que ser ejecutado en la máquina. Esto no se puede utilizar para lanzar ataques remotos y comprometer tu ordenador. Los ciberdelincuentes deberán utilizar algún exploit o engañar a algún usuario para que se descargue y ejecute el malware, y cruzar los dedos para que la solución de seguridad instalada no lo pare.

¿Es algo realmente nuevo?

La forma en la que el ataque es llevado a cabo para inyectar código es nueva, aunque como hemos mencionado anteriormente, hay gran cantidad de ejemplares de malware que utilizan desde hace mucho tiempo técnicas de inyección de código. Por ejemplo, es algo que vemos frecuentemente en diferentes familias de ransomware.

Es nuevo, pero no tan peligroso… Entonces, ¿a qué viene la alarma?

El malware necesita ser ejecutado en la máquina, pero sabemos que en un momento dado esto va a suceder (no es una cuestión de SI va a suceder, sino de CUÁNDO va a suceder).

Muchas soluciones de seguridad son capaces de detectar el intento de inyección en un proceso, sin embargo para llevar a cabo esto dependen de firmas (no es una detección genérica de inyección de código), por lo que la mayoría no serán capaces de detectar este nuevo método. Además, muchas de estas soluciones tienen un listado de procesos confiables. Si se inyecta código en uno de ellos, podrá evitar las diferentes medidas de seguridad de dicho producto.

Además, este ataque es muy fácil de implementar, por lo que ahora que es conocido habrá muchos ciberdelincuentes integrándolo en sus nuevos ejemplares de malware.

¿Qué podemos hacer para proteger la red de nuestra empresa?

Por un lado tenemos las soluciones antimalware tradicionales, que son fantásticas detectando y previniendo infecciones de cientos de millones de amenazas. Sin embargo, no son tan buenas parando ataques dirigidos o amenazas de reciente creación.

Por otro lado, tenemos las soluciones de nueva generación, autodenominadas “Next Gen AV”. La mayoría proclaman que no dependen del uso de firmas y que su potencia viene del uso de técnicas de machine learning, que han evolucionado mucho en los últimos años y que de hecho son bastante buenas parando algunos ataques dirigidos y amenazas nuevas. Como saben que no son tan buenos parando todas las amenazas, tienen una gran experiencia en escenarios donde los ordenadores ya han sido comprometidos, por lo que ofrecen mucho valor añadido cuando el ataque ha tenido éxito. Otro problema que tienen es que el machine learning no te dice si algo es blanco o negro, sino una probabilidad, lo que se traduce en un alto número de falsos positivos.

¿La mejor estrategia es entonces utilizar soluciones tradicionales antimalware y Next Gen al mismo tiempo?            

No la mejor, pero sí es mejor que utilizar sólo una de ellas. Sin embargo tiene algunos inconvenientes. Para empezar tienes que pagar por ambas. Aunque esto puede justificarse debido a la mejora en la protección global de nuestra red, también significa que necesitaremos presupuesto extra para todo el trabajo añadido (crecimiento exponencial de falsos positivos debido a las soluciones Next Gen, diferentes consolas desde las que manejar cada producto, etc.). El consumo de recursos puede ser otro problema, ya que ambas soluciones estarán en ejecución al mismo tiempo en cada endpoint. Otra pega es que estas soluciones no hablarán entre ellas, por lo que no podremos aprovechar totalmente la información obtenida por cada una.

Las soluciones para empresas de Panda combina la potencia de las soluciones tradicionales y las técnicas de machine learning.

La mejor solución es aquella que incorpore lo mejor de los mundos, que tenga la potencia de las soluciones tradicionales así como la experiencia en técnicas de machine learning combinadas con el uso de big data y la nube. Trabajando de forma conjunta y compartiendo información, con una monitorización continua de todos los procesos en ejecución, clasificando todos los programas utilizados en cualquier ordenador de nuestra organización y creando evidencias forenses en tiempo real en caso de que suceda un ataque. Desplegando un pequeño agente que se encargue de todo, utilizando la nube para todas aquellas tareas que requieren de gran poder de proceso ofreciendo así el mejor rendimiento del mercado.


Cargando noticia...