A las pocas horas de la actualización de XProtect en Mac OS X Snow Leopard con el Security Update 2011-003 corría la noticia por Internet de que había una nueva variante de MacDefender que estaba siendo distribuida por Internet y que no era detectada por XProtect, utilizando una nueva campaña de falsos vídeos de sexo a través de Facebook.
XProtect fue incluido en el año 2009 dentro de Mac OS X Snow Leopard, como una solución para detectar y bloquear ficheros conocidos como maliciosos que fueran descargados de Internet a través de Apple Safari. Esta solución ha sido funcional en tanto en cuanto no ha habido muchos ficheros maliciosos.
De hecho, la actualización de los ficheros de firmas se realizaba a través de las actualizaciones del sistema y el número de malware detectado era muy pequeño, destacando HellRaiser y Opinion.Spy.
Con la Security Update 2011-003 se añadieron las firmas de los ficheros utilizados por MacDefender, MacSecurity, MacProtector y MacGuard para evitar que los usuarios descargaran estos ficheros por Internet. Con lo que se anulan todos estos ficheros, si son descargados desde Internet. Sin embargo, cuando el malware es controlado por una organización profesionalizada, el número de morphings - es decir, de nuevos ficheros, con nuevas firmas, pero que mantienen la misma funcionalidad - crece muy deprisa, haciendo que la calidad de las firmas del malware sea crucial.
La industria de antivirus y antimalware lleva años luchando en esta batalla y ha tenido que desarrollar tecnologías que sean capaces de detectar malware mutado y ofuscado para proteger a los usuarios. Así, desde el firmado de ficheros con hashes para malware puntual, se pasa a tecnologías como B-Have de Bitdefender, en donde se utilizan valores heurísticos en tiempo real de un fichero en ejecución en función de lo que está haciendo. Hoy en día los sistemas antimalware profesional utilizan una combinación de múltiples tecnologías de detección, que podríamos resumir en cuatro grandes familias:
- Firmas de ficheros: Se utilizan hashes que reconocen únicamente a un fichero. Si se cambia un solo byte del mismo, esta firma no funciona. Se saltan con técnicas de "Morphing de Superman", es decir, con abri el fichero en hexadecimal y modificar un byte de alguna cadena de texto del mismo.
- Firmas de patrones: Los equipos de investigadores de los laboratorios buscan patrones dentro de los ficheros binarios, detectando partes clave del malware para detectarlo.
Para saltarse estas firmas, los investigadores de la industria del malware analizan qué parte es la que ha sido firmada, haciendo para ello cosas tan curiosas como divisiones del fichero en partes, y así descubrir que parte es la detectada, y realizan nuevas compilaciones del fichero, ya sea ofuscando el código en ensamblador con packers u ofuscadores, o bien, si cuentan con el binario, cambiando partes del código firmado y recompilándolo. Esto es lo más utilizado por los equipos profesionales de malware.
- Heurísticas estáticas: Las compañías antimalware buscan patrones comunes en la creación de malware en función no del código del fichero, sino de las funciones del sistema operativo que haga uso, para dar puntuaciones negativas o positivas. Por ejemplo, si toca partes del kernel, abre sockets e intenta configurarse para ejecutarse en cada arranque podría ser detectado como un "Generic Trojan". Para ello, las compañías antimalware utilizan sistemas de inteligencia artificial para puntuar que patrones de uso de funciones de API del sistema o ficheros son los más utilizados en el malware y en qué combinaciones.
- Heurísticas dinámicas: Como última medida de protección, las empresas antimalware utilizan tecnologías que puntúan las acciones en que realiza un ejecutable en tiempo real, de tal manera que si un fichero empieza a hacer "cosas sospechosas", como llamar a ciertas API o tocar ciertos ficheros del sistema, su puntuación será mala y el motor antimalware lo bloqueará. Un ejemplo de esto es la tecnología, que anteriormente ha sido mencionada, llamada B-Have de Bitdefender.
Por supuesto todas estas opciones no son las únicas, y todas tienen pros y contras en relación con la efectividad de la detección, los falsos positivos o el rendimiento del sistema. Es por ello que las compañías antimalware intentan, cuál ingenieros de Formula 1 haciendo el mapa de motor de un coche, equilibrar el uso de todas ellas para conseguir el mejor equilibrio entre ratio de detección de malware, ratio de falsos positivos y rendimiento del sistema. Y aún así, el malware trabaja por saltárselas.
Evidentemente XProtect no implementa todas estas soluciones, y sólo busca ficheros con una firma concreta descargados desde Internet, por lo que si el malware utiliza otro medio de distribución, como por ejemplo un pendrive, o el fichero sufre un proceso de morphing, va a dejar de detectarlo. No obstante, sigue siendo útil para protegerse puntualmente contra algunas infecciones masivas de un fichero y es un avance el que se actualice diariamente, pero está lejos de ser un antimalware profesional, y por eso es recomendable tener una solución de antimalware profesional en el equipo.
No hay comentarios:
Publicar un comentario