Camuflándose y engañando es como el malware ataca los sistemas Windows
Los ciberdelincuentes buscan y encuentran constantemente nuevas vías para atacar los sistemas Windows. Por eso, el equipo de AV-TEST comprueba en sus pruebas de Advanced Threat Protection si los programas de seguridad actuales también detectan las tácticas de ataque más nuevas. De no ser así, los atacantes descargarían rápidamente software malicioso y lo ejecutarían. En la prueba actual, los expertos enviaron 10 veces a los sistemas muestras del malware más reciente. No obstante, los atacantes se camuflaban y ocultaban en paquetes MSI, los ejecutaban mediante el intérprete de script, intercambiaban los componentes principales durante un proceso o combinaban las técnicas. 21 productos para usuarios privados y empresas se enfrentaron a la difícil tarea de detectar a los atacantes camuflados. El resultado muestra que algunos fabricantes realizan su labor a la perfección. Pero la prueba muestra también que algunos productos aumentan la emoción innecesariamente hasta que al final vencen contra el malware.
La mayoría de los ciberatacantes no simplemente envían de forma burda un ransomware a los sistemas que atacan. Más bien buscan maneras de camuflar el malware o de distribuirlo “a caballito” de algo. Los productos de seguridad tienen que conocer o incluso intuir todos estos trucos. Pero, lo hagan como lo hagan, al final, tienen que frustrar el ataque.
En esta prueba participaron los productos para usuarios privados de los siguientes fabricantes: Avast, AVG, Bitdefender, ESET, F-Secure, G DATA, McAfee, Microsoft, Microworld, Norton y PC Matic.
En el caso de las soluciones para empresas examinadas se presentaron los siguientes fabricantes: Avast, Bitdefender (con 2 versiones), Check Point, ESET, HP Security, Kaspersky (con 2 versiones), Qualys y Symantec.
21 productos contra ransomware y ladrones de datos
Mientras que la prueba de detección clásica con productos de seguridad solo comprueba si se detecta el malware o no, la prueba de Advanced Threat Protection (ATP) va un importante paso más allá. Los examinadores recrean en diez escenarios ataques que tienen lugar sin pausa, tal y como en la vida real. En la prueba actual, los expertos intentan colocar cinco veces un ransomware y ejecutar cinco veces un ladrón de datos o de información. Para ello utilizan las siguientes técnicas de camuflaje y engaño en sus ataques:
Bring a scripting interpreter: A menudo, los atacantes intentan servirse de intérpretes de script como WScript o PowerShell para ejecutar scripts maliciosos. Sin embargo, muchos programas de protección lo saben y, por consiguiente, vigilan los intérpretes y sus entradas y salidas. Una nueva variante es el ataque con intérpretes de software inofensivo, como AutoHotkey (AHK). Un script instala el intérprete y luego ejecuta un script AHK, que introduce un ransomware o un ladrón de datos en el sistema Windows. Precisamente esta es la variante de ataque que se utilizó en los escenarios.
Microsoft Software Installer: MSI (Microsoft Installer) es un formato de paquete de instalación de Windows que pone a disposición del ordenador del usuario final la aplicación que se quiere instalar con todos los datos y comandos necesarios en un paquete. Los ciberdelincuentes ocultan archivos maliciosos en un archivo MSI e introducen acciones de control. Esto ofrece una variedad de opciones para infectar el ordenador de la víctima. La complejidad de los archivos MSI puede hacer que sea difícil detectar los programas de instalación peligrosa.
En nuestros ejemplos se utilizaron programas de instalación MSI para poner a disposición en el disco duro varios archivos, entre ellos archivos señuelo y maliciosos. Tras la colocación de los archivos se utiliza una acción definida por los usuarios para ejecutar el código malicioso. La secuencia de instalación correcta se interrumpe más adelante, ya que solo sirve de camuflaje.
Reflective code injection: En el caso de la inyección de código reflexiva, el código se carga en la memoria de un proceso. La carga reflexiva puede evitar así la detección basada en procesos, ya que la ejecución del código peligroso tiene lugar enmascarada dentro de un proceso legítimo e inofensivo. Este tipo de inyección de código, por tanto, no incluye archivos, ya que solo transfiere el código a un proceso.
En nuestros ejemplos, un script AutoHotkey sube la carga maliciosa directamente a la memoria de trabajo y la ejecuta, si bien lo que se ejecuta es un programa para el robo de información o un ransomware.
En la prueba ATP se registran cada uno de los pasos de detección y defensa en una matriz basada en el estándar MITRE ATT&CK. El ransomware se debe detectar en tres pasos fundamentales; en el caso de los ladrones de información o datos, se dispone de cuatro acciones. El laboratorio otorga medio o un punto por cada paso o acción que se evita. Por lo tanto, un producto puede acumular cinco veces 3 puntos por cada ransomware detectado y liquidado y cinco veces 4 puntos por cada ladrón de información. La máxima puntuación de protección obtenible es, por tanto, 35 puntos.
Los 10 escenarios de prueba
Todos los escenarios de ataque están documentados de acuerdo con los estándares de la base de datos de MITRE ATT&CK. Los diferentes subpuntos, por ejemplo “T1566.001”, aparecen en la base de datos de MITRE para “Techniques” bajo “Phishing: Spearphishing Attachment”. Cada paso de la prueba, por lo tanto, está definido por especialistas y es trazable y comprensible. Además se explican todas las técnicas de ataque y cómo se hace uso del malware en ellas.
La prueba ATP y sus resultados: productos para usuarios privados
Algo muy interesante de esta prueba es el hecho de que todos los productos para usuarios privados detectaran a todos los atacantes sin excepción. No obstante, solo 7 de los 11 fabricantes pudieron detener todo el malware en los primeros pasos “Initial Access” o “Execution” y conseguir los 35 puntos máximos para su puntuación en protección. Estos son: Bitdefender, G DATA, McAfee, Microsoft, Microworld, Norton y PC Matic.
Los otros 4 paquetes de seguridad tuvieron sus problemas con el ransomware y los ladrones de datos. Avast y AVG detectaron a todos los atacantes, pero en 4 casos no pudieron detenerlos por completo en un principio. Las funciones de protección internas necesitaron más pasos, pero detuvieron el malware en todas las ocasiones y evitaron que produjesen daños. Sin embargo, esto les supuso a los productos una deducción de puntos y solo recibieron 30 de los 35 puntos posibles cada uno.
F-Secure tuvo problemas similares, pero en 6 de los 10 escenarios. En su caso, las funciones de protección internas también actuaron en pasos posteriores, de modo que al final neutralizaron el peligro y no se produjeron daños. Tras descontarle puntuación en 6 ocasiones, al final le quedaron solo 28 de los 35 puntos posibles.
El paquete de seguridad de ESET recibió 30 de los 35 puntos, pero en una ocasión, a pesar de detectar el ataque, al final fue vencido por un ransomware y ¡los datos fueron encriptados! En otra ocasión, un ladrón de datos se pudo expandir a pesar de la detección, pero en pasos posteriores fue detenido por una técnica de protección interna.
Todos los productos merecieron en esta prueba el certificado “Advanced Certified”. Sin embargo, a pesar de una actuación perfecta, G DATA no recibió el certificado, puesto que solo se otorga a productos que también hayan sido certificados en la prueba regular mensual y cumplan sus criterios.
La prueba ATP y sus resultados: soluciones para empresas
El resultado de la prueba ATP en el caso de las soluciones para empresas es muy bueno para la mayoría de los productos. 8 de los 10 paquetes examinados concluyeron la prueba perfectamente y consiguieron los máximos 35 puntos para su puntuación en protección: Bitdefender (con 2 versiones), ESET, HP Security, Kaspersky (con 2 versiones), Qualys y Symantec.
El producto de Avast detectó los 10 ataques, pero en 2 casos, con un ransomware y un ladrón de datos, no pudo detenerlos al principio. Los ataques no fueron detenidos hasta pasos posteriores, gracias a técnicas de protección internas, evitando que se produjeran daños. El que pudieran romper los primeros muros de defensa le supuso una deducción de puntos y quedarse con 30 de los 35 puntos para la puntuación de protección.
A la solución de Check Point le pasó algo similar que a Avast, pero en 6 ocasiones. La solución también consiguió detener a los atacantes con técnicas de protección ampliadas en pasos posteriores y evitar daños. Por supuesto, el laboratorio descontó algún punto en cada ocasión. Solo le quedaron 28 de los 35 puntos posibles para la puntuación en protección.
Todos los productos recibieron el certificado “Advanced Approved Endpoint Protection“ por conseguir al menos un 75 por ciento de los 35 puntos posibles en la puntuación de protección (o sea, más de 26,5 puntos).
Duras contiendas digitales y victoriosos defensores
Se examinaron 21 productos en 10 escenarios respectivamente. En 209 de los 210 casos, el malware no ocasionó ningún daño. Mientras que la mayoría de los productos para usuarios privados y también muchos para empresas reconocieron, bloquearon y liquidaron de inmediato a los atacantes, algunos aumentaron la emoción de forma innecesaria. Pero, al final, estos paquetes y soluciones pudieron solventar sus errores iniciales y evitar la destructiva labor de los atacantes con otras funciones de protección internas. El caso 210, el único que no salió bien, se produjo con ESET. Al final, el sistema Windows fue encriptado.