02 de mayo de 2023 | Texto: Markus Selinger | Antivirus para Windows
  • Compartir:

Defensa contra las técnicas más modernas de ataque con ransomware

Los grupos APT, que atacan con ransomware, utilizan numerosas tácticas de ataque distintas para conseguir sus objetivos. AV-TEST ha atacado productos de seguridad para usuarios privados y empresas en 10 escenarios utilizados actualmente con las técnicas “.Net Reflective Assembly loading“, “.Net Dynamic P/Invoke“ y “AMSI Bypass“. Los test de Advanced Threat Protection se las traen y no todos los programas consiguen plantar cara a todas las técnicas de ataque.

Las técnicas de ataque con ransomware más nuevas contra el software de seguridad
Las técnicas de ataque

con ransomware más nuevas contra el software de seguridad

zoom

Los test de Advanced Threat Protection son especiales y ponen a prueba el software de seguridad una y otra vez con las técnicas de ataque más recientes de los grupos ATP, como la de “.Net Reflective Assembly loading“, una técnica que sirve de base para los ataques de Cobalt Strike, Cuba o Lazarus. Pero también las técnicas “.Net Dynamic P/Invoke“ y “AMSI Bypass“ se utilizan actualmente en los ataques con ransomware. Si un ataque tiene éxito, los sistemas quedan encriptados y comienza el chantaje por parte de los grupos APT. Eso salvo que los productos de seguridad para usuarios privados o empresas reconozcan las técnicas utilizadas, detengan el ataque y eliminen el ransomware.

¿Quién supera el Advanced Threat Protection test?

Cada producto examinado en la prueba de Advanced Threat Protection recibe un certificado especial si obtiene un buen resultado. Para ello, una solución tiene que alcanzar al final de la prueba un resultado final en protección de al menos un 75 por ciento de los 30 puntos máximos, es decir, 22,5 puntos. Si lo logran, los productos para usuarios privados reciben el certificado “Advanced Certified“; y los productos para empresas, el certificado “Advanced Approved Endpoint Protection“.

Encontrará una explicación más detallada de las tablas de evaluación y de los códigos cromáticos del sistema de semáforo en el artículo “Prueba y estudio: ¿Detienen las soluciones de seguridad para Windows 11 el ransomware actual?“.

Para su información: si bien los test de Advanced Threat Protection se publican con regularidad, las técnicas de ataque utilizadas en los test van variando.

Cuando el ransomware ataca a usuarios privados

Los ciberdelincuentes atacan con las técnicas y el ransomware más nuevos. La prueba demuestra lo bien que superan el test de Advanced Threat Protection los productos actuales de seguridad para Windows.

zoom ico
Cuando el ransomware ataca a empresas

Los grupos APT utilizan siempre la técnicas de ataque más nuevas. En los test de Advanced Threat Protection, AV-TEST usa los mismos métodos y examina las soluciones para empresas mediante ataques reales con Windows

zoom ico

1

Cuando el ransomware ataca a usuarios privados

2

Cuando el ransomware ataca a empresas

Técnicas de ataque actuales usadas en la prueba

.Net Reflective Assembly loading: Una técnica habitual para ocultar código malicioso es inyectarlo de forma reflexiva. La inyección reflexiva permite la asignación y ejecución de “payload“ (código malicioso ejecutable) directamente en la memoria del proceso o la creación de un hilo o proceso. DotNet ofrece la posibilidad de inyectar módulos con Assembly.Load.

En nuestros ejemplos se guarda un módulo encriptado (Assembly) y se implementa el ransomware. Este se desencripta durante el tiempo de ejecución, se inyecta y se ejecuta sin crear una imagen en el disco duro.

.Net Dynamic P/Invoke: DotNet es capaz de ejecutar código “unmanaged“ (código no especificado para DotNet) que se puede utilizar para ejecutar funciones API de Windows habituales. Estas permiten implementar un comportamiento específico que no está previsto en DotNet. Esto se consigue normalmente mediante la utilización de la plataforma Invoke (P/Invoke). Las funciones API que se utilizan mediante P/Invoke pueden ser vigiladas por los defensores y detenidas con facilidad. Sin embargo, si P/Invoke no se utiliza de manera estática, las bibliotecas se pueden cargar dinámicamente durante el tiempo de ejecución y se puede acceder a las funciones que estas contienen mediante la dirección de la memoria. De este modo se oculta su utilización frente a los programas de seguridad.

En nuestros ejemplos utilizamos Dynamic P/Invoke para acceder a funciones API (VirtualAlloc, CreateThread) con el fin de cargar en la memoria ransomware reflexivo encriptado y ejecutarlo.

AMSI Bypass: La Antimalware Scan Interface (AMSI) es una API de escaneo puesta a disposición por Microsoft que utilizan soluciones antivirus. Una parte de su tarea consiste en escanear datos de scripts antes de que sean ejecutados por un motor de scripting. Sin embargo, un atacante puede manipular las funciones de interfaz dentro de un proceso para impedir el funcionamiento de la AMSI.

En nuestros ejemplos utilizamos un “Powershell ransomware payload“ e intentamos ejecutarlo tras la desactivación de la AMSI. En otro ejemplo, iniciamos un proceso Powershell, inyectamos un pequeño shellcode, que desactiva la AMSI y al que después se le transfiere el ransomware malicioso.

Escenarios de prueba

Todos los escenarios de ataque están documentados de acuerdo con los estándares de la base de datos de MITRE ATT&CK. Los diferentes subpuntos, por ejemplo “T1566.001”, aparecen en la base de datos de MITRE para “Techniques” bajo “Phishing: Spearphishing Attachment”. Cada paso de la prueba, por lo tanto, está definido por especialistas y es trazable y comprensible. Además se explican todas las técnicas de ataque y cómo se hace uso del malware en ellas.

01
zoom ico
02
zoom ico
03
zoom ico
04
zoom ico
05
zoom ico
06
zoom ico
07
zoom ico
08
zoom ico
09
zoom ico
10
zoom ico

1

01

2

02

3

03

4

04

5

05

6

06

7

07

8

08

9

09

10

10

Advanced Test: protección para usuarios privados

En la prueba actual, 10 productos de seguridad para usuarios privados se han sometido al test ampliado. Son los procedentes de AhnLab, Bitdefender, G DATA, Kaspersky, McAfee, Microsoft, Microworld, Norton, PC Matic y VIPRE Security. Cada producto tiene que superar 10 escenarios de prueba con diferentes técnicas de ataque en los que se intenta depositar y ejecutar en el sistema un ransomware.

Los paquetes de Bitdefender, G DATA, Kaspersky, McAfee, Microsoft y PC Matic detectaron los 10 ataques y detuvieron el ransomware antes de que pudiera causar daños. Cada producto recibió por ello 30 puntos para la puntuación en protección.

Microworld y Norton también detectaron los 10 ataques, pero no pudieron evitar por completo el ataque en una ocasión cada uno. A Microworld se le descontó un punto porque algunos archivos sueltos fueron encriptados: 29 puntos. En el caso de Norton, tras la detección del ataque se vinieron abajo todas las defensas y se encriptó el sistema. Así que se quedó con 27,5 puntos para la puntuación en protección.

AhnLab y VIPRE Security detectaron respectivamente 9 de los 10 ataques. Por este motivo, cada uno perdió 3 puntos. VIPRE Security tuvo además problemas en un segundo caso y, a pesar de detectar el ataque y de tomar medidas para frenarlo, el sistema acabó encriptado. Esto supone una de deducción de otros 1,5 puntos. AhnLab finalizó la prueba con 27 de los 30 puntos como puntuación de protección y VIPRE Security, con 25,5 puntos.

Puesto que todos los productos para usuarios privados superaron el umbral de los 22,5 puntos, recibieron asimismo el certificado de AV-TEST “Advanced Certified“.

Advanced Test: soluciones para empresas

Al test ampliado para soluciones de seguridad Endpoint para empresas se sometieron los productos de AhnLab, Bitdefender (2 versiones), Check Point, G DATA, Kaspersky (2 versiones), Microsoft, Sangfor, Symantec, Trellix, VMware, WithSecure y Xcitium.

Cada producto tiene que reconocer la técnica de ataque en 10 escenarios y detener el ransomware. Por cada defensa completa, el laboratorio otorga 3 puntos. Con una detección sin fallos de todos los ataques y la detención del ransomware destacaron los productos de Bitdefender (Version Endpoint y Ultra), Check Point, G DATA, Kaspersky (versión Endpoint y Small Office Security), así como Xcitium. Por su rendimiento, todos ellos recibieron los 30 puntos máximos en la puntuación de protección.

Symantec y Microsoft reconocieron también los 10 escenarios de ataque, pero tuvieron un problema en un caso y, aunque detectaron el ataque y el ransomware, e incluso tomaron acciones contra el ataque, al final fueron encriptados algunos archivos en el caso de Symantec y todo el sistema en el de Microsoft. Por ello, Symantec obtuvo 29 puntos y Microsoft 28,5 puntos para la puntuación en protección.

AhnLab, Sangfor y WithSecure tuvieron los tres el mismo problema. En una ocasión no reconocieron ni la técnica de ataque ni el ransomware. Finalmente, el sistema quedó encriptado y esto les costó la pérdida de los 3 puntos en ese caso y tener que conformarse con 27 para la puntuación en protección.

Las soluciones de Trellix y VMware fueron las peores. Trellix reconoció 9 de los 10 escenarios de prueba. En un caso, el ransomware pudo propagarse por completo de inmediato. Y en otros dos casos, aunque detectó el ataque y el ransomware, no pudo evitar una encriptación parcial de los datos. En total, obtuvo 24 puntos para la puntuación en protección.

La actuación de VMware fue aún peor. En dos ocasiones no se percató del ataque en absoluto. En una tercera ocasión, consiguió detectar el ataque y también detener el ransomware, pero al final quedó un peligroso VB script en el sistema. Al menos no se encriptó nada. El resultado final es de solo 22,5 puntos para la puntuación en protección, es decir, los justos para conseguir el certificado de protección avanzada.

Ataques de prueba reales comprueban la capacidad defensiva

Es muy interesante ver las etapas en las que los productos de seguridad actúan contra las diferentes técnicas de ataque actuales. La mejor defensa es, por supuesto, la detección inmediata de un ataque. Pero la prueba demuestra que a veces un ataque no se detecta en parte de inmediato, pero después otras barreras de seguridad lo detienen en gran parte o por completo. Los 10 gráficos de los escenarios explican de qué barreras de seguridad o pasos se trata. En ellos aparecen los códigos definidos internacionalmente denominados “Techniques“ de MITRE ATT&CK. Tomando estos datos como base, los expertos pueden hacer un seguimiento del transcurso del ataque.

Las tablas finales muestran también rápidamente qué productos resistieron todos los ataques en los 10 escenarios con las diferentes técnicas. Por ello recibieron los 30 puntos máximos en la puntuación de protección. En el caso de los productos para usuarios privados, fueron los paquetes de Bitdefender, G DATA, Kaspersky, McAfee, Microsoft y PC Matic.

En el de las soluciones para empresas, los siguientes productos reconocieron los 10 escenarios de ataque y obtuvieron la máxima puntuación de 30 en protección: Bitdefender (Version Endpoint y Ultra), Check Point, G DATA, Kaspersky (versión Endpoint y Small Office Security), así como Xcitium.

Usuarios Privados 12/2022

V3 Internet Security
Internet Security
Total Security
Internet Security
Total Protection
Defender Antivirus (Consumer)
eScan Internet Security Suite
Norton 360
Application Whitelisting
Advanced Security

Soluciones para Empresas 12/2022

V3 Endpoint Security
Endpoint Security
Endpoint Security (Ultra)
Endpoint Security
Endpoint Protection Business
Endpoint Security
Small Office Security
Defender Antivirus (Enterprise)
Endpoint Secure Protect
Endpoint Security Complete
Endpoint Security
Carbon Black Cloud
Elements Endpoint Protection
Client Security

Social Media

¡Nos gustaría mantenernos en contacto con usted! Reciba de manera sencilla y periódica las noticias actuales y las publicaciones sobre pruebas.