Juniper divulga el primero de una serie de reportes sobre las amenazas del momento en la red.

Publicado en Nube, Seguridad, por Juniper en 15/09/2016


Juniper Networks lanzó el Sky Advanced Threat Prevention (Sky ATP, acrónimo en inglés que significa prevención avanzada de amenazas), un servicio basado en la red e integrado a los firewalls de la serie SRX. De acuerdo a la política de seguridad de cada empresa, los equipos SRX instalados en el cliente envían archivos que circulan en sus redes para el análisis de los casos sospechosos por medio del Sky ATP. El servicio funciona en una red de computadoras que crea las condiciones para que el software malicioso se revele, o sea, comience a actuar como si estuviera en una red real. Una vez constatada la amenaza, el servicio avisa automáticamente a la red y la bloquea.
 


El Sky ATP emplea una serie de tecnologías en la nube e identifica varios niveles de riesgos de forma automatizada, usando un análisis profundo, bloqueo in-line de malware y el accionamiento de reportes. También detecta ataques zero-day, o sea, el malware no es todavía conocido pero es detectado.


Lea enseguida el primero de una serie de artículos en que Juniper divulgará, todos los meses, las nuevas amenazas a la seguridad de las redes detectadas por los mecanismos del análisis profundo del Sky ATP. En esta edición, el artículo es de Asher Langton, ingeniero de software sénior e investigador de malware en el equipo Sky ATP de Juniper Networks.


Sepa cuáles fueron las principales amenazas detectadas en julio de 2016
En el último mes de julio, el Sky ATP detectó decenas de miles de aplicaciones maliciosas y documentos que pasaron por los firewalls SRX. La mayor parte era de amenazas ya conocidas, pero el Sky ATP también detectó nuevas variantes de malware, incluso diferentes formas de ransomware, trojans, cuentagotas, spyware variados y otros programas potencialmente indeseables. En este artículo, vamos a  examinar las dos nuevas variantes de ransomware, además de una vieja amenaza que ha evolucionado para un malware (casi) sin archivos, altamente evasivo.


Al principio del proceso de análisis del Sky ATP, rodamos cada nueva muestra contra un conjunto de mecanismos antivirus, que son una manera rápida y eficiente de capturar y filtrar las amenazas conocidas y sus variantes próximas. La remoción de estas amenazas, al principio del proceso de análisis, reduce la carga sobre las partes de más alto costo del proceso de computación. El proceso incluye motores de análisis estático y la ejecución completa en la sandbox. Para las nuevas amenazas, sin embargo, hashes y firmas no bastan. Aquí vamos a tratar de algunas amenazas no detectadas por innombrables mecanismos antivirus, pero capturadas por el análisis en profundidad del Sky ATP realizado en julio.


Ransomware Zepto
En posts anteriores, hablamos del Locky. El Zepto es una nueva variante, pero parecida con el Locky y que se porta de manera semejante, con la diferencia de usar la extensión “. zepto” para los archivos encriptados.
 


Como sucede con el Locky (y con la mayoría de los ransomware), la victima recibe notificaciones a través de imágenes pop-up, archivos de texto y un nuevo salvapantallas con instrucciones sobre como convertir el dinero del rescate en bitcoins y realizar el pago por medio de una página web en la dark web.
 


Cerber ransomware
El análisis profundo del Sky ATP detectó una seria de variantes del Cerber ransomware que escaparon de los antivirus tradicionales. El proceso de rescate incluye una voz sintetizada que anuncia la infección.
 

 

El malware (casi) sin archivos Kovter
Algunas de las muestras más interesantes detectadas por el proceso de análisis en profundidad de julio fueron las variantes del malware Kovter click-fraud. Esta cepa de malware se ha vuelto cada vez más evasiva y persiste en la máquina de la victima sin necesidad de almacenar (casi) ningún archivo.

La operación del Kovter empieza con el oscurecimiento del Javascript y del contenido binario grabado en Windows.

 


Los desarrolladores del Kovter usaron un trueque inteligente para quedarse en el sistema de la victima sin dejar ninguna parte del malware en el mismo sistema de archivos del Windows. El malware entrega un archivo generado aleatoriamente con una extensión de archivo arbitraria (¡pero importante!), junto a un archivo de batch y un atajo.
 


El archivo de batch “abre” el archivo de basura .fcb676eie con el comando de start.
 


En vez de abrir el archivo, una llave de registro asociada a la extensión .fcb676eie instruye al Windows a ejecutar un comando totalmente diferente.
 



Este comando usa el motor mshta de Microsoft para ejecutar el Javascript ofuscado almacenado en el registro. La mayor parte de la carga útil es una cadena hexadecimal de 5000 caracteres, decodificada y ejecutada con la función eval () de Javascript, ahora con una cadena muy larga codificada en Base64.
 


Esta cadena, a su vez, es descodificada para formar un script Powershell con un shellcode raw que es inyectado y lanzado para crear un proceso malicioso en Windows, usando una técnica extraída de un viejo template Metasploit.
 


Con este proceso complicado, el malware puede quedarse en la computadora de la victima sin dejar nada en el sistema de archivos, excepto el archivo de basura y lo de batch. Su comportamiento malicioso, sin embargo, es detectado por técnicas de análisis en profundidad del Sky ATP.
 

Como mencionado anteriormente, estas amenazas son solo algunas de las muchas detectadas por estos análisis.


Lea también
Soluciones para detectar riesgos y aumentar la seguridad de las redes
 

 


Tags: Malware, Seguridad de red, Sky ATP, Firewalls, SRX, Trojans, Ransomware, Amenazas de Red, Red de Computadoras, Nube


Tags: malware, seguridad-de-red, sky-atp, firewalls, srx, trojans, ransomware, amenazas-de-red, red-de-computadoras, nube


Posts Relacionados