Un nuevo malware especialmente persistente está desafiando a los especialistas en TI: Glupteba pretende permanecer oculto el mayor tiempo posible y recopilar información detallada para seguir perfeccionando sus técnicas. Sophos está respondiendo con Endpoint Detection and Response (EDR) basado en Deep Learning.
Glupteba, un gusano centrado en la ofuscación y el sigilo y cuyas cifras de infección no han dejado de aumentar desde principios de año, mantiene ocupados a los expertos en seguridad de Sophos. En el informe "El malware Glupteba se esconde a la vista", el equipo de investigación y desarrollo de Sophos Labs analizó el nuevo malware, que puede evitar la detección en los dispositivos infectados y ofrece una solución proactiva.
El reto
Lo peligroso de Glupteba es que este malware no sólo pretende robar la mayor cantidad de datos posible, sino que también hace todo lo posible para protegerse a sí mismo y a sus componentes de los usuarios de un dispositivo infectado o de un software de seguridad. Por ejemplo, el malware intenta desactivar las protecciones integradas de Windows y las herramientas de seguridad o de análisis para pasar desapercibido el mayor tiempo posible. Una vez instalado y configurado el bot, se instala un proceso de monitorización para él. Si detecta que un controlador o componente se ha estropeado, intenta reinstalar y ejecutar los datos.
Las soluciones de protección tradicionales son incapaces de proteger las redes de este tipo de ataques, según Michael Veit, evangelista tecnológico de Sophos. Aunque el control de la web, los dispositivos y las aplicaciones, los cortafuegos, las firmas y la heurística forman la capa de protección esencial para detener y defenderse de los virus, no pueden detectarlos con la suficiente antelación en todos los casos.
Detección en vivo y respuesta en vivo
El objetivo de la detección y respuesta en el punto final (EDR) es detectar la actividad sospechosa de los atacantes que aún no han realizado un exploit o cifrado de archivos. La solución se ha desarrollado específicamente para las operaciones de seguridad informática y la caza de amenazas, y pretende detectar las amenazas ocultas mediante el reconocimiento de comportamientos y el apoyo de la IA y evitar que los gusanos se introduzcan en los sistemas. La característica especial es la "supervisión absoluta de todos los procesos" en todos los sistemas diferentes.
Con la solución Intercept X Advanced con EDR de Sophos, se pueden crear consultas SQL personalizables que se basan en hasta 90 días de datos de puntos finales y servidores. Las consultas pueden incluir por qué un sistema funciona lentamente, qué dispositivos tienen vulnerabilidades conocidas, servicios desconocidos o extensiones de navegador no autorizadas. También puede averiguar si el sistema está ejecutando programas que deberían eliminarse, si los procesos intentan establecer una conexión de red a través de puertos no estándar y si los archivos o las claves del registro se han modificado recientemente.
Si un sistema se expone como potencialmente malicioso, se aísla automáticamente en la red. Además, los administradores pueden tomar medidas de protección específicas de forma remota a través de una consola central de gestión de la nube y evitar posibles falsas alarmas.
¿Descubrir en vivo? ¿Seguimiento absoluto? Para algunos, estas características de una solución EDR podrían sonar también como SIEM. Los sistemas EDR filtran de la gran cantidad de eventos que se producen en todos los sistemas todos aquellos que podrían ser un indicio de la actividad de los hackers. Los sistemas SIEM se propusieron hacer precisamente eso hace décadas y fracasaron, explica Michael Veit. "El problema con el SIEM es que pronto se produce la llamada fatiga de las alertas, porque se produce un número increíble de falsas alarmas. Un sistema SIEM trata de recoger y evaluar los eventos de diferentes componentes, en el punto final, en la puerta de enlace, en la red y en los servidores de bases de datos en diferentes lugares. Pero se trata de sistemas heterogéneos: un firewall del fabricante X y un endpoint del fabricante Y. Por lo tanto, establecer el contexto de cuándo ocurrió un evento y en qué componente es muy difícil. Pero un sistema EDR tiene mucho más contexto de las acciones".
Con EDR, habría una supervisión absoluta de todos los procesos, todas las comunicaciones y todas las entradas del registro, lo que facilitaría la correlación con eventos coincidentes en la red o en los servidores. Se puede reaccionar inmediatamente ante las amenazas y bloquear a un atacante en la red de forma automática o pulsando un botón. El SIEM suele tener sensores incompletos y requiere componentes adicionales para la protección y la respuesta, que se activan "con un retraso, si es que lo hacen". Con un sistema EDR, se cubre cualquier anomalía de cualquier sistema y cualquier proceso. Por ponerlo en términos concretos, el EDR es el nuevo SIEM".
Aprendizaje profundo
Tecnologías como el aprendizaje profundo son retrógradas, dijo Veit. "En los últimos 30 años que llevamos haciendo antivirus, hemos alimentado nuestro modelo de Deep Learning con datos recogidos. De esta manera podemos ver si un programa desconocido es más bien un programa malicioso o un programa bueno".
El aprendizaje profundo puede utilizarse para proteger los puntos finales de amenazas aún desconocidas. Inspirada en el funcionamiento del cerebro humano, la evolución del aprendizaje automático se basa en grandes cantidades de datos a partir de los cuales se crea un modelo eficaz. En Sophos Labs, más de 100 millones de puntos finales proporcionan datos de telemetría cada día y cada semana se analizan 2,8 millones de nuevas muestras de malware. Gracias a estos análisis, se pueden hacer predicciones y mejorar la identificación de los datos. Sophos afirma que su tecnología puede extraer millones de propiedades de un archivo en menos de 20 milisegundos, realizar un análisis profundo y determinar si un archivo es inofensivo o malicioso.