Como mencionábamos en ¿Qué es Heurística?, los algoritmos heurísticos son distintas metodologías de análisis proactivo de amenazas.

Existen tres variantes que son las más comunes en lo que respecta a métodos de análisis, y que son utilizadas en este tipo de detecciones heurísticas. Estas son:

• Heurística genérica: se analiza cuán similar es un objeto a otro, que ya se conoce como malicioso. Si un archivo es lo suficientemente similar a un código malicioso previamente identificado, este será detectado como “una variante de…”.
• Heurística pasiva: se explora el archivo tratando de determinar qué es lo que el programa intentará hacer. Si se observan acciones sospechosas, éste se detecta como malicioso.
• Heurística activa: se trata de crear un entorno seguro y ejecutar el código de forma tal que se pueda conocer cuál es el comportamiento del código. Otros nombres para la misma técnica son “sandbox”, “virtualización” o “emulación”.

En función de las consultas de algunos usuarios y lectores, cabe destacar que estos son los métodos clásicos de detección, que no se relacionan (en forma directa y explícita) con los dos tipos de heurística que pueden observar nuestros usuarios en la configuración de ESET NOD32:

La heurística avanzada son aquellos algoritmos heurísticos que poseen funcionalidades más complejas de detección proactiva, y que por lo general son más específicos y consumen más recursos del sistema. Cabe destacar que, por tal motivo, por defecto la heurística avanzada viene deshabilitada en la configuración de ESET NOD32 Antivirus.

Aquellos usuarios que posean equipos modernos, no se verán afectados por habilitar esta opción y es recomendable hacerlo, para así contar con una mejor protección en materia de códigos maliciosos.

Quienes estén en entornos empresariales y deseen aplicar el cambio, no desesperen, no es necesario hacerlo en cada uno de los equipos, sino que pueden modificar la configuración de todos los equipos de la red directamente desde ESET Remote Administrator.

Recuerden que para aprender más sobre heurística, pueden descargar el informe Heurística Antivirus: detección proactiva de malware.

Sebastián Bortnik
Analista de Seguridad

Categories: Heurística, Informes
No Comments »

Suponga que un responsable de Recursos Humanos debe contratar un graduado de cierta carrera y se conecta con la universidad en búsqueda de perfiles. Si la universidad brinda datos de 20 alumnos, sería posible entrevistar a todos ellos y elegir el que mejor haya pasado la entrevista. Sin embargo, suponga que la universidad otorga los datos de 300 alumnos y que debe seleccionarse uno para el puesto. La capacidad de esta persona para realizar entrevistas se ha visto superada y es imposible entrevistar a todos los alumnos, por lo que debe tomar alguna decisión que le permita encontrar al candidato indicado. Esta persona, finalmente, decide entrevistar a los 20 alumnos con mejor promedio de todo el listado recibido, y luego elegir a su candidato.

Como verán en el relato, claramente el responsable de Recursos Humanos ha tomado una decisión inteligente, que le permitió resolver un problema imposible de abarcar con sus métodos clásicos de selección. Aunque muchos de ustedes no lo hayan imaginado mientras lo leían, esta persona ha tomado una decisión heurística.

Teniendo en cuenta que la evolución de las amenazas y el escenario del malware ha crecido, los métodos reactivos utilizados originalmente por los software de detección de malware ya no son suficientes para resolver el problema de una detección efectiva de códigos maliciosos. De la misma forma, los antivirus han comenzado a utilizar algoritmos heurísticos como base de la mayor parte de métodos de detección de malware proactivos.

El análisis heurístico en tecnologías antivirus,  posee un comportamiento basado en reglas para diagnosticar si un archivo es potencialmente ofensivo. El motor analítico trabaja a través de su base de reglas, comparando el contenido del archivo con criterios que indican un posible malware, y se asigna cierto puntaje cuando se localiza una semejanza. Si el puntaje iguala o supera un umbral determinado, el archivo es señalado como amenaza y
procesado de acuerdo con ello.

Si quieren conocer más sobre heurística, y cómo esta es aplicada en los software antivirus, no dejen de leer el nuevo artículo que hemos publicado, titulado Heurística Antivirus: detección proactiva de malware. Como se indica en la introducción del mismo, “el objetivo de este informe es reducir las confusiones en torno al funcionamiento de la tecnología antimalware y clarificar qué es lo que realmente debe esperarse de una protección de este tipo, particularmente aquellas que cuentan con análisis heurístico”.

Como siempre, ponemos a disposición del público nuestros papers para que puedan aprender más sobre seguridad de la información, y en esta oportunidad sobre las tecnologías antivirus y su funcionamiento. ¡Que lo disfruten!

Sebastián Bortnik
Analista de Seguridad

Categories: Heurística, Informes
1 Comment »

El juego de palabras surgió de una conferencia que presencié recientemente en Virus Bulletin 2009 y se refiere a las confusiones que surgen cuando se habla de la nube o, el mismo término más aceptado en inglés, Cloud Computing.

En primera instancia, la detección de malware por firmas siempre ha tenido dos puntos importantes a considerar:

• El tamaño de la base de datos de firmas de malware detectado aumenta con cada actualización, y esos archivos se encuentran almacenado en el sistema del usuario (visión del cliente), lo cual representa un problema de rendimiento y de consumo de recursos para algunos antivirus.
• Miles de nuevos malware deben ser analizados cada día, lo cual no puede ser llevado adelante por analistas humanos y se necesitan procesos automáticos e inteligentes que los realicen.

Estos puntos mencionados son los más importantes a resolver a corto y mediano plazo en lo que respecta a detección y rendimiento, motivos por los cuales algunas compañías han decidido comenzar a mudar estos servicios a la nube, manteniendo sus bases de datos en línea y analizando los archivos en un servidor, en vez de utilizar el sistema cliente.

Pero, esta “solución” presenta en sí misma algunos riesgos y preguntas tales como:

• El objeto a analizar es enviado a la nube para ser analizado y si bien en la mayoría de los casos sólo se enviará información relativa al mismo (hash, tamaño, cabeceras, estructuras, etc.), podría ser necesario enviar en archivo completo. Esto puede representar una seria vulnerabilidad respecto a la confidencialidad del objeto.
• La base de datos en la nube debe seguir siendo actualizada ¿a cuánto tiempo se puede bajar la actualización? Aunque la respuesta sea a décimas de segundo, el método sigue siendo reactivo.
• El análisis en la nube sigue siendo estático y la detección, por el punto anterior, es más reactiva que proactiva en la mayoría de los casos por lo que si el objeto es analizado en la nube y no es detectado, aún será considerado no dañino (falso negativo) para el usuario.
• Las bases de datos siguen creciendo (ahora en el servidor) y en base al crecimiento de malware detectado, que es mayor a lo que dice la Ley de Moore, ¿hasta cuando será posible seguir ampliando estos archivos?
• Si la conexión a la nube (Internet) no se encuentra activa, el análisis no puede ser llevado a cabo. Este problema de disponibilidad del servicio puede presentarse fácilmente en malware que bloquean el acceso a la red o el acceso a los sitios de las empresas antivirus o, incluso en conexiones lentas por módem, por ejemplo.
• Podrían presentarse problemas de performance referidos a lo que sucede con el objeto analizado mientras se espera respuesta del servicio en línea.
• Sería posible realizar ataques de DDoS a los servidores en la nube, incluso de manera no intencional, debido a la cantidad de requerimientos de los usuarios.
• Dependiendo del país y de que existen diferentes legislaciones en cada uno, ¿qué datos es posible enviar a la nube y cuales no? ¿qué sucede con los que no se puede enviar para realizar el análisis?
• ¿Las botnets pueden manipular un sistema de reputación de una base datos en línea enviando requerimientos falsos?

Sin dudas la nube es una buena alternativa para propagar malware y los atacantes la utilizan a diario. Pero de lo anterior se puede concluir que los servicios de detección en la nube que han comenzado a promocionarse aún necesitan investigación y mucho trabajo para ser perfeccionados.

Hay que tener en cuenta que la seguridad en la nube no es el santo grial y a veces suele ser sólo humo. Este es el motivo por el cual ESET sigue mejorando y perfeccionando su detección heurística para que la misma sea más inteligente y su base de datos muy pequeña, permitiendo los mejores índices de detección avalados por las certificaciones antivirus.

Cristian

Categories: Declaraciones, Educación, Heurística
2 Comments »

Luego de la gran cantidad malware propagado en el día de los enamorados, la campaña del troyano Waledac y el viagra continúa  y una semana después se puede encontrar los sitios dañinos listados en los buscadores, como por ejemplo en Google:

Es decir que estos sitios han logrado buen posicionamiento en los buscadores y cualquier usuario que busque postales puede llegar al sitio dañino que permite la descarga del troyano:

Si bien todos estos sitios son bloqueados por ESET, algunos de los nombres de archivos que utiliza el troyano Waledac, detectado por heurística por ESET NOD32 como una variante de Win32/Kryptik son:

• card.exe
• ecard.exe
• dev.exe
• install
• love.exe
  
• loveexe.exe
• loveu.exe
  
• loveyou.exe
• luvu.exe
• meandyou.exe
  
• mylove.exe
• onlyyou.exe
• patch.exe
  
• postcard.exe
  
• kit.exe
• readme.exe
  
• run.exe
• save.exe
• you.exe
  
• youandme.exe
  

…y algunos otros, elegidos aleatoriamente al momento de cargar la página.

Como podemos ver una semana después los creadores de este troyano incluso han mejorado su propagación con la utilización de los buscadores.

Actualización 01/04/2009: desde ESET hemos publicado un informe sobre Waledac.

Cristian

Categories: Heurística, Malware
1 Comment »

Es muy común escuchar la frase “Ningún antivirus detecta este virus”. Sin embargo y tal como expliqué en troyanos indetectables, esto es una situación pasajera.

Tomemos por ejemplo el siguiente gusano, no detectado en ese momento por ningún antivirus:

Esto sucede porque es muy común que los desarrolladores de malware prueben sus creaciones una y otra vez contra todos los antivirus (o contra los más comunes) y, cuando logran un nivel importante de no detecciones, deciden propagar su programa dañino.

La ventaja inmediata es obvia, ya que de este modo logran infectar a la mayor cantidad de usuarios posible, sea cual sea la solución de seguridad utilizada por el mismo.

Más allá de eso, como decía anteriormente esta situación es pasajera y los antivirus comenzarán a detectar este archivo ni bien se encuentre infectando a un usuario. En este caso el gusano se propagaba por mensajería electrónica y por supuesto fue detectado inmediatamente por ESET NOD32 como Win32/AutoRun.AAC.

Por eso también es fundamental contar con una solución que provea detección heurística para poder detectar malware desconocido hasta el momento.

Cristian

Categories: Educación, Heurística, Malware
3 Comments »