Hace unos días aclaraba junto a ustedes algunas dudas comunes respecto a las firmas y la heurística, los dos métodos de detección con los que cuenta un software antivirus como ESET NOD32. Allí les comentaba, además de la posibilidad de leer nuestro artículo Heurística Antivirus: detección proactiva de malware para más información, un hecho particular respecto a estos métodos:

Una detección por firmas puede derivar a un algoritmo de heurística, o viceversa. Es decir, [...] también es posible que determinadas amenazas detectadas por heurística luego sean identificadas a través de firmas para poder crear acciones particulares en cuanto a los datos sobre esa amenaza.

Sobre esta aclaración hemos contado con un caso particular esta última semana, específicamente la amenaza identificada como Win32/Visal que ha tenido repercusiones en la prensa internacional. Se trata de un gusano que retoma viejas épocas de la historia del malware, ya que se propaga por correo electrónico enviado a todos los contactos de la libreta de direcciones con el asunto “Here you have” (“aquí tienes” en español). Los que sigan las últimas tendencias en malware sabrán que se trata de un método un tanto olvidado, aunque algunos recordarán las amenazas de famosos correos electrónicos como “Anna Kournikova” o “I Love You”.

Lo interesante de las diversas muestras de esta amenaza es que muchos lectores podrán observar, a través de Virus Total, como algunas de las variante son detectadas por ESET NOD32 Antivirus justamente como Win32/Visal.A, es decir, una firma, según nuestra base 5440 (clic en la imagen para ver reporte de Virus Total):

Sin embargo, si los usuarios observan otra muestra de la misma familia (identificada por base de firmas en otras soluciones), puede observarse que por la heurística de ESET la misma ya era detectada en la base de firmas 5438:

En resumen, nos encontramos con un caso como el que les mencionaba hace unos días: una muestra donde los usuarios ya estaban protegidos por las capacidades proactivas del antivirus, que luego obtuvo una firma en la base de datos para brindar una detección más específica de la amenaza. Más allá de la importancia de las firmas, este tipo de casos refuerzan el valor de la heurística para brindar protección a los usuarios contra amenazas nuevas o desconocidas.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Heurística
1 Comment »

Randy Abrams, Director de Educación, publicó en el blog de ESET en inglés un interesante post (How Do You Find 200,000 Unique Samples a Day?) sobre las muestras que recibimos diariamente en los laboratorios de la compañía, y algunas dudas de los usuarios de cómo actuamos en consecuencia y cómo lo hace el software antivirus en cuanto a sus métodos de detección. A partir de un par de preguntas de un lector, Abrams aprovechó para dejar algunos conceptos sobre estos temas, que compartimos a continuación:

Tú dices que ESET recibe 200 mil muestras únicas de malware por día, ¿ESET detecta la mayoría de ellas o sólo las que están listadas en las firmas aquí: http://www.eset.com/threat-center/threatsense-updates?

En la detección de nuvas amenazas, las firmas tradicionales no son útiles. Hay una variedad de acercamientos heurísticos y uno de ellos, particularmente efectivo, se llama detección genérica. Con la detección genérica podemos identificar nuevas amenazas, basados en otras ya existentes. Con las firmas tradicionales cada pequeña modificación sobre un virus o troyano rompe la detección, pero con las firmas genéricas los cambios menores no afectan la detección. Varias de las amenazas son detectadas por nuestra heurística pasiva. El motor analiza el archivo y decide si el mismo puede ejecutarse o hará algo dañino. Muchas otras amenazas son detectadas por nuestra heurística activa. Con ella, se crea una computadora virtual dentro del motor antivirus para ejecutar la muestra. Esto nos permite observar que hará la aplicación.

En resumen, y como bien indica Abrams, “las firmas que se ven en el sitio web son sólo algunos de los códigos maliciosos que detectamos“. Para ser más específicos, sólo aquellos que detectamos por firmas tradicionales. La segunda pregunta permite arrojar más información sobre este tema:

En la actualidad, ¿por qué se escriben firmas? ¿Son escritas para detectar malware o para cubrir la brecha que la heurística no puede? De lo contrario, ¿es la principal tarea de la heurística ser un complemento a la base de firmas?

Hay una variedad de motivos para mantener las firmas tradicionales. En muchos casos, es necesario actualizar nuestros algoritmos heurísticos para detectar ciertas amenazas, y las firmas son una forma más rápida de hacerlo. Otro motivo importante para mantener las firmas tradicionales es el rendimiento. El análisis heurístico requiere más consumo de procesador que las firmas. Usando los métodos tradicionales podemos mantener el rendimiento de nuestro producto muy efectivo. Además, para ciertas amenazas son necesarias las firmas porque los gerentes prefieren que el equipo de IT conozca y pueda informarle cuál es el nombre de una determinada amenaza.

Agregando a lo que explica Abrams, este último punto es muy importante, ya que explica dos ideas importantes: que los métodos por firmas y heurísticos se combinan, y que una detección por firmas puede derivar a un algoritmo de heurística, o viceversa. Es decir, a partir de una detección que se realiza por base de firmas es posible analizar comportamiento de muchas amenazas y crear nuevos algoritmos heurísticos que a largo plazo ofrezcan protección contra nuevas variantes con patrones similares. Pero también es posible que determinadas amenazas detectadas por heurística luego sean identificadas a través de firmas para poder crear acciones particulares en cuanto a los datos sobre esa amenaza.

A los que deseen más información sobre este tema, pueden descargar de nuestro Centro de Amenazas el artículo Heurística Antivirus: detección proactiva de malware, donde se explica con más detalle el concepto de detección proactiva de amenazas, y cómo este es implementado por ESET NOD32 Antivirus.

Sebastián Bortnik
Coordinador de Awareness & Research

Categories: Heurística
5 Comments »

Como mencionábamos en ¿Qué es Heurística?, los algoritmos heurísticos son distintas metodologías de análisis proactivo de amenazas.

Existen tres variantes que son las más comunes en lo que respecta a métodos de análisis, y que son utilizadas en este tipo de detecciones heurísticas. Estas son:

• Heurística genérica: se analiza cuán similar es un objeto a otro, que ya se conoce como malicioso. Si un archivo es lo suficientemente similar a un código malicioso previamente identificado, este será detectado como “una variante de…”.
• Heurística pasiva: se explora el archivo tratando de determinar qué es lo que el programa intentará hacer. Si se observan acciones sospechosas, éste se detecta como malicioso.
• Heurística activa: se trata de crear un entorno seguro y ejecutar el código de forma tal que se pueda conocer cuál es el comportamiento del código. Otros nombres para la misma técnica son “sandbox”, “virtualización” o “emulación”.

En función de las consultas de algunos usuarios y lectores, cabe destacar que estos son los métodos clásicos de detección, que no se relacionan (en forma directa y explícita) con los dos tipos de heurística que pueden observar nuestros usuarios en la configuración de ESET NOD32:

La heurística avanzada son aquellos algoritmos heurísticos que poseen funcionalidades más complejas de detección proactiva, y que por lo general son más específicos y consumen más recursos del sistema. Cabe destacar que, por tal motivo, por defecto la heurística avanzada viene deshabilitada en la configuración de ESET NOD32 Antivirus.

Aquellos usuarios que posean equipos modernos, no se verán afectados por habilitar esta opción y es recomendable hacerlo, para así contar con una mejor protección en materia de códigos maliciosos.

Quienes estén en entornos empresariales y deseen aplicar el cambio, no desesperen, no es necesario hacerlo en cada uno de los equipos, sino que pueden modificar la configuración de todos los equipos de la red directamente desde ESET Remote Administrator.

Recuerden que para aprender más sobre heurística, pueden descargar el informe Heurística Antivirus: detección proactiva de malware.

Sebastián Bortnik
Analista de Seguridad

Categories: Heurística, Informes
2 Comments »

Suponga que un responsable de Recursos Humanos debe contratar un graduado de cierta carrera y se conecta con la universidad en búsqueda de perfiles. Si la universidad brinda datos de 20 alumnos, sería posible entrevistar a todos ellos y elegir el que mejor haya pasado la entrevista. Sin embargo, suponga que la universidad otorga los datos de 300 alumnos y que debe seleccionarse uno para el puesto. La capacidad de esta persona para realizar entrevistas se ha visto superada y es imposible entrevistar a todos los alumnos, por lo que debe tomar alguna decisión que le permita encontrar al candidato indicado. Esta persona, finalmente, decide entrevistar a los 20 alumnos con mejor promedio de todo el listado recibido, y luego elegir a su candidato.

Como verán en el relato, claramente el responsable de Recursos Humanos ha tomado una decisión inteligente, que le permitió resolver un problema imposible de abarcar con sus métodos clásicos de selección. Aunque muchos de ustedes no lo hayan imaginado mientras lo leían, esta persona ha tomado una decisión heurística.

Teniendo en cuenta que la evolución de las amenazas y el escenario del malware ha crecido, los métodos reactivos utilizados originalmente por los software de detección de malware ya no son suficientes para resolver el problema de una detección efectiva de códigos maliciosos. De la misma forma, los antivirus han comenzado a utilizar algoritmos heurísticos como base de la mayor parte de métodos de detección de malware proactivos.

El análisis heurístico en tecnologías antivirus,  posee un comportamiento basado en reglas para diagnosticar si un archivo es potencialmente ofensivo. El motor analítico trabaja a través de su base de reglas, comparando el contenido del archivo con criterios que indican un posible malware, y se asigna cierto puntaje cuando se localiza una semejanza. Si el puntaje iguala o supera un umbral determinado, el archivo es señalado como amenaza y
procesado de acuerdo con ello.

Si quieren conocer más sobre heurística, y cómo esta es aplicada en los software antivirus, no dejen de leer el nuevo artículo que hemos publicado, titulado Heurística Antivirus: detección proactiva de malware. Como se indica en la introducción del mismo, “el objetivo de este informe es reducir las confusiones en torno al funcionamiento de la tecnología antimalware y clarificar qué es lo que realmente debe esperarse de una protección de este tipo, particularmente aquellas que cuentan con análisis heurístico”.

Como siempre, ponemos a disposición del público nuestros papers para que puedan aprender más sobre seguridad de la información, y en esta oportunidad sobre las tecnologías antivirus y su funcionamiento. ¡Que lo disfruten!

Sebastián Bortnik
Analista de Seguridad

Categories: Heurística, Informes
3 Comments »

El juego de palabras surgió de una conferencia que presencié recientemente en Virus Bulletin 2009 y se refiere a las confusiones que surgen cuando se habla de la nube o, el mismo término más aceptado en inglés, Cloud Computing.

En primera instancia, la detección de malware por firmas siempre ha tenido dos puntos importantes a considerar:

• El tamaño de la base de datos de firmas de malware detectado aumenta con cada actualización, y esos archivos se encuentran almacenado en el sistema del usuario (visión del cliente), lo cual representa un problema de rendimiento y de consumo de recursos para algunos antivirus.
• Miles de nuevos malware deben ser analizados cada día, lo cual no puede ser llevado adelante por analistas humanos y se necesitan procesos automáticos e inteligentes que los realicen.

Estos puntos mencionados son los más importantes a resolver a corto y mediano plazo en lo que respecta a detección y rendimiento, motivos por los cuales algunas compañías han decidido comenzar a mudar estos servicios a la nube, manteniendo sus bases de datos en línea y analizando los archivos en un servidor, en vez de utilizar el sistema cliente.

Pero, esta “solución” presenta en sí misma algunos riesgos y preguntas tales como:

• El objeto a analizar es enviado a la nube para ser analizado y si bien en la mayoría de los casos sólo se enviará información relativa al mismo (hash, tamaño, cabeceras, estructuras, etc.), podría ser necesario enviar en archivo completo. Esto puede representar una seria vulnerabilidad respecto a la confidencialidad del objeto.
• La base de datos en la nube debe seguir siendo actualizada ¿a cuánto tiempo se puede bajar la actualización? Aunque la respuesta sea a décimas de segundo, el método sigue siendo reactivo.
• El análisis en la nube sigue siendo estático y la detección, por el punto anterior, es más reactiva que proactiva en la mayoría de los casos por lo que si el objeto es analizado en la nube y no es detectado, aún será considerado no dañino (falso negativo) para el usuario.
• Las bases de datos siguen creciendo (ahora en el servidor) y en base al crecimiento de malware detectado, que es mayor a lo que dice la Ley de Moore, ¿hasta cuando será posible seguir ampliando estos archivos?
• Si la conexión a la nube (Internet) no se encuentra activa, el análisis no puede ser llevado a cabo. Este problema de disponibilidad del servicio puede presentarse fácilmente en malware que bloquean el acceso a la red o el acceso a los sitios de las empresas antivirus o, incluso en conexiones lentas por módem, por ejemplo.
• Podrían presentarse problemas de performance referidos a lo que sucede con el objeto analizado mientras se espera respuesta del servicio en línea.
• Sería posible realizar ataques de DDoS a los servidores en la nube, incluso de manera no intencional, debido a la cantidad de requerimientos de los usuarios.
• Dependiendo del país y de que existen diferentes legislaciones en cada uno, ¿qué datos es posible enviar a la nube y cuales no? ¿qué sucede con los que no se puede enviar para realizar el análisis?
• ¿Las botnets pueden manipular un sistema de reputación de una base datos en línea enviando requerimientos falsos?

Sin dudas la nube es una buena alternativa para propagar malware y los atacantes la utilizan a diario. Pero de lo anterior se puede concluir que los servicios de detección en la nube que han comenzado a promocionarse aún necesitan investigación y mucho trabajo para ser perfeccionados.

Hay que tener en cuenta que la seguridad en la nube no es el santo grial y a veces suele ser sólo humo. Este es el motivo por el cual ESET sigue mejorando y perfeccionando su detección heurística para que la misma sea más inteligente y su base de datos muy pequeña, permitiendo los mejores índices de detección avalados por las certificaciones antivirus.

Cristian

Categories: Declaraciones, Educación, Heurística
2 Comments »