LAS NUEVAS TECNICAS DEL RANSOMWARE CERBER 4 ELUDEN LAS DETECCIONES DEL MACHINE LEARNING

LAS NUEVAS TECNICAS DEL RANSOMWARE CERBER 4 ELUDEN LAS DETECCIONES DEL MACHINE LEARNING

El Cerber 4 es el ransomware que está proliferando tanto o mas que el dichoso Cryptolocker, aunque la ingeniería social aplicada en los Cerber no es (afortunadamente) tan buena como la que han aplicado en los famosos Cryptolocker como con el dichoso falso mail de Correos, o luego en la falsa factura de Endesa, o ahora en los mails con asunto FACTURA o similar, anexando un link a un fichero del DROPBOX, o un fichero .DOC con macros maliciosas que descargan, instalan y ejecutan nuevas variantes de dicho ransomware, o simplemente un fichero .js (java script) que descarga e instala un .EXE con dicho ransomware, pero cuando parecía que con los sistemas heurísticos del indicado ML se podía frenar la proliferación de la lacra en cuestión, ahora los nuevos CERBER 4 parece que logran saltarsela …

La nueva variante de esta familia de ransomware se ha dividido en componentes aparentemente inofensivos para engañar a los sistemas de detección basados en machine learning.

El cibercrimen ha demostrado en repetidas ocasiones su capacidad para innovar pasando los controles de seguridad que la industria ha puesto en su camino. Por lo tanto, es poco sorprendente que algunos han comenzado a burlar herramientas de machine learning.

Los investigadores del proveedor de seguridad Trend Micro descubrieron recientemente una nueva versión de la muestra de ransomware de Cerber que aparece diseñada específicamente para evadir la detección mediante algoritmos de machine learning.

“Los cambios de Cerber son realmente interesantes, ya que son una respuesta directa a los cambios en cómo algunos productos están detectando malware”, dice Mark Nunnikhoven, vicepresidente de investigación en la nube de Trend Micro.

La nueva versión separa las diferentes etapas del malware en múltiples archivos y los inyecta dinámicamente en un proceso en ejecución, dice. “Esto ayuda a ocultarlos de varios métodos de detección.”

¿CÓMO EVADE MACHINE LEARNING?

Al igual que otras amenazas de ransomware, la nueva versión de Cerber también se distribuye por correo electrónico. El correo electrónico contiene un enlace al archivo autoextraíble almacenado en una cuenta de Dropbox controlada por los atacantes. El archivo contiene tres archivos: uno que contiene un script de Visual Basic, el segundo un archivo DLL y el tercero, un archivo binario. El script está diseñado para cargar la DLL, que luego lee el archivo binario y lo ejecuta. El archivo binario contiene un nuevo loader para Cerber y también los ajustes de configuración para el malware.

El loader comprueba primero si se está ejecutando en un sandbox o en otro entorno protegido. Si descubre que no está en un entorno protegido, inyecta todo el binario Cerber en uno de varios procesos en ejecución, dijo Trend Micro en una alerta esta semana.

“En su forma actual, algunas herramientas de análisis estático de machine learning pueden tener dificultades para detectar las diversas piezas de la nueva configuración de Cerber”, dice Nunnikhoven. Las partes maliciosas no se analizan, por lo que el malware no se marca.

La razón es que los enfoques estáticos de machine learning van al contenido de un archivo y lo evalúan para verificar si coinciden con comportamientos y atributos maliciosos, dice.

Pero si el contenido malicioso del archivo se oculta, por ejemplo, a través de cifrado, o se inyecta en tiempo real en un proceso legítimo, el contenido no se evalúa por comportamientos y atributos sospechosos, dice.

“Digamos que alguien se acerca a la puerta y tienen las manos detrás de la espalda. Miras a través de la mirilla y no ves una amenaza inmediata para que los dejes entrar”, dice. No sabes hasta que ya están en la casa si lo que tienen en sus manos es malicioso o benigno.

NO CONFIAR SOLO EN UNA TÉCNICA DE DETECCIÓN

Esto hace que Cerber sea más difícil de detectar a través de algoritmos de machine learning aunque todavía puede ser detectado por otros mecanismos. “El mensaje para llevar a casa es que sólo usando una técnica para detectar malware te deja vulnerable si los criminales se adaptan a él”.

Esta nueva técnica de evasión no elimina el enfoque de detección de un anti-malware con múltiples capas de protección. Cerber tiene sus debilidades contra otras técnicas. Por ejemplo, tener un archivo .DLL desempaquetado hará que sea fácil crear un patrón de uno a varios; adicional el conjuntar una estructura dentro de un archivo hará más fácil identificar si el paquete es sospechoso. Las soluciones que dependen de multiples técnicas y no estrictamente de machine learning pueden proteger a los clientes contra estas amenazas.
(Fuente: http://blog.smartekh.com/)

sigue en : todos-de-deteccion-heuristica/

NOTA ADICIONAL:
Ver información sobre el sistema MACHINE LEARNING (Aprendizaje de las máquinas) en Fuente:
tomático