AtomBombing, una nueva amenaza para Windows
Hace unos días Tal Liberman, un investigador de seguridad de la empresa enSilo, mostró una nueva técnica de inyección de código que afecta a todas las versiones de Windows, incluyendo Windows 10. Debido a la naturaleza de esta técnica es poco probable que pueda ser parcheada. Desde PandaLabs analizamos cómo funciona, sus consecuencias y qué podemos hacer para protegernos.
¿Cómo funciona?
Básicamente este ataque se aprovecha de funcionalidades del propio sistema operativo para inyectar código malicioso para que sea ejecutado por un proceso legítimo. Aunque no es tan distinto a lo visto en otros ataques (desde hace décadas existe malware que se inyecta en otros procesos) es cierto que el uso de las atom tables (proporcionadas por Windows para permitir el almacenamiento y acceso a datos a aplicaciones) no es –hasta ahora- común y pasará desapercibida por muchas soluciones de seguridad.
La mejor explicación que podemos encontrar es la que ha escrito Tal en su artículo “AtomBombing: A Code Injection that Bypasses Current Security Solutions”.
Si no hay parche y afecta a todas las versions de Windows, ¿estamos ante un peligro como nunca antes hemos visto?
Realmente no. Para empezar, en esta técnica el malware tiene primero que ser ejecutado en la máquina, por lo que no se puede utilizar para lanzar ataques remotos y comprometer su equipo. Los ciberdelincuentes deberán utilizar algún exploit o engañar a algún usuario para que se descargue y ejecute el malware, y cruzar los dedos para que la solución de seguridad instalada no lo pare.
¿Es algo realmente nuevo?
La forma en la que el ataque es llevado a cabo para inyectar código es nueva, aunque como hemos mencionado anteriormente, hay gran cantidad de ejemplares de malware que utilizan desde hace mucho tiempo técnicas de inyección de código. Por ejemplo, es algo que vemos frecuentemente en diferentes familias de ransomware.
Es nuevo, pero no tan peligroso… Entonces, ¿a qué viene la alarma?
El malware necesita ser ejecutado en la máquina, pero sabemos que en un momento dado esto va a suceder (no es una cuestión de SI va a suceder, sino de CUÁNDO va a suceder).
Muchas soluciones de seguridad son capaces de detectar el intento de inyección en un proceso, sin embargo, para llevar a cabo esto dependen de firmas (no es una detección genérica de inyección de código), por lo que la mayoría no serán capaces de detectar este nuevo método. Además, muchas de estas soluciones tienen un listado de procesos confiables. Si se inyecta código en uno de ellos, podrá evitar las diferentes medidas de seguridad de dicho producto.
Además, este ataque es relativamente fácil de implementar, por lo que ahora que es conocido habrá muchos ciberdelincuentes integrándolo en sus nuevos ejemplares de malware.
¿Qué podemos hacer para proteger la red de nuestra empresa?
Por un lado, utilizar las soluciones antimalware tradicionales, que son fantásticas detectando y previniendo infecciones de cientos de millones de amenazas. Sin embargo, no son tan eficientes con ataques dirigidos o amenazas de reciente creación.
De otro lado, tenemos las soluciones de nueva generación, autodenominadas “Next Gen AV”. La mayoría proclaman que no dependen del uso de firmas y que su potencia viene del uso de técnicas de machine learning, que han evolucionado mucho en los últimos años y que de hecho son bastante buenas deteniendo algunos ataques dirigidos y amenazas nuevas. Tienen gran experiencia en escenarios donde los equipos ya han sido comprometidos, por lo que ofrecen mucho valor añadido cuando el ataque ha tenido éxito. Otro problema que tienen es que el machine learning no te dice si algo es blanco o negro, sino una probabilidad, lo que se traduce en un alto número de falsos positivos.
¿La mejor estrategia es entonces utilizar soluciones tradicionales antimalware y Next Gen al mismo tiempo?
No la mejor, pero sí es mejor que utilizar sólo una de ellas; sin embargo, tiene algunos inconvenientes. El primero, se debe pagar por ambas. Aunque esto puede justificarse con la mejora en la protección global de nuestra red, también significa que necesitaremos presupuesto extra para todo el trabajo añadido (crecimiento exponencial de falsos positivos debido a las soluciones Next Gen, diferentes consolas desde las que manejar cada producto, etc.). El consumo de recursos del equipo puede ser otro problema, ya que ambas soluciones estarán en ejecución al mismo tiempo en cada endpoint. Otro tema a considerar es que estas soluciones no hablarán entre ellas, por lo que no podremos aprovechar totalmente la información obtenida por cada una.
La mejor solución es aquella que incorpora lo mejor de ambos mundos: que tenga la potencia de las soluciones tradicionales y la experiencia en técnicas de machine learning combinadas con el uso de big data y la nube. Trabajando de forma conjunta y compartiendo información, con una monitorización continua de todos los procesos en ejecución, clasificando todos los programas utilizados en cualquier equipo de nuestra organización y creando evidencias forenses en tiempo real en caso de que suceda un ataque; desplegando un pequeño agente que se encargue de todo, utilizando la nube para todas aquellas tareas que requieren de gran poder de proceso ofreciendo así el mejor rendimiento del mercado. En este contexto, Adaptive Defense 360 es la solución que mejor se adapta a las necesidades actuales de protección de la red corporativa ante esta nueva amenaza.
