Inicio >> noticias >> 2017 >> Un día en la vida de un rastreador de amenazas Avast.

Un día en la vida de un rastreador de amenazas Avast.

Eche un vistazo al interior del mundo de la ciberseguridad y a los analistas, altamente cualificados, del laboratorio de amenazas de Avast que luchan contra el delito cibernético.

Con más de 400 millones de dispositivos, Avast utiliza su IA y aprendizaje automático para proteger a los clientes de todo el mundo. Y, los números son grandes. Prevenimos más de 3.5 mil millones de ataques de malware cada mes. Nuestra nube de seguridad revisa más de 200 mil millones de URL y 300 millones de archivos nuevos cada mes. A medida que el malware evoluciona, nuestro equipo de Threat Labs (Laboratorios de Amenazas) agrega continuamente más protección mediante la detección continua de amenazas y la actualización de nuestros clientes para mantenerse a la vanguardia de los ciberdelincuentes. Pero no todo se trata de big data y automatización. Un equipo altamente calificado trabaja detrás de escena para agregar el elemento humano a la lucha contra el crimen cibernético. Echa un vistazo entre bastidores en el día de la vida de un analista de laboratorios de amenazas.

08:06

Todos están en la oficina. La luz de la mañana está marcada por el movimiento de figuras y líneas multicolores en nuestro muro de pantallas. Las estadísticas globales de tendencias, amenazas y otras actividades nos recuerdan que el panorama de amenazas está en constante evolución.

Tengo café, estoy listo.

09:09

Me llaman de controles de rutina y análisis temprano ya que uno de nuestros sistemas automatizados ha encontrado una amenaza potencial en una tendencia anómala que comenzó hace dos días. Nuestros analistas son alertados sobre el hallazgo y buscan un caso específico en CyberCapture, Escudo de Comportamiento y bases de datos heurísticas sobre la tendencia a ver qué hay detrás, si es malicioso y, de ser así, asegurarse de que nuestros clientes estén protegidos.

Imagen del muro de seguimiento de amenazas de Avast

Nuestro método es simple pero desafiante: detectarlo, analizarlo, resolver cómo protegerse de él y luego incorporarlo a nuestro producto. Y nuevos descubrimientos como este son la parte más importante del proceso.

Muchas amenazas menores son tratadas por nuestra IA y los sistemas de big data, pero esta tendencia es pronunciada y el equipo comienza la investigación manual. Extraemos algo de código de la actividad y comenzamos a buscar URLs o firmas potencialmente maliciosas en el binario.

Puede ser una falsa alarma, o al menos una que podemos utilizar sistemas automatizados para tratar.

09:19

Algunas amenazas (malware, virus, etc.) se repiten en el espacio del consumidor, así que quiero verificar si esto es algo que hemos visto antes. Podemos ver código malicioso una y otra vez, pero puede regresar en otras formas. Para encontrar la forma original tenemos que pasar por varias capas. Así que eso es lo que empiezo a hacer.

Hay algo de rutina en mis días, pero no hay dos días iguales. Siempre estoy analizando cosas diferentes y las acciones a realizar son diferentes.

Imagen del muro de seguimiento de amenazas de Avast

09:47

Al mirar el software de detección binario y en ejecución, encontramos algo familiar en este código. Es un viejo favorito con un nuevo giro.

Hacer que la gente haga clic en un enlace malicioso es una táctica que se remonta a más de una década. Y a pesar de que nosotros, como seres humanos, somos suspicaces si no cautelosos, algunas personas simplemente hacen lo que se les pide cuando llega un correo electrónico: 'haga clic en el enlace', 'desempaquetar este archivo comprimido', y así sucesivamente.

Parece que la estafa es aparecer como un negocio legítimo con el que una compañía trabaja, y enviarles una factura... solo que no es una factura, es un malware.

En un principio, parecía una simple suplantación de identidad (phishing), tratando de hacer que pusiera sus datos en un formulario web malicioso, pero de hecho está vinculando al malware que infectará el suyo y cualquier máquina vinculada.

10:12

El problema con tantas amenazas maliciosas es que provienen de código común. Son como zombies... simplemente siguen mutando y volviendo. Nuestros clientes están protegidos si la amenaza se ve igual, es cuando vuelven de una manera ligeramente diferente cuando tenemos que actuar rápidamente para protegerlos: asegúrese de que su antivirus esté actualizado.

10:30

Trabajo en la plataforma de Windows, centrándome en los binarios de Windows. También contamos con equipos en el Laboratorio de Amenazas que se centran en scripts maliciosos de Java y Android, pero esto no parece necesitar su aporte. Analizo el script para ver cómo despliega el código malicioso en las máquinas.

Estoy cerca de descubrir en qué parte del código en particular se basa esta amenaza, entonces puedo escribir un mecanismo de firma / detección para combatirlo y extenderlo al software de nuestros clientes directamente.

11:21

Me pongo al día con un colega sobre una estafa que se descubrió ayer y qué sucedió. Ella me dice que pudimos detener un ataque de phishing dirigido a los clientes de uno de los grandes bancos. Usan la autenticación de dos factores en todas sus máquinas dentro y fuera de la oficina, lo cual es bastante estándar en estos días.

Pero los atacantes crearon una aplicación para capturar la información de inicio de sesión. Han engañado a los usuarios para que descarguen la aplicación a su teléfono Android. La aplicación lee sus textos que incluyen códigos de confirmación para iniciar sesión.

Logramos detectar la amenaza justo a tiempo, recomendando a todos aquellos con la aplicación maliciosa que la eliminen de inmediato a través de su software Avast Antivirus. El ataque podría haber costado a la compañía millones, tal vez incluso miles de millones.

Nos sentimos orgullosos.

11:34

La amenaza de hoy está resultando difícil. Ya sabemos que es malicioso, pero podemos profundizar y obtener el archivo de configuración oculto, que está presente en forma cifrada en algún lugar del binario. El archivo de configuración a menudo contiene otra información, como las URL de otros servidores maliciosos o scripts.

Estoy depurando el código de ensamblaje, sin embargo, aún no he encontrado el lugar. Escribo un script y ejecuto un diagnóstico.

11:56

Estoy esperando un diagnóstico para ver sus hallazgos, así que trabajo en otro proyecto.

He estado trabajando en cómo detectar algunas de las amenazas incluso antes, por tanto estamos diseñando un nuevo sistema para hacerlo. Actualmente estoy trabajando en una regla (código) que ayudará. A todos nos encanta el desafío de hacer que nuestros sistemas sean más rápidos y crear formas de trabajar mejor.

Mediodía

¡Almuerzo! Me paro en la cocina y espero a que la tostadora cocine mi panini. Hablo con el tipo que está a mi lado sobre el infame ataque de WannaCry de mayo de 2017.

Pudimos ver, a partir de ciertos indicadores, que algo estaba sucediendo antes de que estallara la noticia. Vimos que la amenaza se extendía y crecía, así que comenzamos a analizarla. El Escudo de Comportamiento (tecnología que observa el comportamiento en el equipo) significa que pudimos evitar que WannaCry afectara a nuestros clientes incluso antes de que se anunciara públicamente.

¡Otra victoria para el antivirus!

12:37

El chico nuevo, Honza, está comiendo su almuerzo mientras me lavo. Él me pregunta cómo me metí en esta línea de trabajo.

"Tienes que estar en el lugar correcto en el momento correcto", sonreí.

En realidad, comencé a codificar en la escuela secundaria. Me encantó "invertir" en los programas "crackme", programas diseñados para probar las habilidades de ingeniería inversa de un programador.

"Unos años después de haber dejado la escuela, un amigo mío comenzó a trabajar en Avast cuando surgió un trabajo. Sabía que había resuelto algunos programas crackme en el pasado, así que sabía cómo funciona la protección del software, y decidí postularme para el puesto".

Suficiente conversación. ¡Vuelta al trabajo!

Imagen del muro de seguimiento de amenazas de Avast

13:14

Finalmente, el diagnóstico mostró algunos resultados. Siento que estoy cerca. Esta es la parte realmente difícil. Estoy analizando una muestra del código, tratando de realizar una ingeniería inversa del algoritmo para ver cuál es la configuración específica del archivo. Quiero ver si puedo encontrar una URL dentro del código que debemos bloquear para proteger a los clientes que abren el archivo adjunto.

Mientras estoy buscando manualmente también tenemos algunos programas internos en ejecución. Estoy analizando el código, tratando de realizar una ingeniería inversa, usando un depurador llamado OllyDbg [Olly Debugger software]. Dependiendo de cómo vaya esto, podría usar IDA Pro (un desensamblador interactivo).

Sé lo que estoy buscando. Le estoy dando vueltas, pero todavía no lo tengo. Al hacer esto, siempre es un desafío no cometer errores que podrían arruinar el trabajo que ya has hecho.

No puede esconderse para siempre, solo tengo que encontrar el lugar correcto.

14:38

Esto va a llevar algo de tiempo. El código es muy complejo, y ahí es donde entra la dificultad: el tiempo que puede llevar para comprender el código fuente de la amenaza.

Mucha gente puede codificar en lenguaje como C# que se compila en código de bytes. Este código puede ser fácilmente modificado mediante herramientas que puedes descargar de la web y puedes ver todo el código en un nivel alto, casi el mismo en el que fue escrito por el autor.

Generalmente hay alguna ofuscación, ocultando el código dentro del código, pero después de cambiar el nombre de las clases, las variables y algunas otras comprobaciones, normalmente puede volver al código de texto sin formato.

Pero este no está escrito en C# está escrito en C++ utilizando muchas clases que dificultan la ingeniería inversa. Tengo que ser lento y cuidadoso, casi depurarlo por instrucción.

16:10

¡Ahí está! Trabajando con mi colega, encontramos la rutina de descifrado en lo profundo del código binario. Tenía el presentimiento de que no lo encontraríamos hoy. Sin embargo, nos centramos en rastrear la memoria y, por supuesto, ¡finalmente la encontramos!

La amenaza era similar a la que atrapamos a principios de año. Alguien claramente estaba usando eso como base para esta implementación de malware, pero habían ocultado su fuente e identidad en un montón de código, incluido algo que lo ocultaba para parecer más legítimo.

16:15

El siguiente paso es obtener rápidamente alertas y protección para nuestros clientes. Siempre elegimos los métodos de detección adecuados para el caso, luego se pueden entregar a los clientes. Algunos códigos se pueden crear y desplegar automáticamente, pero este me necesitará a mí y al equipo para escribir una definición personalizada (código y datos).

16:50

Impulsamos nuevas definiciones en nuestro back-end, el software realiza varias pruebas para evitar Falsos Positivos, antes de enviarlas a todas las máquinas de nuestros usuarios.

17:07

Las definiciones ahora se pueden implementar mediante actualizaciones por streaming que se entregan muy rápidamente, necesitando solo unos minutos; luego, podemos marcar binarios maliciosos. También cambiamos algunos códigos, sin embargo, estos cambios deben probarse adecuadamente y se entregan actualizando todo el VPS (servidor privado virtual) y esto lleva más tiempo.

Todavía no hemos tenido alertas de clientes que realmente abran el archivo y se despliegue, por lo que podríamos resolver este caso sin 'infecciones'. Siempre es triste escuchar que alguien ha sido estafado con los ahorros de su vida, simplemente porque hizo clic en un enlace.

Me encanta cuando puedo ver que mi trabajo es exitoso. Obtuve satisfacción al detener código malicioso. Algunas personas pueden pensar que mi trabajo es aburrido, estar sentado mirando una pantalla todo el día, pero cuando encuentro una amenaza y nadie más la recibe, ¡es la mejor sensación del mundo!

18:00

¡Hora de ir a casa! Hoy fue un buen día, es raro que lidiemos con algo en un solo día. ¿Quién sabe lo que traerá el mañana ...?

 

Publicado en www.infratech.es el 06-11-2017.

Fuente: blog.avast.com