El concepto de ‘malware morphing’ no es nuevo. Por años, autores sobre malware e investigadores de antivirus han documentado y clasificado los métodos usados para atrapar los códigos maliciosos con cada infección. Y mientras esas técnicas han sido una fuente de innovación para los desarrolladores de ‘exploits’ contra los navegadores web, en su primera generación ellos han sido relativamente ineficaces en contra de los motores de la tradicional protección basada en firma.
Lo anterior tiene sus razones:
• Los autores de malware no tienen la estructura organizacional o respaldo financiero para el desarrollo de técnicas de ‘obfuscation’ que puedan ser efectivas contra las modernas soluciones de seguridad.
• Los parches generalmente estuvieron disponibles cuando una explotación apareció.
• Los métodos usados para atraer víctimas a sitios web maliciosos son relativamente poco sofisticados.
Hoy, los tiempos han cambiado. El malware se está convirtiendo en ‘morphing’ en una escala sin precedentes, hasta el punto en que los sistemas basados en firma no son lo suficientemente efectivos en contra de ellos. Hemos entrado en una era donde la explotación “hora-cero” es la regla, no la excepción. Así, la latencia inherente en los motores de firmas conlleva a que los sistemas están permanentemente expuestos a compromisos potenciales.
El amanecer de la explotación ‘x-morphic’
El último año ha mostrado un dramático incremento en ataques a navegadores que son más difíciles de detectar, son personalizados y, por lo tanto, mucho más peligrosos aún que el más experto hacker.
Los atacantes ahora están alterando dinámicamente el ‘exploit’ al cual se le ha hecho ‘obfuscate’ cada vez que la víctima potencial visita la página maliciosa, creando de manera efectiva un único ‘exploit’ para cada ingreso o requerimiento. Esto se llama explotación ‘x-morphic’, que entrega la más grande (y única en su tipo) ofuscación de explotaciones de navegadores.
La razón principal para este cambio ha sido la comercialización del crimen basado en Internet. Como una nueva oportunidad de ganancias, han aparecido y madurado organizaciones criminales que han comenzado a invertir en los sistemas de entrega de ‘exploits’, que pueden ser operados por largos períodos de tiempo antes de que la protección logre ser desarrollada e implementada.
Con la explotación ‘x-morphic’, el código que da forma a la explotación nunca es pasado a través del host de la víctima. Esa es la razón por la que no existe oportunidad para que la protección de los fabricantes identifique el origen de la explotación, ya que el motor de ‘x-morphic’ no se descubre con los parámetros del motor de protección basado en firma, diseñado para detectar códigos polimórficos y metamórficos, que están presentes en el mercado de los antivirus.
El levantamiento del motor ‘x-morphic’
La nueva propagación del motor ‘x-morphic’ es diseñada para servir explotaciones de navegadores web altamente ofuscadas y únicas en su tipo, en las que cada página representa una víctima potencial. La sofisticación puede abarcar desde un servidor malicioso que fija escritura a un sitio web legítimo, a un servidor web con un motor ajustado que incorpora múltiples ofuscaciones y tecnologías de ‘morphing’, y construido en un servicio independiente que puede ser desarrollado como parte de un agente estándar.
Los conceptos y mecánicas detrás de un motor ‘x-morphic’ son relativamente simples, con las técnicas individuales y tecnologías desplegándose en estado natural por muchos años. La diferencia hoy es que esos criminales organizados están utilizando su conocimiento para desarrollar plataformas de envío más confiables.
Existen dos elementos centrales para el motor ‘x-morphic’:
• Exploit morpher: Este elemento se focaliza en manipular un stock de navegadores web, explotándolos por el reordenamiento, acojinamiento, intercambio de código de envoltura, cambiando componentes de escritura o bien alterando el código de explotación.
• Ofuscadores: Estos elementos consisten en el motor de trabajo en las líneas de la red, de entrega de contenido o de aplicaciones de contenidos, las cuales toman el código de explotación ‘morphic’ y lo envuelven en una o más líneas de ofuscación. Cada línea de ofuscación puede agregar a su propia aleatoriedad, entregando un aspecto metamórfico a la explotación final.
El desarrollo de un motor ‘x-morphic’ tiene una multitud de técnicas de ofuscación disponibles para él, que son combinadas juntas e incorporadas en un ataque automático de plataforma de envío, lo que viene a ser una compleja amenaza.
Personalizando el ataque
Los motores ‘x-morphic’ en el futuro cercano ofuscarán sus ataques tomando ventajas de las técnicas de personalización avanzada.
Los ataques personalizados engañan a los visitantes mediante la creación de una experiencia de usuario más dinámica en el sitio, la cual ‘bypasea’ muchos sistemas de seguridad (tales como antivirus y detección y prevención de intrusiones basadas en firma), que están preparados para blockear explotaciones algo más conocidas que otras nuevas.
De acuerdo con el reporte anual 2006 de X-Force sobre tendencies en seguridad, en el 30% de los sitios web maliciosos se usaban técnicas de personalización hacia el final de 2006, y ese número está rápidamente en aumento.
Más adelante, esos sitios tendrán la inteligencia para evitar sostener páginas maliciosas cuando estén siendo testeados por herramientas usadas por muchas organizaciones en investigación de seguridad para identificar sitios maliciosos. Esto significa que más de ellos están volando bajo el radar de muchas empresas de seguridad.
El futuro
A primera vista, la perspectiva es triste. La ‘explotación x-morphic’ se espera que venga incorporada en el método de la entrega basada en web, y reemplazará a los canales más ad hoc de explotaciones (largamente descoordinados de esfuerzos manuales) usados por las organizaciones criminales. Ellos vendrán a ser más extensibles, con la tercera parte de desarrolladores eventualmente entregando contenidos especializados que pueden ‘caer dentro’, como siguiendo un modelo de suscripción.
La primera generación de servicios comerciales, ejemplificados por los nuevos abastecedores de administración de explotaciones como son Inet-Lux, ya ha aparecido. Esta puede alimentar a organizaciones criminales y poco claras legalmente, y ha sido adoptada de par en par por fabricantes de spyware y adware.
Afortunadamente, en forma simultánea al desarrollo de amenazas ‘x-morphic’, investigadores de seguridad legítimos y varias organizaciones han estado desarrollando esfuerzos preventivos de lucha contra esos sofisticados ataques. Recientes avances en detección de anomalías y sistemas de prevención de intrusiones combinados con más técnicas basadas en comportamiento, están ayudando a las organizaciones a detectar un punto temprano de actividades. Ellos hacen esto por la construcción de perfiles en contra de clases de ataques, algo que descansa en la capacidad de los motores de protección basada en firma de encontrar instancias individuales de ataques.
Continuará existiendo un ‘juego del gato y el ratón’ entre los productores de explotaciones y las compañías de seguridad. Es importante que la gente entienda que con la llegada de la explotación ‘x-morphic’ el juego ha completado una nueva fase, una fase que ha hecho rendirse a los confiados y obsoletos sistemas antivirus basados en firma.
