¿Cómo detener malware certificado?

Los autores de malwares frecuentemente añaden firmas de certificados expirados o comprometidos para evitar productos AV que no validen esas firmas.

La semana pasada, investigadores de la Universidad de Maryland presentaron evidencia acerca de que esta técnica esta mucho más expandida que lo que anteriormente se creía. Además, de medir la prevalencia de esta técnica, los investigadores también la utilizaron para añadir dos certificados diferentes que habían expirado a cinco ransomeware maliciosos de muestra. Obviamente, añadiendo una firma digital, expirada o no, a un pedazo del malware, no lo hace benigno Sin embargo, de acuerdo a los investigadores, esta técnica engaña a algunos nombres importantes de la industria como Crowdstrike, SentinelOne, Malwarebytes, TrendMicro, Microsoft, Symantec, Kaspersky y Sophos. fue una de los motores que marcaron cada uno de las diez muestras creadas como maliciosas. ¿Cómo fue que el Malware Webimprints pasó las pruebas de los investigadores?

Primero, revisemos la razón de las firmas y certificados para permitir a los usuarios confiar los códigos ejecutables. Certificados para firmar el código vienen del mismo sistema y arquitectura que los que se utilizan para las conexiones HTTPS en sitios web. Cuando códigos ejecutables son propiamente firmados con estos certificados, quiere decir que esta certificado para originar de la organización de la que el certificado fue emitido y no ha sido manipulado con la ciencia dice Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS). Cuando certificados por firma de código son emitidos, se les da una fecha de expiración, muchas organizaciones tienen una clave para los códigos de fecha de expiración. Para prevenir que los códigos sellados expiren con e certificado, como paso opcional, un sello firmado con la fecha y hora puede ser añadido. Este sello es generalmente emitido por un servidor de tiempo que corre por el Certificate Authority  que emite el certificado. Si uno de estos sellos no se añade, entonces la firma se considera inválida si el certificado ya expiró. Esto permite que la verificación se realice mientras el certificado sea válido. Mientras que todas las partes de la información estén presentes, la firma puede ser validada aun cuando haya expirado.

Los investigadores encontraron que los motores AV fueron engañados por firmas que podrían no ser válidas. Sin embargo, no pudieron engañar a la Business Control System, una máquina basada en el motor de aprendizaje para detectar ejecutables maliciosos. Hay dos razones principales para esto, primeramente, las características extraídas de los 10 millones de muestras no incluían información de la firma. Las características se centran en un rango de características como librerías importadas, funciones exportadas, y el nombre, tamaño, y complejidad de las secciones en el archivo PE. Ya que no entrenamos en firmas y certificados como aquellos que se usan en estos ataques, Business Control System no se engaña cuando se añaden firmas invalidadas o expiradas a un archivo, y regresa una etiqueta exacta a pesar de su presencia.

Encontrar ejecutables maliciosos es un problema bastante serio que se completa con la máquina aprendiendo a tomar decisiones con un whitelisting limitado en hashes y firmas.

Esta nueva capa ayuda a reducir los falsos pósitos en el despliegue del cliente. La validación imprecisa de los certificados pudo habernos llevado a confiar en algunas firmas inválidas añadidas al ransomware probadas por los investigadores y falsamente marcadas como benignas. Limitando los certificados que pongamos en la whitelist, y probando a fondo la validación de los códigos de los certificados nos da la confianza que nuestra whitelist solo afecta a software legítimo. Los investigación presentada la semana pasada por la Universidad de Maryland nos provee de confirmación adicional acerca de que nuestro enfoque ayuda a detectar una amplia gama de técnicas para mantener los falsos positivos en un rango bajo comenta Jim Gil, un experto de seguridad informática de International Institute of Cyber Security (IICS).

Business Control System ya ha sido probado por muchas agencias independientes y estamos contentes de que los investigadores académicos determinaran nuestra capacidad de detección de malware sea fuerte en contra de este ataque en particular. Continua y rigurosamente, probamos el Business Control System. Internamente para validar que es el mejor motor AV en el mercado, sin embargo, es importante recordad que ningún método de protección es perfecto, es por ello que Webimprints empareja con Business Control System con otra industria líder en la protección de procesos de inyección, escalamiento privilegiado, robo de credenciales, entre otros. El acercamiento por expertos de seguridad informática de Webimprints es más que efectivo para detener una amplia gama de vectores de ataque. Como lo confirmó la investigación de la Universidad de Maryland, esto incluye detener los más nuevos y creativos ataques de malware que se escapen en una solución AV, pero son rápidamente detectados en la plataforma de Webimprints.