Hackers informáticos rusos más sofisticados utilizan la Esteganografía para pasar el antivirus
Con el paso del tiempo expertos en ciberseguridad están detectando mayores esfuerzos por parte de los hackers con el fin de “saltarse” los filtros de los sistemas de seguridad y firewalls y reportando nuevos métodos de ataque.
A pesar de ser una técnica casi tan antigua como la escritura, el uso de la esteganografía por parte de hackers y cibercriminales – para evadir los sistemas de seguridad – está en auge.
A menudo se suele confundir con la criptografía, dado que ambas forman parte de los procesos de protección de la información, pero en realidad son disciplinas distintas, tanto en su forma de implementar como en su objetivo.
Los hackers son cada vez más sofisticados y la esteganografía, al esconder contenido detrás de otro, resulta atractiva para ocultar código malicioso en archivos de apariencia común.
Prácticamente hoy cualquier formato de archivo puede ser modificado para incluir malware y para lograrlo los hackers utilizan cada vez más la esteganografía y así esconder las pistas de su actividad maliciosa en la computadora afectada.
Mediante esta técnica, se puede introducir texto dentro del código binario de una imagen. Esto es útil para los atacantes porque hay antivirus que no analizan archivos multimedia.
De esta manera, los archivos pueden “pasar” por varios firewalls sin ser detectados.
Los formatos más usados para ello puede ser PNG, JPEG y archivos de audio .WAV, ya que estos normalmente no son escaneados.
Muchas amenazas de malware son multietapas, es decir, primero es necesario tener en el sistema de la víctima un archivo instalado previamente, como el denominado “Dropper”, programado para evadir la detección del sistema y las medidas de seguridad, aunque también puede actuar como descargador con el mismo propósito. Estas características hacen que este malware sea uno de los más peligrosos.
El Dropper se dirige de forma remota para descargar el código malicioso, y al no presentar amenaza alguna para el sistema atacado, se instala sin complicaciones. De este modo se extrae el código malicioso del archivo descargado y se ejecuta, logrando llevar a cabo el ciberataque.
La esteganografía trabaja ocultando el código malicioso dentro de un archivo. Para poder saltear los firewalls no solo se cambia la extensión del archivo, sino también el encabezado del mismo permitiendo esconder el código malicioso para impedir que las soluciones de seguridad y antimalware los detecten.
En la mayoría de los casos el archivo que contiene el código malicioso es válido permitiendo abrir y reproducir un archivo de audio, por ejemplo, sin ningún inconveniente.
De este modo, escondiendo código dentro de ese archivo se genera una aleatoriedad de firma tal que se hace prácticamente imposible poder detectar e identificar el malware.
Para poder detectar y eliminar el Dropper no se recomienda escanear cada archivo en una red porque sería una tarea interminable. Lo más seguro es implementar sistemas de Anti-Malware tanto localmente y de perímetro y utilizar la sincronización de los sistemas para poder detectarlo.
Fuente: Global Media IT
¿Quieres formarte dentro del amplio universo de la Seguridad Informática? En EducaciónIT tenemos una amplia variedad de cursos mediante los cuales podrás convertirte en un experto en seguridad en Windows, Linux, desarrollo seguro de aplicaciones web, mobile, y mucho más. Conoce más de nuestros Cursos en Seguridad Informática.
