Publicidad

Néstor Flores Araujo: La amenaza de los Virus informáticos I

Los informáticos Revelan un nuevo y peligroso virus que no deja rastro, ya que según advierten este nuevo método de 'hackeo' elude los principales programas antivirus

La amenaza de los virus informáticos son un auténtico problema la cual todavía continúan dando muchos problemas y un gran dolor de cabeza que al no prevenirse, pueden provocar graves daños en nuestro sistema así como en la productividad tanto de nosotros como de las empresas., donde la pérdida de datos, los sistemas bloqueados, podría ser todo un problema al no poder recuperarlas.

Revelan un nuevo y peligroso virus informático que no deja rastro

Desde luego, ninguna persona o empresa que se precie va a reconocer que ha sido atacada por un virus informático, lo cual a la hora de tomar acciones puede que sea ya demasiado tarde, es así que los programadores de la compañía en Silo han demostrado en la conferencia Black Hat Europea 2017 una nueva técnica que permite ‘hackear’ todas las versiones de Windows sin que los antivirus lo noten, informa el portal.

Los informáticos Revelan un nuevo y peligroso virus que no deja rastro, ya que según advierten este nuevo método de ‘hackeo’ elude los principales programas antivirus y sin ser detectado.

Como señalan los expertos, Process Doppelganging utiliza los mecanismos de NTFS (un sistema de archivos estándar para Windows) para infectar una computadora con un virus que se llama “DAMON”el cual circula sin dejar rastro. Al probar el método, los programadores han encontrado que eludía los principales programas antivirus, donde el ataque “Process Doppelgänging” funciona en todas las versiones de Windows

Sin embargo, los expertos señalan que no es fácil perpetrar un ataque con este método, ya que requiere un profundo conocimiento de los mecanismos internos de los escáneres de los antivirus, ahora bien en la conferencia de seguridad Black Hat Europe 2017 en Londres, dos investigadores de seguridad de la firma de seguridad cibernética en Silo han descrito una nueva técnica de inyección de código llamada “Process Doppelgänging”.

Este nuevo ataque funciona en todas las versiones de Windows e los investigadores dicen que pasa por alto la mayoría de los principales productos de seguridad actuales, Process Doppelgänging es algo similar a otra técnica llamada Process Hollowing, pero con un giro, ya que utiliza el mecanismo de Windows NTFS Transactions .

Proceso de ataque Doppleganging

Doppelgänging funciona mediante la utilización de dos características clave distintas para ocultar la carga de un ejecutable modificado. Mediante el uso de transacciones NTFS, realizamos cambios en un archivo ejecutable que en realidad nunca se enviará al disco. Luego usaremos los detalles de la implementación no documentada del mecanismo de carga del proceso para cargar nuestro ejecutable modificado, pero no antes de deshacer los cambios que hicimos en el ejecutable. El resultado de este procedimiento es crear un proceso desde el ejecutable modificado, mientras que los mecanismos de seguridad implementados permanecen en la oscuridad.

El proceso Doppelgänging pasa por alto los AV más modernos, además los investigadores dicen que el código malicioso que utiliza Process Doppelgänging nunca se guarda en el disco (ataque sin archivos), lo que lo hace invisible para todos los principales productos de seguridad.

Los investigadores probaron con éxito su ataque contra productos de Kaspersky, Bitdefender, ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Qihoo 360 y Panda. Además, incluso herramientas forenses avanzadas como Volatility no lo detectarán.

En sus experimentos, los investigadores utilizaron Process Doppelgänging para ejecutar Mimikatz, una herramienta conocida que se usa para operaciones de robo de contraseñas, “de forma furtiva para evitar la detección”.

Doppelganging resultados de la prueba

Proceso Doppelgänging es un ataque sin archivos
“El objetivo de la técnica es permitir que un malware ejecute código arbitrario (incluido el código que se sabe que es malicioso) en el contexto de un proceso legítimo en la máquina de destino”, Tal Liberman y Eugene Kogan, los dos investigadores de enSilo que descubrieron el ataque se explicó en un correo electrónico que describe su nueva investigación.

“Muy similar al proceso de vaciamiento pero con un giro novedoso. El reto es hacerlo sin usar procesos sospechosos y operaciones de memoria como SuspendProcess, NtUnmapViewOfSection.

“Para lograr este objetivo aprovechamos las transacciones NTFS. Sobreescribimos un archivo legítimo en el contexto de una transacción. Luego creamos una sección del archivo modificado (en el contexto de la transacción) y creamos un proceso a partir de ella. Parece que el escaneo del archivo mientras está en la transacción no es posible por los proveedores que verificamos hasta el momento (algunos incluso se cuelgan) y dado que revertimos la transacción, nuestra actividad no deja rastro “.

Todo se ve bien para los productos de seguridad porque el proceso malicioso se verá legítimo y se correlacionará correctamente con un archivo de imagen en el disco, al igual que cualquier otro proceso legítimo. No habrá un “código no asignado”, que generalmente es lo que buscan los productos de seguridad.

La buena noticia es que “hay muchos desafíos técnicos” para hacer que el Proceso Doppelgänging funcione, y los atacantes necesitan saber “muchos detalles no documentados sobre la creación de procesos” y la mala noticia es que el ataque “no se puede reparar, ya que explota las características fundamentales y el diseño central del mecanismo de carga del proceso en Windows”.

Process Doppelgänging ahora se une a la lista de nuevos métodos de ataque descubiertos el año pasado que son difíciles de detectar y mitigar para AV modernos, como Atom Bombing , GhostHook y PROPagate .

El material de investigación sobre el Proceso Doppelgänging se publicará en el sitio web de Black Hat en los próximos días, el artículo se ha actualizado para eliminar Norton, Sophos y Trend Micro de la lista de productos vulnerables y agregar Qihoo 360, debido a una confusión en las comunicaciones por correo electrónico y datos de pruebas anteriores. Bleeping Computer lamenta el error.

Llévese de estas reglas para que estés (un poco)a salvo de los hackers;

1-Use kapersky antivirus, no invente con otros.

2-De noche apague el pc y desconectelo de la corriente. (Hay técnica para encender la pc a distancia)

3-Nunca use su clave fuera de su pc personal o fuera de su movil personal.
4-Tenga cuidado si ha llevado su móvil a reparar (la mayoría de técnicos usan programas con virus)

5-Acostúmbrese a usar air key, (si no sabe pregunte en su banco)

6-Mantenga actualizados todos los programas.

7-Si no sabes de informática a nivel inter-medio, (o tener alguien que evalúe los riesgos) no invente en usar programas pirateados.

8-Tome conciencia al usar el pc o el móvil de que estos medios son vulnerables y que usted no debe dejar todo a la suerte.

Más de 6 años en seguridad informática, por esto le hablo así.

Hasta un nuevo encuentro de TECNOLOGÍA HOY y que Dios nos conserve sanos y libres de cualquier esclavitud, humana o tecnológica.

Licdo. Néstor Flores Araujo/ nafagot@gmail.com/@nafagot.

Compartido
Loading...


Acerca del Autor

Néstor Flores

Nestor Flores

Publicidad

Publicidad

Publicidad

Publicidad

Publicidad

Publicidad

Publicidad

Publicidad