La iMuerte de eVoldemort

13 Ago 2018

Los cuentos de hadas y las historias fantásticas han contribuido al mito sobre la invencibilidad de los villanos (nosotros llevamos 20 años afrontando el mismo mito en el ciberespacio). Todo Voldemort depende de la seguridad de su diario, su anillo, su serpiente, su… bueno, supongo que sabéis todo lo relacionado con los Horrocruxes. Y el éxito de tu guerra contra los villanos, sea en un cuento de hadas o en el ciberespacio, depende de dos cualidades importantes: perseverancia e inteligencia (es decir, tecnología). Hoy te contaré cómo la perseverancia y la inteligencia, así como las redes neuronales, el aprendizaje automático, la seguridad en la nube y el conocimiento de expertos (todo incluido en nuestros productos) te protegerán de potenciales ciberamenazas futuras.

De hecho, ya hemos incluido las tecnologías de protección contra ciberamenazas futuras antes (más de una vez, muchas más veces, hasta nos hemos reído). Te preguntarás por qué estamos tan obsesionados con ellas.

El motivo es porque estas tecnologías son lo que diferencian una protección robusta de una inteligencia artificial falsa y de los productos que usan información robada para detectar el malware. ¿Identificar la secuencia del código mediante una firma conocida después de que el malware se haya colado en el sistema y haya hecho el daño que tenía que hacer? Nadie necesita eso.

Pocos en la industria son capaces de anticipar la forma de pensar de los cibervillanos, comprender las vulnerabilidades que son de su agrado y poner trampas invisibles para llevar a cabo una detección. De hecho, muy pocos, según los análisis independientes. WannaCry, la epidemia más grande de la década, es un buen ejemplo: gracias a la tecnología de System Watcher, nuestros productos han protegido proactivamente a nuestros usuarios contra dichos ciberataques.

El aspecto clave es este: es imposible tener demasiada protección contra las ciberamenazas del futuro. No hay ningún emulador ni sistema de análisis de big data capaz de cubrir todos los posibles vectores de ataque. Las trampas ocultas deberían cubrir todos los niveles y canales y, en la medida de lo posible, rastrear la actividad de todos los objetos del sistema para asegurarse de que ninguno será un problema; todo ello, a la vez que hacen un uso mínimo de los recursos, sin dar ningún “falso positivo” y siendo 100 % compatibles con otras aplicaciones para evitar pantallazos azules.

La industria del malware también sigue su desarrollo. Los cibervillanos conciben sus creaciones para que se oculten en el sistema: cambiando su estructura y comportamiento, ralentizando sus acciones (minimizando así el consumo de recursos, despertando según un horario, ocultándose tras penetrar en el ordenador objetivo, etc.) para llegar al fondo del sistema, ocultar su rastro y usar métodos “limpios” o “casi limpios”. Pero todo Voldemort tiene sus Horrocruxes, los cuales se pueden destruir para poner fin a su actividad maliciosa. La cuestión es cómo encontrarlos.

Hace unos años, enriquecimos el arsenal de nuestros productos con tecnologías proactivas de protección contra ciberamenazas avanzadas al adoptar una invención interesante (patente RU2654151). Esta emplea un modelo de comportamiento de objetos evolutivos para realizar una identificación de alta fiabilidad de anomalías sospechosas en el sistema, una localización de fuentes y una supresión incluso de gusanos más “prudentes”.

¿Cómo funciona?

Cuando se activan, los objetos dejan rastros en el ordenador. El uso del disco duro, de la memoria, el acceso a los recursos del sistema, la transferencia de archivos en la red… de un modo u otro, todo malware terminará por manifestarse, hasta el más sofisticado; el rastro no se puede eliminar por completo. Incluso los intentos de limpiar el rastro generan otro rastro.

¿Cómo averiguamos qué piezas son de aplicaciones legítimas y cuáles de malware? Y todo ello sin utilizar un exceso de potencia de cálculo. Así es cómo se hace.

El producto antivirus recopila la información sobre la actividad de las aplicaciones (comandos ejecutados, parámetros, acceso a recursos críticos del sistema, etc.) para crear modelos de comportamiento, detectar anomalías y calcular el factor de “maldad”. Pero quiero que comprendas bien el método empleado para conseguirlo. Recuerda que buscamos rapidez, no solo fiabilidad. Aquí es donde las matemáticas, o un resumen de las mismas, entran en juego.

El modelo de comportamiento resultante hace un resumen para poder obtener la información de comportamiento necesaria y así no emplear demasiados recursos. Ni controlando de cerca el rendimiento del ordenador se puede detectar esta tecnología.

Ejemplo:

El cálculo del factor de maldad depende de cuatro atributos externos:

  • Tipo de objeto (ejecutable/no ejecutable).
  • Tamaño (mayor/menor de 100 kb).
  • Fuente (descargado de Internet o de una memoria USB).
  • Difusión (más/menos de 1.000 instalaciones según las estadísticas de KSN).

Y cuatro atributos de comportamiento:

  • Si el objeto transmite información en red.
  • Si el objeto lee información del disco duro.
  • Si el objeto añade información al registro.
  • Si el objeto interactúa con el usuario mediante una ventana de interfaz.

Las respuestas se pueden contestar con un “no” (0) o un “sí” (1).

Dicho esto, el archivo app.exe, de 21 kb, extraído de otrascosas.zip, detectado en 2.113 ordenadores, que no lee la información del disco duro, transfiere información en red, no cuenta con ventana de interfaz y añade información al registro, tendrá el siguiente aspecto:

1 0 0 1 1 0 1 0

Si presentamos esto como un entero de 8 bits, obtenemos 0b10011010 = 154. Esto es lo que llamamos resumen. A diferencia del clásico hash (por ejemplo, MD5 o SHA-1), nuestra tecnología de resumen es mucho más inteligente. En la vida real, se registran miles de atributos de objeto, todos generan resúmenes empleados por un modelo evolutivo para identificar patrones. Mediante esto, podemos obtener un patrón de comportamiento muy exacto y, además, muy rápido.

El factor de maldad es otra historia; tanto el malware y las aplicaciones legítimas pueden demostrar un comportamiento perfectamente idéntico. Por ejemplo, muchas aplicaciones añaden información a la carpeta del sistema. ¿Cómo podemos diferenciar a las que lo hacen como parte de sus tareas legítimas de las que lo hacen con intenciones maliciosas?

En primer lugar, el factor tiene un efecto acumulativo, es decir, crece uniformemente. Con el tiempo, ello permite la detección de malware de muy bajo perfil sin ningún falso positivo; así, una actividad sospechosa de corta duración (como una modificación del registro del sistema, cosa que ocurre siempre que se instala una aplicación) no accionará el antivirus. El resumen resultante se transmite mediante una “caja negra” red neuronal entrenada que decide si el comportamiento del objeto es malicioso o no.

Y, por supuesto, la tecnología trabaja junto a KSN, pues este sistema en la nube permite el intercambio de muestras sospechosas, su análisis automatizado y el perfeccionamiento de la tecnología con el fin de mejorar la exactitud de los veredictos. Las capacidades que ofrece KSN se utilizan constantemente para mejorar la red neuronal; de este modo, también la pueden entrenar otros algoritmos y expertos. Ello nos ayuda a detectar los ficheros peligrosos, además de las sesiones de red, los componentes y otros nanoelementos del puzle que terminarán por conducirnos al eVoldemort.