Las vacunas contra malware pueden prevenir pandemias, pero rara vez se usan

Las vacunas tienen claras ventajas sobre los mecanismos de defensa basados en la detección, por lo que desarrollamos una vacuna para proteger de una de las familias de ransomware más notorias: STOP / DJVU. Pero a diferencia de las vacunas contra virus biológicos, las vacunas de malware no son particularmente comunes. Este artículo explica por qué.

Funcionamiento interno de las vacunas contra malware

Las vacunas contra malware aplican partes inofensivas de malware a un sistema para engañar al malware para que funcione mal. No es una coincidencia que la industria de la seguridad haya adoptado el término vacuna de la medicina porque hay una semejanza con las vacunas médicas que aplican partes inactivas o debilitadas de los virus a una persona para proteger. Pero la analogía se detiene ahí. Las vacunas contra malware no mejoran la respuesta de seguridad del sistema.

Las partes de malware inofensivas que aplican las vacunas a menudo se denominan marcadores de infección. El malware generalmente intenta no infectar un sistema dos veces porque esto tiene consecuencias no deseadas. Por esa razón, el malware puede colocar marcadores de infección después de una infección exitosa. Si el malware encuentra dicho marcador, se abstendrá de instalarse de nuevo. Una vacuna simplemente coloca esos marcadores de infección sin el malware, engañando así al malware para que piense que ya infectó el sistema (cf. p. 2 [wich12]).

Las vacunas pueden usar otras cosas que no sean marcadores de infección, por ejemplo, pueden causar un error en el malware al proporcionar datos no válidos. Algunos malware escriben datos en el registro o en archivos como claves de cifrado, opciones de configuración, servidores C2C. Una vacuna puede colocar datos no válidos que hacen que el malware se bloquee, funcione mal o simplemente no funcione según lo previsto por el autor. Un ejemplo simple sería la aplicación de un servidor C2C no existente para malware controlado remotamente. Una vacuna bien descrita que estrelló versiones anteriores de Emotet con un desbordamiento de búfer se llama EmoCrash [quinn20].

En el caso de la vacuna ransomware STOP / DJVU, el ransomware se engaña para que ya no cifre los archivos. Sin cifrado de archivos no hay apalancamiento para exigir un rescate, por lo tanto, el principal comportamiento malicioso es desactivado por la vacuna.

Otro caso, aunque diferente, es la vacuna Logout4Shell de Cybereason. Esta vacuna es un malware benigno similar al gusano Welchia. El malware benigno tiene características de malware como la propagación de gusanos o la replicación de virus, o la explotación, pero la carga útil está destinada a solucionar un problema. El gusano Welchia se hizo famoso por usar los mismos mecanismos de propagación como el gusano Blaster para limpiar las infecciones de Blaster, así como para parchear sistemas vulnerables. Logout4Shell es similar a Welchia porque explota activamente la vulnerabilidad de Log4Shell para corregir el agujero de seguridad. La explotación en sí misma es problemática porque los cambios se pueden aplicar sin el consentimiento del propietario del sistema. Cybereason afirma en un artículo de Bleepingcomputer que los beneficios superan las preocupaciones éticas teniendo en cuenta la gravedad del exploit de Log4Shell.

Ventajas de las vacunas sobre los mecanismos de detección

Las vacunas tienen algunas ventajas únicas. Son pasivos, por lo tanto, a diferencia del análisis antivirus, no tienen sobrecarga de rendimiento para el sistema. Dependiendo del malware, también pueden trabajar en sistemas ya infectados apagando el comportamiento malicioso de la infección latente (p.3 [wich12]). Las vacunas también funcionan independientemente de la ofuscación, el empaquetamiento, el polimorfismo, el metamorfismo o técnicas de evasión similares.

En un estudio de 2012, al menos el 59,4% de las muestras de malware utilizaron marcadores de infección (p.4 [wich12]). Este estudio está obviamente desactualizado, pero es el único que pude encontrar sobre la prevalencia de marcadores de infección. Creo que la magnitud no cambió y que se podrían desarrollar vacunas para una cantidad sustancial de familias de malware.

Las vacunas contra malware son desarrolladas activamente por algunas compañías de seguridad, por ejemplo, Minerva, sin embargo, en comparación con otros mecanismos de protección contra malware como las vacunas de detección basadas en firmas, parecen bastante impopulares. ¿Por qué?

Para entender esto, echemos un vistazo a una vacuna específica primero: la vacuna contra el ransomware STOP / DJVU.

Las vacunas contra malware tienen algunos rasgos en común con las administradas para combatir las infecciones biológicas.

Vacuna ransomware STOP /DJVU

Stop / DJVU ransomware vacuna fue creado por John Parol y yo. Publicamos una herramienta en Github para que todos puedan inspeccionarla y usarla. Poco después de publicarlo, la herramienta obtuvo muchas detecciones de falsos positivos por parte de los proveedores de antivirus.

Además, agregamos una sección al archivo léame de nuestra herramienta para explicar que los sistemas no están completamente protegidos contra el ransomware STOP / DJVU después de usar esta vacuna. El ransomware seguirá haciendo cosas al sistema que no están vinculadas al cifrado.

  1. en algunos casos, el ransomware aún puede crear notas de rescate
  2. si los archivos son menores de 6 bytes, el ransomware seguirá cambiándoles el nombre, pero no cambiará su contenido
  3. Este ransomware a menudo no está solo, sino que se envía con malware adicional como Vidar Stealer, por lo que la desinfección del sistema afectado sigue siendo necesaria a pesar de la vacuna.

Así que lo único que la vacuna previene es el cifrado y (para la mayoría de los archivos) el cambio de nombre. No es seguro que la vacuna permanezca en el sistema porque los productos de seguridad probablemente la eliminarán. Stop / DJVU ransomware en sí mismo también puede obtener una actualización en algún momento para que la vacuna ya no funcione.

Las vacunas no son una bala de plata

El principal problema de las vacunas es que hacen que un sistema parezca infectado a otros productos de seguridad. Muchos de los usuarios más expertos en tecnología utilizan escáneres de malware adicionales a su producto antivirus principal y estos escáneres detectan marcadores de infección como un signo de una infección prevalente. No solo eliminan estos marcadores de infección, sino que los encontrarán repetidamente cuando el producto antivirus los vuelva a aplicar. Eso convierte el uso de los productos uno junto al otro en una experiencia desagradable para el usuario, que puede llegar a creer que su antivirus principal no funciona contra esta amenaza, y que su sistema nunca se limpia adecuadamente.

Forzar a los escáneres de malware a no detectar tales marcadores de infección es una mala idea porque esto eventualmente debilitaría su detección contra amenazas reales. Estos marcadores son signos de infección reales y deben seguir detectándose como tales. Esperar y predicar que los usuarios solo usen una suite de seguridad de un proveedor tampoco es realista. Tenemos que vivir con el uso cruzado de otros escáneres.

Además, la protección de la vacuna a menudo es silenciosa, lo que significa que los usuarios nunca sabrán que hubo un intento de infección. Esto no es deseable porque los usuarios necesitan saber que, por ejemplo, el programa que descargaron fue una mala idea.

Las vacunas contra malware pueden seguir siendo un mecanismo de defensa de nicho para el malware cotidiano, pero son específicamente útiles para combatir los brotes pandémicos. En ese sentido, no son diferentes de las vacunas médicas.

Referencias

[quinn20] James Quinn, agosto de 2020, «EmoCrash: Exploiting a Vulnerability in Emotet Malware for Defense», www.binarydefense.com/emocrash-exploiting-a-vulnerability-in-emotet-malware-for-defense/

[que12] A. Wichmann y E. Gerhards-Padilla, «Using Infection Markers as a Vaccine against Malware Attacks», 2012 IEEE International Conference on Green Computing and Communications, 2012, pp. 737-742, doi: 10.1109/GreenCom.2012.121.

Enlace: Las vacunas contra malware pueden prevenir pandemias, pero rara vez se usan | G DATOS (gdatasoftware.com) Blog de G DATA Karsten HahnAnalista