Con el paso del tiempo expertos en ciberseguridad están detectando mayores esfuerzos por parte de los hackers con el fin de “saltarse” los filtros de los sistemas de seguridad y firewalls y reportando nuevos métodos de ataque.
A pesar de ser una técnica casi tan antigua como la escritura, el uso de la esteganografía por parte de hackers y cibercriminales – para evadir los sistemas de seguridad – está en auge.
A menudo se suele confundir con la criptografía, dado que ambas forman parte de los procesos de protección de la información, pero en realidad son disciplinas distintas, tanto en su forma de implementar como en su objetivo.
Los hackers son cada vez más sofisticados y la esteganografía, al esconder contenido detrás de otro, resulta atractiva para ocultar código malicioso en archivos de apariencia común.
Prácticamente hoy cualquier formato de archivo puede ser modificado para incluir malware y para lograrlo los hackers utilizan cada vez más la esteganografía y así esconder las pistas de su actividad maliciosa en la computadora afectada.
Mediante esta técnica, se puede introducir texto dentro del código binario de una imagen. Esto es útil para los atacantes porque hay antivirus que no analizan archivos multimedia.
De esta manera, los archivos pueden «pasar» por varios firewalls sin ser detectados.
Los formatos más usados para ello puede ser PNG, JPEG y archivos de audio .WAV, ya que estos normalmente no son escaneados.
Muchas amenazas de malware son multietapas, es decir, primero es necesario tener en el sistema de la víctima un archivo instalado previamente, como el denominado «Dropper», programado para evadir la detección del sistema y las medidas de seguridad, aunque también puede actuar como descargador con el mismo propósito. Estas características hacen que este malware sea uno de los más peligrosos.
El Dropper se dirige de forma remota para descargar el código malicioso, y al no presentar amenaza alguna para el sistema atacado, se instala sin complicaciones. De este modo se extrae el código malicioso del archivo descargado y se ejecuta, logrando llevar a cabo el ciberataque.
La esteganografía trabaja ocultando el código malicioso dentro de un archivo. Para poder saltear los firewalls no solo se cambia la extensión del archivo, sino también el encabezado del mismo permitiendo esconder el código malicioso para impedir que las soluciones de seguridad y antimalware los detecten.
En la mayoría de los casos el archivo que contiene el código malicioso es válido permitiendo abrir y reproducir un archivo de audio, por ejemplo, sin ningún inconveniente.
De este modo, escondiendo código dentro de ese archivo se genera una aleatoriedad de firma tal que se hace prácticamente imposible poder detectar e identificar el malware.
Para poder detectar y eliminar el Dropper no se recomienda escanear cada archivo en una red porque sería una tarea interminable. Lo más seguro es implementar sistemas de Anti-Malware tanto localmente y de perímetro y utilizar la sincronización de los sistemas para poder detectarlo.
El hecho de que las amenazas de malwares se hayan convertido en un frente difícil de combatir es el motivo de por qué WatchGuard ofrece el portafolio más completo de servicios de seguridad en la industria.
La plataforma Total Security Suite de WatchGuard ofrece a los profesionales de TI todos los servicios de seguridad de red tradicionales típicos de un dispositivo UTM más protección contra el malware avanzado mejorada con inteligencia artificial, protección a nivel de DNS, cloud sandboxing de última generación, protección contra pérdida de datos, capacidades de visibilidad de red mejoradas, correlación y valoración de amenazas alojadas en la nube, y la capacidad de actuar contra las amenazas desde Dimension, nuestra plataforma de visibilidad de red.
* Autor: Martín Sieburger, socio de Net-Guard, reseller Gold de WatchGuard en la Argentina