Lima.- Como se observa en un ataque cibernético típico, una vez que el agente de amenazas está dentro de la red atacada, establece un punto de apoyo y luego recopila información valiosa para posteriormente transferirla al servidor de mando y control (C&C por sus siglas en inglés).
En la mayoría de los casos, las soluciones de seguridad ya probadas o los análisis profesionales de seguridad pueden identificar la presencia del agente de amenazas en la red en cada etapa del ataque, incluso en la de exfiltración. Esto se debe a que esta parte normalmente deja pistas, por ejemplo, un registro de conexiones a una dirección IP desconocida o incluida en lista negra. Sin embargo, cuando se trata de ataques en los que se utiliza la esteganografía, detectar la exfiltración de datos se convierte en una tarea difícil.
En este escenario, los usuarios malintencionados insertan la información que se va a robar en el código de una imagen visual trivial o en un archivo de video que luego se envía al servidor C&C. Por lo tanto, es improbable que un evento de este tipo provoque alguna alarma de seguridad o active una tecnología de protección de datos.
Esto se debe a que después de ser modificada por el atacante, la imagen en sí no cambia visualmente y su tamaño y la mayoría de los otros parámetros tampoco quedan alterados, lo cual no dará ningún motivo de preocupación. Esto hace que la esteganografía sea una técnica lucrativa para los agentes maliciosos cuando se trata de escoger la forma de exfiltrar los datos de una red atacada.
En meses recientes, los investigadores de Kaspersky Lab han sido testigos de al menos tres operaciones de ciberespionaje que utilizan esta técnica. Lo que resulta más preocupante es que además de los agentes de ciberespionaje, la técnica también está siendo adoptada activamente por cibercriminales habituales. Los investigadores de Kaspersky Lab han visto que se utiliza en versiones recientes de troyanos, entre ellas Zerp, ZeusVM, Kins, Triton y otros.
La mayoría de estas familias de programas maliciosos generalmente se dirigen a organizaciones financieras y usuarios de servicios financieros. Esto último podría ser una señal de que esta técnica será adoptada en masa por los autores de malware y, como resultado, hará más compleja su detección de manera generalizada.
“Aunque esta no es la primera vez que hemos presenciado que una técnica maliciosa, utilizada originalmente por agentes de amenazas avanzadas, se infiltra al panorama más común del malware, el caso de la esteganografía resulta especialmente relevante. Hasta ahora, la industria de la seguridad no ha encontrado una manera fiable de detectar la exfiltración de datos realizada de esta manera.
Las imágenes utilizadas por los atacantes como herramienta de transporte para la información robada son muy grandes y, aunque hay algunos algoritmos que podrían detectar automáticamente la técnica, su implementación a gran escala requeriría un gran poder de cómputo a un costo que resulta prohibitivo”, dijo Alexey Shulmin, analista de seguridad para Kaspersky Lab.
“Por otro lado, con la ayuda del análisis manual es relativamente fácil identificar una imagen ’cargada’ con datos confidenciales robados. Sin embargo, este método tiene limitaciones, ya que un analista de seguridad solo podría analizar un número muy limitado de imágenes por día. Quizás, la respuesta sea una combinación de ambos. En Kaspersky Lab, utilizamos una combinación de tecnologías con el análisis automatizado y el intelecto humano, lo que llamamos HuMachine, para poder identificar y detectar tales ataques.
Sin embargo, hay margen de mejora en esta área y el objetivo de nuestras investigaciones es atraer la atención de la industria al problema e imponer el desarrollo de tecnologías fiables pero asequibles, permitiendo así la identificación de la esteganografía en los ataques de malware”, concluyó Shulmin.
Kaspersky Lab es una empresa global de ciberseguridad que está celebrando su vigésimo aniversario en 2017. La profunda inteligencia de amenazas y pericia en seguridad de Kaspersky Lab se transforma constantemente en soluciones y servicios de seguridad para proteger a las empresas, infraestructuras críticas, gobiernos y consumidores de todo el mundo.
El portafolio de seguridad integral de la compañía incluye protección líder para endpoints y una serie de soluciones y servicios de seguridad especializados para luchar contra amenazas digitales sofisticadas y en evolución. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky Lab y ayudamos a 270,000 clientes corporativos a proteger lo que más valoran.
Vía: Agencia Orbita
Recibe las noticias más destacadas directamente en tu celular. Únete a nuestro grupo en WhatsApp a través del siguiente link: https://chat.whatsapp.com/DVZm2B0nIaZGcku79WAGx4
También estamos en Telegram como @InfoElLuchador únete aquí https://t.me/infoelluchador