Una muestra de malware que fue descubierta recientemente, cambia la firma general cuando la carga útil final es entregada a través de la técnica de ofuscación que logra esquivar las instalaciones antivirus. Esta técnica es una gran manera para que los ciberdelincuentes escapen del escaneo antivirus.

La mayoría de los productos antivirus dependen de la detección que utiliza firmas. La estructura general sigue transformándose, las funciones no se alteran y se crea una capa de evasión que ayuda al malware a evitar la detección del antivirus.

Los medios más comunes de la técnica de ofuscación que se emplea para evitar el antivirus son, Packers, que comprime o ‘empaqueta’ un programa de malware, Crypters que encripta un programa de malware y otros mutadores que cambian el número total de bytes en el programa.

Ofuscación de PowerShell, es una técnica distribuida en forma de archivo ZIP que contiene un documento PDF y un script VBS, fue encontrado por un investigador. Más tarde se descubrió que el script VB mencionado anteriormente tenía los principios de codificación de Base64 que se estaban utilizando para ofuscar la primera capa. A continuación, se descarga un archivo mediante el script PowerShell, a saber, hxxps://ravigel[dot]com/1cr[dot]dat.

Un método de encriptación de cadenas con el nombre de SecureString, que es intrínseco a C# y se utiliza para encriptar cadenas sensibles, se encontró en el archivo que lleva el nombre 1cr.dat.

Se diseña una serie de instrucciones para vencer las técnicas del sandbox automatizado y luego se descarga otro archivo PE “top.tab” utilizando el script existente y la carga útil final se inyecta en la máquina del objetivo.

La seguridad debe mantenerse tensa y deben emplearse los mejores métodos para disminuir las repercusiones de un ataque de este tipo. Una protección DDoS completa, alta disponibilidad, SLA del 99,999% y soluciones de seguridad avanzadas deben ser las máximas prioridades para las organizaciones que no pueden gestionar las interrupciones.

Si un servidor que ya estaba infectado se cargaba con un malware, se podía detener la interacción entre el atacante y la puerta trasera, lo que a su vez alertaría al administrador y ayudaría a eliminar el malware.

Los cortafuegos de aplicaciones web, las protecciones shell de puerta trasera y otras soluciones deben ser diseñadas para detener cualquier vulnerabilidad futura y aislar cualquier ataque posterior.

Fuente: E Hacking News

 

Anuncios