De un tiempo a esta parte, los ataques e infecciones por ransomware crecen significativamente. Es por ello, que las medidas de protección han ido evolucionando e incorporando nuevos mecanismos y técnicas de análisis.
Diferentes protecciones en distintas capas
Estos mecanismos incluyen protecciones en distintas capas, siendo habitual al menos un primer control genérico/perimetral (FW), un segundo control específico de aplicación (WAF, MTA,…) y una última protección de endpoint (en los puestos de trabajo).
Las tecnologías utilizadas son similares en todos los niveles, por ejemplo:
– AntiVirus,
– Sandboxing,
– IDS / IPS,
– Filtrado de tipos de fichero no permitidos (por ejemplo, EXE en los correos, o ZIPs con contraseñas,…).
El email es cada vez más importante
Dado que la principal vía de infección para este tipo de amenazas es el correo electrónico, los atacantes utilizan técnicas como:
– ZIP adjunto en un correo con un JS dentro: Este tipo de amenazas se bloquean fácilmente mediante bloqueo de extensiones ejecutables
– ZIP con contraseña: Este tipo de amenazas puede bloquearse por políticas de ZIPs con contraseña
– Documento de Office con macro que descarga y ejecuta el ransomware: Este tipo de amenazas se identifica por comportamiento mediante técnicas de sandboxing y se bloquea.
Estas vías de infección pueden bloquearse mediante el uso de filtros en los MTA combinado con sandboxing, pero en los últimos meses, se ha identificado una tendencia que complica la detección y protección ante infecciones de ransomware.
En las últimas muestras analizadas, se ha identificado un aumento en correos como el siguiente:
En el mail anterior apreciamos un documento Word protegido con contraseña, la cual se especifica en el cuerpo del correo. El documento adjunto tiene una macro que descarga y ejecuta un ransomware del mismo modo que los ejemplos anteriores, pero en este caso, no es posible analizarlo mediante técnicas de sandboxing.
Del mismo modo, tecnologías como AntiVirus no son fiables ante este tipo de amenazas, ya que es relativamente sencillo generar muestras únicas que no hagan saltar alertas en dichas protecciones. Adicionalmente, el ejecutable que se descarga la macro suele estar cifrado, por lo que las protecciones perimetrales no son capaces de analizarlo.
¿La única opción? Protección del Endpoint avanzada
Por tanto, ¿qué opción nos queda? Protección de EndPoint avanzada. Palo Alto TRAPS permite definir protecciones a medida. Por ejemplo, definir una protección para procesos Office que evite la creación de un objeto “AODB.Stream” en el proceso “wscript.exe”. El objeto AODB.Stream es el utilizado para crear/inyectar el código ejecutable malicioso en tiempo de ejecución.
Nos gustaría verte para comentar los detalles técnicos. ¿Cuándo te va bien?
