Cada vez más debemos entender que los grupos de ciberdelincuentes están continuamente variando su estrategia, ahí es donde tienen su fortaleza.
Tenemos nueva técnica de infiltración a la vista, en esta ocasión para los ataques C2, los ciberdelincuentes están utilizando el mix entre el FileFix y la Esteganografía.
En esta ocasión, ha sido el equipo de investigación de Acronis, quienes han identificado una evolución del FileFix tan utilizado en estos meses de atrás. En el ataque incorporan la distribución de una imagen .jpg/.png, que de inicio no parece nada sospechosa pero que dentro incorpora un ejecutable.
¿Qué es la esteganografía y cómo funciona?
Desde tiempos inmemoriales la ocultación de información dentro de otro mensaje ha estado presente, por ejemplo, Herodoto ya habla de esta técnica en su obra “Las Historias”, mediante el uso de distintos tipos de ceras.
la Esteganografía Digital hoy se define como:
“Técnica que consiste en ocultar un mensaje u objeto, dentro de otro, llamado portador, de modo que no se perciba la existencia del mensaje que se quiere ocultar.
A diferencia de la criptografía que se utiliza para cifrar o codificar información de manera que sea ininteligible para un probable intruso, a pesar del conocimiento de su existencia; la esteganografía oculta la información en un portador de modo que no sea advertida el hecho mismo de su existencia y envío.”
Fuente: http://www.inteco.es/glossary/Formacion/Glosario/
En el caso de las imágenes, se suele utilizar los “bits menos significativos” (LSB), modificando el último bit de los datos de los píxeles de una imagen para incrustar la información a ocultar sin que el cambio sea visible. De este modo lo que se persigue es dificultar su detección por los medios tradicionales de los sistemas de seguridad.
Esteganografía y sistemas tradicionales de seguridad.
En el juego de la persecución que tenemos en nuestro día a día frente a los ciberdelincuentes, contamos con unos recursos muy valiosos que mitigan e incluso frenan un gran número de ataques cada día: FireWall, Antivirus, antimalware, SandBox… Recursos que enfrentan las técnicas de ofuscación más complejas, la inmediatez en la creación de nuevas familias de malware, o clonan los entornos para los que el ejecutable maligno está programado, pero que frente a la esteganografía tienen pocas, o ninguna, opción.
Los malware no identificados o ataques dirigidos pueden eludir las soluciones antivirus tradicionales. Deep CDR parte de la premisa “confianza cero”, eliminando por completo. Cada archivo analiza individualmente desarmando posibles ejecutables embebido, entregando al usuario un fichero seguro, limpio y utilizable.
¿Cómo te podemos ayudar desde MICROMOUSE?
Una tecnología que ha demostrado sobradamente su eficiencia en el transcurso de los años y donde hemos sido testigos de la neutralización de ataques dirigidos es sin duda la tecnología DEEP CDR de Opswat, y te explicamos por qué:
Comprensión integral. Protección contra código fuera de la directiva o potencialmente malintencionado, con soporte para una amplia gama de objetos más allá de las macros.
Potente. Suficiente para vencer las técnicas de ofuscación, incluida la esteganografía, eliminando amenazas potenciales.
Confiable. Elimina las posibles amenazas hasta en los ficheros de estructura más compleja, manteniendo la usabilidad de los archivos.
Flexible. La configuración permite incluir en la “lista de permitidos, eliminar o examinar contenido activo”: macros o URL, permitidas o confiables por la organización.
A fondo. Para posteriores análisis, Informes de componentes desinfectados y datos forenses para el análisis de malware.
Eficiente. Suficiente para desarmar y regenerar archivos nuevos y utilizables en milisegundos.
Completa cobertura. Se puede desplegar en para el análisis integral de todo fichero que accede a los sistemas corporativos: tráfico de red, correo electrónico, transferencia de ficheros mediante cargas y descargas y medios portátiles
¿Quieres verlo en acción? ¿Hablamos de ciberseguridad?