Stegoloader: un sigiloso ladrón de información

0 74 3 minutos de lectura

La unidad de inteligencia de amenazas Dell SecureWorks Counter Threat Unit ™ tiene información publicada sobre Stegoloader. Este malware en particular, que parece haber estado activo desde 2012, utiliza la esteganografía digital, el arte de ocultar información secreta dentro de una imagen o gráfico digital, para ocultar su verdadera naturaleza y evitar la detección. Los operadores de Stegoloader ocultan un componente central del malware dentro de un gráfico de red portátil (PNG) alojado en un sitio legítimo. A medida que se ejecuta Stegoloader, descarga el componente principal y luego usa esteganografía digital para extraer el código de la imagen. El componente principal nunca se guarda en la computadora de la víctima, lo que significa que es increíblemente difícil detectar el malware a través de herramientas habituales.
El Gurú habló con algunos de los mejores expertos en seguridad para escuchar lo que tenían que decir sobre el tema.
Szilard Stange, director, OPSWAT:
“Los autores de malware siempre buscan nuevos mecanismos de distribución para dificultar la detección; sin embargo, las modernas suites de escritorio de seguridad de Internet contienen métodos para detectar operaciones de red inusuales incluso cuando el sitio remoto es un sitio bien conocido. También pueden realizar un seguimiento de lo que hacen exactamente los procesos en ejecución. Significa que la detección de malware como Stegoloader puede ser más difícil pero no imposible. Hay muchas formas de entregar contenido dañino, incluida esta basada en esteganografía, pero hay otras formas interesantes de distribuir código dañino como datos incrustados en consultas / respuestas de DNS. Cualquiera de ellos puede estar en la corriente principal, pero depende principalmente de cómo los proveedores de anti-malware puedan reaccionar a estos ataques. Para proteger una organización contra ataques como este, vale la pena considerar la aplicación de técnicas de desinfección de datos para eliminar cualquier contenido dañino de las imágenes descargadas de Internet sin perder datos importantes «.
Martin Lee, gerente de inteligencia, Alert Logic:
“Actualmente estamos en una carrera armamentista entre los creadores de malware y la industria de la seguridad. A medida que los investigadores de seguridad se vuelven más expertos en descubrir malware, los creadores de malware deben volverse más inventivos para ocultar su malware. En muchos sentidos, ver a los creadores de malware desplegar estrategias ingeniosas para disfrazar y ocultar su malware es una prueba de que las soluciones de seguridad dificultan la persistencia del malware y de que estamos obligando a los creadores de malware a innovar. Incluso si este malware se esconde en el punto final, el tráfico de comando y control sigue siendo visible en la red. Monitorear el tráfico a servidores de comando y control conocidos o tráfico anómalo sigue siendo una técnica excelente para identificar la presencia de malware, incluso si la identificación y la ingeniería inversa del malware se vuelven más difíciles «.
Gavin Reid, vicepresidente de inteligencia sobre amenazas, Lancope:
“La taquigrafía nunca ha desaparecido: se utiliza menos para la propagación de malware y más para ocultar el comando y las instrucciones de control enviadas desde un host infectado al controlador. Un caso de uso típico sería un registro por parte del host infectado para obtener nuevas instrucciones a través de una solicitud web. Si este registro fuera observado por el equipo de seguridad, entonces solo vería un navegador web bajando un gráfico que es la actividad típica del usuario que ocurre todo el tiempo y probablemente evitaría la detección.
¿Stegoloader se convertirá en un «mercado masivo» y será utilizado por muchos delincuentes? Posiblemente en el futuro; sin embargo, con el éxito generalizado de la estenografía de malware menos “sigilosa” no es necesariamente necesaria. Por ejemplo, todavía tenemos millones de infecciones conficker, un virus de 6 años fácil de detectar.
Parches normales y controles de seguridad, IDS basados en host, junto con una sólida detección de incidentes y respuesta al sistema de detección que se ve afectado, en particular, la capacidad de incorporar y poner en funcionamiento nueva inteligencia de amenazas en toda su organización «.
Alan Melia, investigador sénior en ciberdefensa, MWR InfoSecurity:
“La esteganografía es una de esas técnicas, como el malware del cargador de arranque, que se olvidó. Las personas que crean malware, colectivamente, buscan cualquier oportunidad para afianzarse en las máquinas específicas. Entonces, cuando a uno de ellos se le ocurre una manera de eludir las protecciones actuales, puede hacer una apuesta segura a que otros lo seguirán de cerca. Es probable que esto se convierta en un ‘carro’ al que se aferran muchos individuos perversos. Al menos hasta que las tecnologías de defensa sean capaces de generar un contraataque, entonces, como ocurre con muchas otras técnicas, volverá una vez más al desierto tecnológico.
La mejor forma de defensa es siempre «educar a la población de usuarios». Con eso me refiero a ayudarlos a comprender qué es un mal comportamiento (hacer clic en enlaces en el correo electrónico), no castigarlos por cometer errores humanos y alentarlos a informar junto con un mecanismo simple para que los usuarios informen correos electrónicos sospechosos, etc.
Como ocurre con la mayoría de los ataques, esto depende de que alguien ejecute un programa, ‘Stegloader’ en este caso, que es lo que causa el daño. Los proveedores seguramente ya estarán trabajando en los mecanismos de detección de este malware, como lo hacen con los miles de otros que se crean a diario. Si no está seguro, debe hablar con su proveedor de AV / Firewall / IDS para obtener asesoramiento sobre las configuraciones correctas para esos sistemas. Los sistemas automatizados solo llegan hasta cierto punto. La mejor herramienta de coincidencia de patrones es humana, así que asegúrese de hacer un mejor uso de ellos «.

Stegoloader: un sigiloso ladrón de información

Deja una respuesta Cancelar la respuesta

La naturaleza evolutiva del equilibrio de carga en la nube.

Cómo ver Netflix gratis para siempre

Yara Gambirasio: las etapas de la amarilla hasta la captura del presunto culpable

Estúpidos trucos terminales: el loro de baile de ASCII Party

Efecto Instagram pelado

Cómo comprobar qué versión de PostgreSQL se está ejecutando desde CLI

Lista de los mejores canales de Telegram 2023

Cómo ver la televisión sin antena

Cómo eliminar Microsoft AutoUpdate de Mac

Cómo eliminar el icono de círculo con + signo en Android

Cómo descargar videos de YouTube con subtítulos

Las soluciones de todos los capítulos de Adventure Escape Mysteries

Cómo otorgar privilegios de root a un usuario en Linux

Problemas para cargar el teléfono: triángulo amarillo con signo de interrogación

Cómo instalar Eclipse IDE en Ubuntu 20.04

Cómo ver IPTV con VLC: guía completa

Publicaciones relacionadas

Apple Pay se lanza en el Reino Unido

Cisco anuncia la intención de adquirir Duo Security

Predicciones de AppRiver para el tercer trimestre

La inteligencia israelí ayuda a disuadir los intentos de piratería en los Emiratos Árabes Unidos

Deja una respuesta Cancelar la respuesta

La naturaleza evolutiva del equilibrio de carga en la nube.