fudmario Posted February 20, 2014 Share Posted February 20, 2014 Un grupo de investigadores han creado un nuevo sistema de detección de infecciones que puede ayudar a los proveedores de servicios de Internet y a otras grandes empresas (o a alguien que ejecute redes de gran escala) a identificar ataques de malware que los antivirus y las soluciones de listas negras no pueden. This is the hidden content, please Sign In or Sign Up Los resultados del software antivirus son razonablemente aceptables cuando se tratan de detener malware conocido, pero el hecho de que se basan en las firmas y en las listas de piezas de software malicioso que se han compilado, analizarlos e identificarlos no los vuelve expertos en detección de malware de día cero. Los ataques Drive-by download consisten en tres fases: La fase de explotación, durante el cual el atacante tiene como objetivo ejecutar código shell en el ordenador de la víctima. La fase de instalación, durante el cual el shellcode mencionado obtiene el binario malicioso real y lo ejecuta. La fase de control, en el que el malware llega a su servidor C&C para obtener instrucciones, programas maliciosos y enviar la información. Nazca (como los investigadores llamaron a la herramienta) no busca detectar drive-by exploits que llevan a la descarga de software malicioso ni depende en el análisis y la reputación de los programas descargados, se centra en la detección de las infraestructuras de distribución de malware (es decir, en la segunda fase). Lo que hace es mirar el cuadro más grande (el tráfico combinado producido por un gran número de usuarios en la misma red) y detectar signos reveladores, tales como peticiones HTTP potencialmente maliciosas (más drive-by exploits utilizan la web para descargar los binarios de malware) y conexiones web sospechosas que emplean técnicas de evasión (flujos de dominio, reempaquetado de malware, etc.) Por último, Nazca agrega todas estas conexiones y realiza una búsqueda de la actividad maliciosa relacionada. Según los investigadores, la herramienta funcionó bien en una pruba que se realizó durante nueve días de tráfico de datos proporcionados por un proveedor de Internet (desconocido). El resultado mostró inmunidad a la ofuscación de contenido, mostró malware nunca antes visto y arrojó muy pocos falsos positivos. Para más detalles sobre su investigación, echa un vistazo a su This is the hidden content, please Sign In or Sign Up Ellos también presentarán su investigación en el próximo Simposio de sistemas de seguridad de Red y Distribuidos. Fuente: This is the hidden content, please Sign In or Sign Up JF Link to comment Share on other sites More sharing options...
.webp.8407a83ac96563f75e1c428a1f0d4c3e.webp)
.webp.9a04cec050a656fab081ac190f971c3f.webp)
Hack Tools Resurrection
Recommended Posts