Los eternos problemas del análisis de malware

Hola,

Bajo el título Trusteer Flashlight Provides Malware Analysis and Remediation for Financial Institutions, la compañía Trusteer ha publicado una nota de prensa en la que anuncia la disponibilidad de un servicio de análisis forense de malware para instituciones financieras. No es el primer servicio de estas características, si probablemente sea el último.

En resumen, la empresa plantea una solución basada en la instalación de un complemento modular a su Rapport llamado Flashlight, que según la nota de prensa identifica la muestra y en caso de no poder identificarse, se basará en patrones comportamentales para escoger qué muestras serán enviadas al equipo de ingeniería inversa de Trusteer para su inspección. Tras el análisis el cliente recibe un informe completo de la muestra, el código fuente y recomendaciones para prevenir el ataque en un futuro. En paralelo se facilita la muestra a los desarrolladores antivirus y se informa de los posibles centros de control empleados por la muestra para proceder a su retirada.

En este caso en particular creo que la inclusión de entidades financieras en el título de la nota de prensa resta valor, ya que cualquier empresa puede sufrir contaminación por malware en sus equipos, pero en principio la idea es simple: posibilitar la inspección forense de máquinas por especialistas sin desplazarlos a la máquina o viceversa, método que permite ahorrar costes significativamente y no tener que lidiar con la problemática legal de confiscar máquinas en las que pueden existir, como es normal, datos e información personal de los usuarios que las empleen. No obstante sin informes independientes que cuestionen el servicio poco más se puede decir del mismo, quedando abiertas las interrogantes tradicionales en este tipo de servicios:

• Hasta qué punto podemos confiar en que el software de detección es fiable y produce resultados significativos tanto para el cliente como los analistas.
• Hasta qué punto es confiable y adecuado el método de obtención y envío de las muestras a los analistas.
• Hasta qué punto el equipo de análisis está capacitado para atender avalanchas de malware que requieren horas de ingeniería inversa y que pueden proceder de muchos clientes.
• Hasta qué punto podemos confiar en que el software a instalar no sufrirá los efectos del malware, si es que la extracción se realiza empleando el sistema operativo contaminado.
• Hasta qué punto el método garantiza la privacidad de los usuarios de la máquina que puedan estar almacenando en ella información y datos personales, habida cuenta de las potenciales repercusiones legales que una mala praxis puede provocar.

El análisis de malware es complicado, por muchos motivos. Hoy señalaremos tres, aunque la lista se puede hacer bastante más larga, y trataremos de relacionar estas dificultades con los servicios de análisis.

Lo primero que hace falta para analizar malware es encontrarlo, algo que no es tan trivial cuando se trata de amenazas persistentes, y menos si lo que se plantea es la detección en remoto en una red empresarial. Las amenazas persistentes lo son, precisamente, porque pasan desapercibidas, y esto se debe en gran parte a que ni la protección de los terminales ni los mecanismos de monitorización detectan el 100% de patrones inusuales, nicho que pueden y de hecho aprovechan las piezas más sofisticadas para realizar su actividad maliciosa por tiempo prolongado pasando inadvertidas. La primera en la frente es pensar qué hacemos para obtener muestras analizables allí donde aparentemente todo funciona como un reloj, y donde las posibles muestras se han diseñado precisamente para pasar desapercibidas.

Para el resto del malware más convencional, por llamarlo de algún modo, sigue siendo complejo y costoso el análisis. Aún disponiendo de las muestras hay que dedicar recursos abundantes al desempaquetado, a evadir la ofuscación, a trazar la actividad, a inspeccionar los centros de control, y esto para cada una de las muestras. Esto hace imperativo tener en lo alto de la mesa una estrategia para afrontar los análisis de una manera efectiva, algo tradicionalmente resuelto por la subcontratación de personal cualificado, lo que abre una segunda problemática: si el número de muestras a analizar excede la capacidad del equipo de análisis se torna imposible analizarlas todas (al menos mientras la inspección automatizada con garantías no sea una realidad más próxima). Y si no podemos analizarlas todas, de alguna manera hay que elegir cuáles inspeccionar. ¿Cómo seleccionamos las muestras a analizar? ¿Qué factores marcan las prioridades? ¿Cuál es la más relevante? ¿Cuál es la que causa mayores perjucios? ¿Qué perjucios son esos, son para los clientes de la empresa o para empresa en sí? Este asunto no deja de tener su miga, ya que normalmente la respuesta a esas preguntas viene después del análisis, no antes, así que diseñar un método de análisis que permita seleccionar previamente cómo estructurar el trabajo no es nada sencillo.

Por último, como tercera gran problemática, una vez que hemos analizado la muestra, ¿qué hacemos para que el malware venidero no afecte nuestros equipos? A sabiendas de que ninguna solución nos puede proteger en el 100% de los casos, ¿Qué hay que hacer para minimizar los riesgos? ¿Nos ponemos a monitorizar patrones en el tráfico? ¿Cambiamos la estrategia antivirus? ¿Nos volcamos en concienciar al usuario? ¿Invertimos en tecnología de seguridad adicional? En definitiva, ya que sabemos con todo lujo de detalles lo que ha provocado una muestra determinada, ¿cómo empleamos esa información para tratar de prevenir futuros incidentes?

Tengo la firme convicción de que la proliferación del malware no se va contener por muchas soluciones de análisis que aparezcan en el mercado. Estas soluciones pueden ayudar a quien las utilice, y yo siempre defenderé su existencia ya que para casos determinados se pueden lograr beneficios importantes, y porque esto al final no deja de ser una carrera para tratar de que el malware nos produzca los menores perjuicios posibles, dando por sentado que siempre exisitrá un perjuicio residual que no podemos atajar. Ojalá existieran soluciones integrales para estos problemas a nuestro alcance.

Un saludo,