in

Los investigadores escanean Internet para descubrir infecciones de malware



CONFERENCIA DEL SECTOR: los atacantes buscan en Internet servidores y software vulnerables. Las empresas de seguridad y las universidades a menudo buscan puertos abiertos y configuraciones incorrectas. Una empresa de seguridad ahora está escaneando para detectar amenazas de malware.

Marc-Etienne Léveillé, investigador senior de malware en ESET, dio una presentación en la Conferencia de Seguridad SecTor en Toronto hoy, explicando cómo la compañía desarrolló sus propias capacidades de escaneo para ayudar en la investigación de sistemas infectados. A través de su análisis del malware Kolabos a fines del año pasado, ESET encontró un análisis de dos pasos que podría detectar un sistema infectado y notificar a las empresas afectadas, dijo.

Si bien los sistemas de escaneo de Internet se utilizan ampliamente, Léveillé argumentó que poder inspeccionar todo el Internet le da a la empresa un contexto sobre las amenazas actuales y la capacidad de profundizar en ataques específicos.

“A menudo nos enfrentamos a una sola muestra de malware para la que no tenemos mucho contexto”, dijo. «No necesariamente sabemos a quién se dirigen los jugadores o la industria; esto es especialmente cierto para las plataformas que no son de Windows, ya que estos productos no tienen telemetría».

Docenas de empresas y universidades escanean regularmente Internet para encontrar dispositivos mal configurados, sistemas vulnerables y aplicaciones expuestas. El motor de búsqueda de dispositivos Shodan es quizás la empresa más conocida que busca puertos abiertos y vulnerabilidades en la Internet pública, pero también lo son otras organizaciones como Rapid7 a través de su Proyecto Sonar y la startup Censys de la Universidad de Michigan, que busca mapear la evolución de Internet. de las cosas (IoT).

La Universidad de Michigan, que creó la herramienta Zmap utilizada por la mayoría de las encuestas de Internet, no está sola. La Universidad de Chicago y la Universidad de Pensilvania se encuentran entre las otras instituciones académicas que escanean regularmente Internet con fines de investigación.

Sin embargo, los servicios públicos no tienen la flexibilidad que necesitan para realizar investigaciones de malware, dijo Léveillé de ESET en una entrevista después de la presentación.

«Hemos trabajado con Censys y Shodan antes y estamos agradecidos de que hayan asignado recursos para ejecutar análisis basados ​​en los indicadores que hemos proporcionado», dijo. “Sin embargo, queríamos ser independientes y no tener que escucharlos cada vez que queríamos hacer un nuevo escaneo o un R-scan. Con nuestro propio sistema, también podemos realizar escaneos con módulos personalizados para escanear malware con protocolos no estándar. «

Léveillé y el equipo de investigación de ESET investigan regularmente el malware en profundidad, tratando de averiguar hasta dónde se ha extendido un proceso malicioso en particular. Si bien las herramientas para una encuesta en Internet están disponibles públicamente, construir un sistema desde cero no está exento de desafíos.

El primer obstáculo: encontrar un proveedor de servicios de Internet que permita escanear desde su red. «A los proveedores de servicios de Internet no les gusta escanear sus redes, pero cuando confiamos en terceros para que hagan los escaneos por nosotros, aumenta la carga de trabajo y limita nuestras opciones», dice.

Cuatro ISP rechazaron la propuesta de ESET antes de que la empresa encontrara un proveedor de servicios dispuesto a trabajar con ella.

Desde mediados de 2020, ESET ha utilizado el sistema de escaneo casi 20 veces para examinar familias específicas de malware).

Mientras que otras empresas utilizan regularmente escaneos de Internet para enumerar dispositivos específicos, puertos abiertos o configuraciones incorrectas, el método de ESET es mucho más específico, dice Léveillé.

«Actualmente, no escaneamos ni clasificamos las direcciones IP con regularidad como parte de una infraestructura de grupo de amenazas», dice. «[However]»La toma de huellas digitales y el escaneo en servidores de comando y control de malware es algo que hemos hecho con éxito, por lo que sería posible automatizar el proceso y enriquecer nuestro conjunto de datos existente en el futuro».

ESET y otras empresas están en una carrera de muchas maneras porque no son las únicas que exploran el panorama de Internet. En 2014, un grupo llamado Internet Scanning Project escaneó agresivamente los servidores de Internet y continuaron esfuerzos similares, el problema empeoró. Por ejemplo, después de que se revela una vulnerabilidad, los análisis que intentan descubrir el problema de seguridad comienzan en 15 minutos y, a veces, en menos de cinco minutos para una vulnerabilidad de alto perfil, dijo Palo Alto Networks en un análisis de 2021.

«La facilidad de escanear [has given] a una industria local de analistas y delincuentes que buscan vulnerabilidades e infraestructura, especialmente en la era del ransomware ”, dijo la compañía en su informe. «En los últimos cinco años, los atacantes han perfeccionado técnicas que se pueden escalar rápidamente».

Las organizaciones deben centrarse en reducir su superficie de ataque y darse cuenta de que el escaneo suele ser el primer paso para atacar los dispositivos de red, aconsejó Palo Alto Networks.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Proyecto de aplicación web completamente inseguro

Presunto pirata informático de Twitter acusado de robar $ 784,000 en criptomonedas a través de intercambios de SIM