K-LOVE & KISSES 2014 – PARTE 2: ALPHA, BETA, ZETA

¡Bienvenidos de nuevo, amigos!

¿Queréis conocer qué otras novedades ofrece KIS 2014, diseñadas especialmente para proteger vuestros datos de los cibercriminales? Hoy es el turno de la tecnología ZETA Shield.

Podemos describir esta función como un microscopio antivirus que detecta y elimina el malware más astuto que se esconde en las profundidades de los archivos. Digamos que es una tecnología defensiva única contra las amenazas futuras, la cual puede rastrear, incluso, los contagios cibernéticos aún no conocidos. Para entender mejor este concepto, usaré el ejemplo de las tradicionales matrioskas.

Abres una y encuentras otra donde se aloja una tercera… y así, sucesivamente. El malware intenta ocultarse lo mejor posible e, incluso, usa “cirugía plástica” para cambiar su apariencia y esconderse de los antivirus. Se introduce en documentos, contenedores cifrados, archivos multimedia, scripts… etc. Las posibilidades son infinitas. La tarea de un programa antivirus es ahondar en los diferentes objetos, evaluar su interior y extraer el malware.

¿Eso es todo? Bueno… las cosas no son tan simples.

Los programas antivirus siempre han sido capaces de desmontar archivos complicados. Por ejemplo, a principios de la década de los 90, otras compañías ya utilizaban nuestro motor antivirus por su capacidad para vaciar archivos. Pero esto solo supone la mitad del trabajo. Se necesita un instrumento lo suficientemente inteligente para desmontar y analizar las “muñecas rusas”; entendiendo lo que sucede en el interior y haciendo un diagnóstico de la situación. ¡Lo más importante de todo! Además, debe realizar todas estas tareas de forma proactiva sin la necesidad de las firmas y actualizaciones tradicionales. Más o menos, es un trabajo de detectives que intenta localizar un arma química binaria, compuestas por componentes individuales que, cuando se mezclan, son realmente mortales.

Aquí es donde entra en juego la herramienta ZETA Shield, diseñada, específicamente, para luchar contra los ataques dirigidos y los ataques día-0 (amenazas que crecen día tras día).

ZETA Shield sigue en la lista a la nueva herramienta de KIS 2014, extraída de nuestros productos corporativos, Aplicaciones de Confianza. Al igual que la anterior función, ZETA hizo su primera aparición en las soluciones de negocios y una vez comprobada su valía, se adaptó para su uso en los productos domésticos. De hecho, es la primera tecnología de estas características que se utiliza en una solución de seguridad empresarial.

El trabajo de ZETA se puede dividir en dos etapas.

En primer lugar, la fase mecánica: se despieza el objetivo. Por  ejemplo, un documento Word puede contener otros objetos incrustados: otros archivos, datos flash, documentos o un virus. ¡Cualquier cosa! Nuestra labor es identificar la naturaleza de dichos objetivos y clasificarlos.

Entonces, el proceso se empieza a poner interesante y entra en acción el analizador heurístico. Esta herramienta analiza el contenido, las capas, las relaciones entre los objetos para evaluar su parecido con otras amenazas ya detectadas; encontrando anomalías y definiendo si el archivo es peligroso (si es un arma binaria) o no.

Para tomar esta decisión, se utiliza el servicio en la nube, KSN Security Network, el cual proporciona las datos necesarios sobre síntomas de infección similares. A través de KSN, observamos la escala y distribución geográfica de las amenazas, identificando las anomalías típicas de un ataque dirigido y recopilando gran cantidad de información que nos ayudará a proteger al usuario en el futuro. ¡Otra analogía! Lo que hace ZETA Shield en primer lugar digamos que es identificar un coche por sus piezas. ¿Chasis de plástico? ¿Motor de dos cilindros? ¿Fabricación alemana? ¡Fácil! Es un Trabi. La siguiente tarea sería desmontar el automóvil, analizar cada una de las piezas y comprobar qué son en realidad. Creedme, esto requiere una gran capacidad intelectual.

Cojamos el ejemplo de un ataque dirigido que tuvo lugar el pasado mes de marzo: se enviaron a las víctimas unos documentos RTG con unos nombres realmente tentadores “Resultados Financieros del Primer Trimestre 2012” procedentes, supuestamente, de la compañía Rubin Submarine Manufacturing Company. Dentro del documento, se escondían un exploit y un dropper los cuales sortearon el antivirus porque el cibercriminal los había escondido entre diferentes objetos. En cambio, la tecnología ZETA Shield los identificó al instante.

Otra característica de esta herramienta, en un entorno corporativo, es la capacidad de “despiezar” no solo archivos individuales sino paquetes de datos, también. Al fin y al cabo, cada archivo es parte de una imagen más amplia y, visualizando dicha imagen (todos los componentes del arma binaria) es posible observar relaciones más complicadas y tomar decisiones mejor fundadas.

ZETA Shield, en KIS 2014, ha visto mermadas sus capacidades para mejorar su productividad. La versión doméstica solo trabaja con archivos si se activa. No obstante, si mantenemos una higiene del sistema adecuada (por ejemplo, realizando un análisis completo regularmente), esta función supone un +1 en la defensa contra los ataques dirigidos a los usuarios domésticos (ej. Un ejecutivo que es objetivo de un ataque en su trabajo y en casa, pero, lamentablemente, en su hogar no dispone de una protección corporativa. Aquí es donde entra ZETA Shield trabaja conjuntamente con las herramientas Aplicaciones de Confianza y Prevención Automática de Exploits para filtrar los ataques que aprovechan diferentes vulnerabilidades).

Tal vez os surjan estas preguntas: ¿Por qué se incluye esta tecnología avanzada en un producto doméstico? Y ¿A quién apunta un ataque dirigido en un ordenador personal?

Antes de nada, un apunte importante:

Existe la creencia popular de que los ataques dirigidos siempre se realizan contra gobiernos, organizaciones de defensa, infraestructuras críticas o políticos mientras que, en realidad, su objetivo son las grandes compañías comerciales como Microsoft. Aunque tal vez, no tengan tanto tirón para una gran superproducción de Hollywood.

No. Y no.

Este error se debe a que la mayoría de los medios solo hablan de aquellos ataques de alto nivel, proporcionando, además, datos erróneos, términos técnicos incompresibles o falta de información. Así, los usuarios piensan: “¡Aha! Han atacado al Ministerio de Defensa, que dispone de profesionales y mecanismos de defensa especiales. Seguro que ha sido algún genio informático quien se esconde tras el ataque”.

No obstante, en realidad, cualquier usuario u organización puede convertirse en una víctima de este ataque, tal y como se demostró con las travesuras del grupo Winnti o el spyware comercial FinSpy. No olvidemos que, algunas veces, las amenazas informáticas se pueden controlar como si fueran un simple resfriado; pero, en otras ocasiones, se descontrolan y afectan a quienes cogen en su camino.

Aunque existan grandes operaciones cibernéticas como Stuxnet y Flame; la gran mayoría son simples trucos de ingeniería social, que cada vez son más fáciles y baratos. Se pueden comprar exploits por mil dólares y reunirlos en un kit.

Por fin, os voy a explicar el motivo por el cual hemos incluido esta tecnología en un producto doméstico.

Todo invento, incluso el más maligno, tiene un ciclo de vida. Antes o después, un grupo de ciberdelincuentes encontrará la forma de realizar ataques más complicados que, anteriormente, estaban reservados a los mejores profesionales. Pero en Kaspersky Lab estamos preparados para ello: KIS ya puede aguantar los asaltos del malware del mañana.

En conclusión: estamos listos para afrontar el futuro. Y, a partir de ahora, vosotros también.