Detección rápida de vulnerabilidades de día cero

Los archivos maliciosos que utilizan geovallas se han convertido en una amenaza importante para la ciberseguridad. Estos archivos suelen emplear desencadenantes basados en la ubicación, lo que dificulta su detección y mitigación. Sin embargo, el Análisis Adaptive se distingue de los enfoques tradicionales al ofrecer la capacidad de emular y falsificar con precisión los valores de geolocalización esperados, neutralizando así de manera eficaz las tácticas empleadas por el malware y mejorando, por tanto, nuestra capacidad para protegernos frente a este tipo de amenazas.

En la muestra que se muestra a continuación, podemos observar un malware de geofencing que intenta ejecutarse exclusivamente dentro de un país concreto. Sin embargo, nuestra innovadora solución logra eludir esta restricción, tal y como se ha mencionado anteriormente, mediante la emulación de los valores de geolocalización deseados, lo que demuestra nuestra capacidad superior para hacer frente a este tipo de amenazas basadas en el geofencing.

• Detección de marcas:Al cargar sitios web sospechosos y someterlos a nuestro avanzado motor de aprendizaje automático, somos capaces de identificar cerca de 300 marcas. En el ejemplo que se muestra a continuación, puede ver un sitio web que se hace pasar por una empresa de streaming conocida como Netflix. Nuestra solución destaca por comparar el contenido del sitio con la URL auténtica, identificando rápidamente este tipo de intentos fraudulentos para proteger sus activos digitales y su información personal.Más información.
• Análisis basado en IA:Contamos con una solución basada en IA que analiza el tráfico de red, así como el contenido estructural y textual de la página generada. El veredicto del resultado del modelo conjunto puede consultarse en «ML Web Threat Model».

El modelo de aprendizaje automático para la detección de URL sin conexión proporciona una nueva capa de defensa al detectar eficazmente las URL sospechosas, lo que ofrece un método sólido para identificar y mitigar las amenazas que plantean los enlaces maliciosos. Se basa en un conjunto de datos que contiene cientos de miles de URL, meticulosamente clasificadas como «sin amenaza» o «maliciosas» por proveedores de confianza, con el fin de evaluar la viabilidad de detectar con precisión las URL sospechosas mediante técnicas de aprendizaje automático.

Es importante señalar que esta función resulta especialmente útil en entornos aislados de la red, en los que no es posible consultar la reputación en línea.

La muestra que se muestra a continuación revela un programa malicioso que se empaquetó utilizando la técnica de empaquetado UPX. A pesar de su intento de eludir la detección y las defensas, nuestro análisis logró descomprimir la carga útil, revelando su verdadera identidad como troyano Dridex. Pudimos desentrañar la configuración del programa malicioso, sacando a la luz la intención maliciosa que se esconde tras esta amenaza y extrayendo valiosos indicadores de compromiso (IOC).

Gracias a la función de búsqueda por similitud, el entorno de pruebas ha detectado un archivo que se asemeja notablemente a un programa malicioso conocido. Cabe destacar que este archivo había sido marcado anteriormente como no malicioso, lo que pone de manifiesto la posibilidad de que se produzcan falsos negativos en nuestras evaluaciones de seguridad. Este hallazgo nos permite identificar y subsanar específicamente estas amenazas que habían pasado desapercibidas.

Es importante destacar que la búsqueda por similitud resulta de gran utilidad para la investigación y la detección de amenazas, ya que puede ayudar a identificar muestras pertenecientes a la misma familia de malware o campaña, proporcionando indicadores de compromiso (IOC) adicionales o información relevante sobre actividades de amenazas específicas.

Our disassembling engine revealed intriguing findings within the target sample. Surprisingly, this sample monitors the system time using the uncommon <rdtsc> instruction and accesses an internal, undocumented structure in Windows, commonly used for different malicious tricks. These unusual actions raise questions about its purpose and underscore the need for further investigation to assess potential risks to the system.

El ejemplo que estamos analizando se ha creado utilizando el marco .NET. Aunque no mostramos el código CIL real, nuestro proceso de descompilación extrae y presenta información relevante, como cadenas de texto, entradas del Registro y API .

Además, analizamos los metadatos de .NET para identificar funciones y recursos específicos de .NET. Este proceso permite extraer información detallada sobre el ensamblado, como métodos, clases y recursos incrustados, lo cual es fundamental para analizar el comportamiento y la estructura de las aplicaciones .NET.

Muchas vulnerabilidades de aplicaciones transmiten su carga útil final en formato binario sin procesar (shellcode), lo que puede suponer un obstáculo a la hora de analizarla. Gracias a nuestra emulación de shellcode, podemos detectar y analizar el comportamiento de la carga útil final; en este ejemplo, se trata de una vulnerabilidad de Office muy explotada en el editor de ecuaciones. De este modo, se abre la puerta a la recopilación de los IOC pertinentes.

Las macros VBA ofuscadas suponen un reto importante a la hora de ofrecer un tiempo de respuesta razonable ante amenazas activas. Este código confuso convierte el análisis y la comprensión de las amenazas en una tarea de gran complejidad que exige mucho tiempo y esfuerzo. Nuestra tecnología de emulación VBA de vanguardia es capaz de superar estos retos y ofrece un análisis exhaustivo de las macros VBA ofuscadas, junto con información clara sobre su funcionamiento, en cuestión de segundos.

La muestra analizada es un documento de Excel con código VBA muy ofuscado que descarga y ejecuta un archivo DLL de .NET, junto con un archivo LNK encargado de continuar la cadena de ejecución del malware. Tras la emulación de VBA, MetaDefender identifica los procesos iniciados y la función principal de desofuscación, extrae automáticamente las cadenas ofuscadas y guarda los archivos descargados (previamente codificados de forma estática y cifrados en el código VBA). Esto revela rápidamente el objetivo principal del malware y nos brinda la posibilidad de realizar un análisis más detallado de esta amenaza.

El uso del Programador de tareas de Windows para ejecutar cargas maliciosas en un momento posterior es una técnica sigilosa que se ha observado en amenazas recientes para eludir los entornos de sandbox. Aprovecha el retraso en la ejecución para eludir eficazmente el breve intervalo de análisis característico de los entornos de sandbox.

El siguiente ejemplo es un código VBScript ofuscado que descarga la carga maliciosa y crea una tarea programada para ejecutarla 67 minutos después. Los entornos de pruebas tradicionales mantienen la ejecución solo durante unos minutos, por lo que el comportamiento malicioso nunca saldría a la luz. Por el contrario, nuestro emulador de VBScript es capaz de detectar y superar esta técnica de evasión (T1497), adaptando el entorno de ejecución para continuar con el análisis y obteniendo el informe completo en 12 segundos.

NET Reflection es una potente función que ofrece el marco .NET y que permite a los programas inspeccionar y manipular la estructura y el comportamiento de los archivos .NET en tiempo de ejecución. Permite examinar ensamblados, módulos y tipos, así como crear dinámicamente instancias de tipos, invocar métodos y acceder a campos y propiedades.

El malware puede utilizar la reflexión para cargar y ejecutar dinámicamente código procedente de ensamblados a los que no se hace referencia en tiempo de compilación, lo que le permite obtener cargas útiles adicionales de servidores remotos (o ocultas en el propio archivo) y ejecutarlas sin guardarlas en el disco, reduciendo así el riesgo de ser detectado.

En este caso, podemos ver cómo el VBScript analizado carga y ejecuta un ensamblado .NET en memoria directamente a partir de los bytes almacenados en un registro de Windows.

Esta función permite revelar artefactos ocultos encriptados dentro de los recursos PE. Los artefactos maliciosos suelen encriptarse para eludir la detección y ocultar la verdadera intención de la muestra. Descubrir estos artefactos es esencial, ya que suelen contener datos críticos (como información C2) o cargas útiles. Al extraerlos, el entorno de pruebas puede realizar un análisis más exhaustivo, con mayores posibilidades de identificar los IOC más valiosos.

Este ejemplo almacena esos artefactos cifrados mediante el algoritmo XOR, sencillo pero eficaz para eludir la detección. Al analizar los patrones de los datos cifrados, es posible adivinar la clave de cifrado, lo que permite descifrar el contenido oculto.

Los atacantes utilizan la concatenación de archivos comprimidos para ocultar malware, uniendo varios archivos comprimidos en un único archivo y aprovechando las diferencias en la forma en que las distintas herramientas los procesan. Esta técnica genera múltiples directorios centrales —elementos estructurales clave que utilizan los gestores de archivos comprimidos—, lo que provoca discrepancias durante la extracción y permite eludir la detección de contenido malicioso oculto en partes del archivo que pasan desapercibidas.

MD Sandbox y extrae el contenido de todos los archivos concatenados, garantizando que no se pase por alto ningún archivo y neutralizando de forma eficaz esta técnica evasiva.

Los autores de amenazas inflan deliberadamente los archivos ejecutables con datos basura para eludir la detección, aprovechando las limitaciones de recursos y las restricciones de tiempo de análisis en los entornos de pruebas. Esta técnica de evasión tiene como objetivo saturar las herramientas o eludir los análisis al superar los límites de tiempo.

El entorno de pruebas de MD detecta a tiempo los ejecutables sobredimensionados, elimina los datos innecesarios y procesa un archivo más pequeño para un análisis eficiente. Este proceso de optimización se centra en diversos métodos, como la eliminación de datos innecesarios en superposiciones, secciones PE y certificados, lo que garantiza una detección precisa al tiempo que se conservan los recursos originales.

Este documento de Office tiene como objetivo infraestructuras críticas en Irán (con contenido en persa) para robar información confidencial, como credenciales y documentos, y realiza capturas de pantalla periódicamente, posiblemente con fines de espionaje.

Una vez establecida la persistencia, realiza una comprobación inicial discreta de la conectividad a Internet (con un dominio de confianza como google.com) para garantizar una conexión fiable, posponiendo las acciones posteriores hasta que las condiciones de la red permitan continuar con el ataque. Se trata de una táctica que se observa con frecuencia en ataques contra infraestructuras críticas, entornos en los que el acceso a Internet puede ser intermitente o estar restringido.

Los investigadores descubrieron documentos OOXML (documentos de oficina modernos) dañados intencionadamente. Al modificar el contenido binario cerca de los encabezados internos del archivo, los escáneres automáticos pueden confundir estos archivos dañados a propósito con archivos ZIP e intentar extraer los archivos comprimidos.

Los visores de documentos repararán automáticamente el documento al abrirlo. En ese momento, aunque el documento contenga contenido de phishing, es posible que haya logrado eludir las defensas. El análisis automatizado no podrá leer su contenido y, por lo tanto, pasará por alto los indicadores relevantes.

Los mecanismos de autenticación del correo electrónico, como SPF, DKIM y DMARC, son esenciales, pero los atacantes más sofisticados pueden, en ocasiones, eludirlos. Este ejemplo muestra un caso en el que un correo electrónico, a pesar de estar firmado de forma auténtica por Google y de superar las comprobaciones estándar, fue identificado como malicioso por MetaDefender .

MetaDefender detectó varias anomalías, junto con otros indicadores:

• Infracción de los límites de DKIM: se ha identificado contenido añadido fuera del ámbito de la firma DKIM.
• Técnicas de ofuscación: se ha detectado un uso excesivo de espacios en blanco con el fin de ocultar intenciones maliciosas.
• Patrones de phishing: llamadas a la acción urgentes que suelen caracterizar a los intentos de phishing.
• Análisis de encabezados: anomalías detectadas en los encabezados de los correos electrónicos relacionadas con el uso indebido de aplicaciones OAuth.

ClickFix es una amenaza emergente basada en la web que utiliza técnicas de ingeniería social para engañar silenciosamente a los usuarios y hacer que ejecuten comandos maliciosos. A diferencia del phishing tradicional, ClickFix opera mediante elementos engañosos de la experiencia de usuario y la manipulación del portapapeles, en lugar de descargas de archivos o el robo de credenciales.

El sitio web de ClickFix muestra una pantalla falsa de reCAPTCHA o de «protección contra bots» para parecer legítimo. A continuación, se pide al usuario que se identifique —a menudo mediante una interacción que parece inofensiva— mientras, en segundo plano, se ejecuta silenciosamente un código JavaScript ofuscado. Este script descodifica dinámicamente un comando malicioso y lo copia directamente al portapapeles del sistema. A continuación, se muestran al usuario instrucciones y una guía engañosas para que ejecute el malware, sin que sea consciente del peligro.

ClickFix pone de manifiesto cómo unas sencillas técnicas web, combinadas con el engaño al usuario, pueden eludir con eficacia las capas de seguridad tradicionales, lo que hace que el análisis en entornos aislados sea fundamental para detectar ataques sigilosos y de baja huella como este.

MetaDefender analiza esta amenaza de principio a fin. El entorno de pruebas comienza ejecutando la URL maliciosa y aplicando modelos de detección de phishing para identificar contenido sospechoso. A continuación, extrae y emula el JavaScript, simulando las acciones del usuario hasta llegar al momento crítico en el que se modifica el portapapeles. Una vez capturado el comando oculto, se emula, lo que permite al entorno de pruebas rastrear por completo el flujo de ejecución malicioso. Esto no solo pone al descubierto la táctica basada en el portapapeles, sino que también revela el comportamiento de la carga útil y la cadena de infección.

El ataque a la cadena de suministro de SolarWinds ilustra cómo unos cambios mínimos en el código de un software de confianza pueden dar lugar a filtraciones masivas, eludiendo al mismo tiempo las defensas de seguridad tradicionales. Los autores del ataque inyectaron una puerta trasera sigilosa en una DLL legítima, incorporando lógica maliciosa sin alterar la funcionalidad original. La carga útil se ejecutó de forma silenciosa en un subproceso paralelo imitando a los componentes legítimos. Con una firma digital válida y un comportamiento impecable, el archivo DLL evadió la detección y concedió acceso encubierto a miles de víctimas de alto perfil. El compromiso del proceso de compilación convirtió las actualizaciones de confianza en un vehículo para la intrusión global.

Aunque una puerta trasera de 4.000 líneas pueda parecer importante, en el contexto del código fuente de una gran empresa es fácil pasarla por alto. Aquí es donde MetaDefender destaca: no se limita a inspeccionar el código, sino que observa lo que hace el software. Señala las desviaciones del comportamiento normal, lo que guía a los analistas hacia lo que realmente importa: filtrar el ruido para poner de relieve las amenazas que probablemente pasarían desapercibidas en las revisiones tradicionales.