Técnicas de evasión avanzadas

En 2014 se estimaba que había activas alrededor de 330.000 técnicas de evasión activas. De ellas menos del 1% eran detectables.^[3] Ejemplos de estas técnicas son:

• Fragmentar los payloads maliciosos y enviarlos a través de diferentes protocolos, normalmente poco habituales, con el fin de que una vez que hayan sorteado las protecciones del sistema atacado se vuelvan a unir para poder así continuar con el proceso de comprometer el sistema.^[1] Cambiar de una inspección basada en paquetes a una inspección basada en el flujo completo no es fácil. Hacerlo requiere grandes cambios en el manejo de paquetes de bajo nivel y diferencias fundamentales en la arquitectura de los dispositivos de seguridad de red. La inspección basada en el flujo completo usa más memoria y afecta al rendimiento del dispositivo.^[4]
• Algoritmos de generación de dominios (DGA).^[1]
• Canales encubiertos.^[1]
• Utilización de campos poco habituales de algunos protocolos.^[1]
• La ofuscación.^[1]
• El cifrado de los datos transferidos.^[1]
• Realizar ataques de denegación de servicio. Por ejemplo para provocar la ralentización del procesamiento de datos por parte de un dispositivo de red de modo que se imposibilite la capacidad de gestionar correctamente todo el tráfico. Este hecho puede provocar que el dispositivo funcione en modo de error y que bloquee o permita todo el tráfico.^[1]

Para bloquear esta técnicas no es suficiente con confiar exclusivamente en anomalías de protocolo o violaciones. Aunque algunas anomalías de protocolo y violaciones ocurren únicamente cuando se utilizan técnicas de evasión, la mayoría de las irregularidades del protocolo surgen debido a una implementación levemente defectuosa en las aplicaciones de Internet de uso común. Para una detección más precisa, es necesario analizar y decodificar los datos capa por capa. Como el ataque puede ser ofuscado por evasiones en muchas capas diferentes, la normalización y el análisis cuidadoso deben llevarse a cabo en la capa adecuada.^[2]

Las características más utilizadas para la detección de AET's son:^[5]

• Actualización de seguridad dinámica. Es necesario poder actualizar automáticamente y de forma continua con nuevas respuestas a las amenazas que se envían a todas las ubicaciones (incluidas las ubicaciones remotas), sin la necesidad de acceso físico.
• Inspección HTTPS/TLS. El cifrado permite esconder acciones maliciosas. La inspección de HTTPS/TLS permite inspeccionar conexiones TLS de la misma forma que el tráfico no cifrado.
• Normalización de datos. Una vez que todos los datos estén normalizados y entonces activar técnicas de detección de técnicas de evasión es crítico para proteger nuestros sistemas.
• Inspección completa de la pila de protocolos. Para identificar las amenazas es necesario que todo el tráfico sea normalizado y se analicen todos los protocolos de las distintas capas de la pila.
• Detección y generación de informes de evasiones y anomalías. Es importante tener informes que registren todo lo que es detectado, logeado y actuar en consecuencia.
• Unificación del corazón del software. Tener una solución de seguridad con un núcleo de software unificado proporciona la flexibilidad para escalar rápida y fácilmente a sus necesidades. Confiar en una solución de software le permite responder a nuevos requisitos e implementar nuevas características en un plazo de implementación más corto. Una ventaja adicional es la capacidad de las funciones de comunicarse entre sí para optimizar el rendimiento general.
• Protección de puntos finales. Hay que mantener sus puntos finales protegidos contra amenazas avanzadas. Uno de los aspectos más críticos de la protección de punto final es la capacidad de ir más allá del rango típico de amenazas y defenderse de las amenazas emergentes. Hay que trabajar en todos los puntos finales, incluidos los dispositivos móviles en constante evolución y el entorno virtualizado

Hay disponibles varias utilidades especializadas que permiten comprobar la respuesta de nuestros sistemas frente a técnicas de evasión avanzada. Es decir, permiten comprobar la efectividad o inefectividad de los sistemas de detección implantados. Ejemplos de estas herramientas son:^[1]

• Evader
• Fragroute
• whisker
• ADMmutate Evasion Tool