En abril pasado, los expertos encontraron un exploit basado en esta vulnerabilidad a la venta en un mercado negro de la Darknet. El vendedor estaba pidiendo alrededor de U$S 15.000 por el código y, en julio apareció el primer malware que utilizaba esta vulnerabilidad abiertamente: se trata del troyano bancario Dyre [PDF] o Dridex, diseñado para robar números de tarjetas de crédito de las computadoras infectadas.
Este episodio proporcionó una visión clave en la evolución del malware. En el espacio de pocos meses, los delincuentes habían transformado una vulnerabilidad en un exploit, lo ofrecieron a la venta, y luego lo convirtieron en un malware activo.
En este caso, existe la actualización, pero cuando el malware explota vulnerabilidades previamente desconocidas (0-Day), el problema es más grave. Entonces para los expertos identificar 0-Day antes que se "conviertan" en malware es esencial. Para Eric Nunes de la Universidad Estatal de Arizona, el caso del troyano Dyre ha proporcionado una importante inspiración para dar con un enfoque completamente nuevo [PDF] en la búsqueda de vulnerabilidades, exploits y malware.
Han publicado un paper explicando cómo se puede utilizar learning machine en foros de hacking y mercado negro para buscar pistas sobre vulnerabilidades emergentes. Según el estudio, "En la actualidad, este sistema recoge en promedio 305 advertencias por semana".
Para supervisar la actividad en los foros de la darknet, el equipo de Nunes desarrolló un crawler para recopilar información de páginas alojadas en estas redes. Obviamente, una parte clave de este trabajo es encontrar "las mejores páginas iniciales", una tarea que debe ser hecha por seres humanos familiarizados con estas páginas. El equipo extrae información específica sobre las actividades de hacking y descarta cualquier otro tipo de información (drogas, armas, etc).
"Con el uso de modelos de aprendizaje automático, somos capaces de encontrar el 92% de los productos y el 80% de los debates en foros relacionados con hacking malicioso. Durante un período de 4 semanas, hemos detectado 16 exploits 0-Day a partir de los datos del mercado. Esto incluyó un exploit importante para Android, por lo que se pedía alrededor de U$S 20.000, y uno para Internet Explorer 11 por alrededor de U$S 10.000".
El equipo también mapeó las redes sociales asociadas y dicen que hay 751 usuarios que están presentes en más de un mercado y dan el ejemplo de un vendedor que estaba activo en siete mercados y un foro. Este usuario ofrece más de 80 productos relacionados con la vulnerabilidad y exploiting.
Este es un negocio claramente lucrativo: "El vendedor tiene una calificación promedio de 4.7 / 5.0, y más de 7.000 transacciones exitosas, lo que indica la fiabilidad de los productos y la popularidad del proveedor", dice Nunes.
Si el equipo sigue detectando vulnerabilidades 0-Day antes de que se desarrollen e nmalware, pueden ayudar a los vendors a desarrollar parches más rápidamente. Este es un un avance muy útil en la lucha contra el delito informático. Con este sistema de detección ya ha atraído la atención del mundo comercial. De hecho, el equipo dice que actualmente está haciendo la transición del sistema a un socio comercial.
Por supuesto, esto será parte del juego del gato y el ratón. Será interesante ver cómo los delincuentes cambian su comportamiento ahora que saben que están siendo monitoreados sistemáticamente.
El paper "Darknet y Deepnet Mining para la Ciberseguridad Proactiva Threat Intelligence" de Eric Nunes, Ahmad Diab, Andrew Gunn, Ericsson Marin , Vineet Mishra,
Vivin Paliath, John Robertson, Jana Shakarian, Amanda Thart, Paulo Shakarian de Arizona State University puede ser descargado desde aquí.
Fuente: Technology Review
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!