Noticias

Revisión de los documentos de AMTSO

La semana pasada escribí sobre los documentos que los miembros de AMTSO acababan de aceptar.

Durante las próximas semanas, explicaré en detalle el contenido de cada uno de los documentos y por qué son importantes.

El primer documento que estudiaremos será el de Las mejores prácticas para validar las muestras (Best Practices for Validation of Samples), pdf en inglés.

Las muestras que se toman son un componente crucial de una buena prueba. Existen aspectos importantes, como que los productos estén configurados de manera apropiada y que se interpreten los resultados del análisis de forma óptima.

Pero cuando pensamos en pruebas, las muestras son lo primero y más importante que pasa por nuestra mente.

Cuando hablamos de validación, nos referimos de manera estricta a asegurarnos de que todas las muestras utilizadas funcionen. Así que esto no incluye definir la relevancia ni la clasificación de las muestras.

¿Por qué es importante la validación? Porque los archivos que no se pueden cargar no representan ninguna amenaza para el usuario. Por esta razón, los programas de seguridad no los detectan, ni deberían hacerlo.

El tener estos archivos entre las muestras influiría en los resultados de la prueba. Veamos un ejemplo teórico: Tenemos un gran gusano de red de 100KB, que los productos antivirus A, B y D lo detectan, pero el C no lo hace.
Ahora veamos qué sucede cuando el gusano se carga. Mientras el gusano trata de infectar un ‘honey pot’ la conexión se rompe cuando se han transferido tan solo 80KB del archivo.

De pronto los resultados de la prueba comienzan a variar:

  • El producto A sigue detectando el archivo porque tiene una signatura en los primeros 80KB del archivo original.
  • El producto B deja de detectar el archivo porque su signatura estaba basada en los últimos 20KB del archivo.
  • El producto C nota que hay una diferencia entre la información en el encabezado PE y el tamaño real del archivo y comienza a detectarlo de forma heurística.
  • El producto D deja de detectarlo porque tiene un modo de detección basado en emulación. Como el archivo ya no se puede cargar, no puede emularse.

El documento se concentra principalmente en la validación de archivos PE (portátiles ejecutables) porque éstos conforman la mayor parte del malware hoy en día. Lo ideal sería que quien esté manejando las muestras trate de ejecutar la prueba en un ambiente seguro para obtener los resultados más precisos. Si esto no es posible por razones como tiempo o recursos, el documento presenta algunos datos para revisar de forma estadística si una muestra puede cargarse.

Aquí puede leer los documentos recién publicados.

Revisión de los documentos de AMTSO

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada