Exploración, identificación y detección de malware inteligente para evitar caos ciberepidemiológico y ciberpandemias

Nuestra sociedad va siendo cada vez más cibernética, digital, basada/definida por software y datos (SDR/Software Defined Radio, SDN/Software Defined Network, SDP/ Software Defined Perimeter, SDF/ Software Defined Fragmentation, SDC/Software Defined Confinement, SDE/ Software Defined Electric-system, SDD/ Software Defined Driving, etc.). Por ejemplo, en los cajeros automáticos infectados por malware se puede leer ‘fuera de servicio’ o incluso ‘en estos momentos se están realizando operaciones de mantenimiento espere’ que suele ser falso y lo que realmente sucede es un ciberataque del tipo denegación de servicios.

Así mismo, nuestra sociedad se basa en servicios como geolocalización (basados en redes de satélites como GPS, Galileo, BeiDou, Glonass, GNSS, etc.), motores de búsqueda (como Google, Yahoo, Baidu, Bing, Yandex, etc.), Redes Sociales (como Twitter utilizada entre otras cosas para los políticos, Facebook, Instagram, TikTok, YouTube, LinkedIn, Pinterest, WhatsApp, etc.), asistentes personales-IA (como Alexa, Siri, etc. chat-bots, call-bots, callcenter-bots, etc.), APPs (para todas nuestras necesidades tanto reales como provocadas), nubes (cloud-fog-edge-computing) de procesamiento, nubes para almacenamiento de datos como AWS (Amazon Web Service) que guarda, por ejemplo, los datos de vehículos BMW, sitios Web de trabajo, ocio, compras, finanzas, etc. Y cuando estos servicios se infectan o se ven ciberatacados por malware la situación es de riesgo extremo, surge el caos, la desesperación e incluso las consecuencias pueden llegar a ser de dimensiones impredecibles.

La evolución, sofisticación y complejidad de los malware se va incrementando día a día, podemos identificar diferentes etapas:

(1) El malware se replica con la asistencia del ser humano, por ejemplo, al abrir un fichero adjunto de un correo electrónico, mensajería instantánea, Red Social, etc. pinchar un link o botón de ‘me gusta’ malicioso, regalar un pendrive infectado, etc.

(2) El malware se autoreplica sin ayuda del ser humano (por ejemplo, utilizando vulnerabilidades de los dispositivos de computación, objetos IoT, IIoT, IoMT, etc.) y comparte las características de funcionalidad de la etapa anterior. Se propagan utilizando ficheros y medios de almacenamiento (pen/flash-drives, DVDs, discos, CDROM, etc.) infectados.

(3) Utiliza las capacidades de las redes (aprovechándose de las vulnerabilidades de los dispositivos de red como routers y servicios de compartición de información) en sus vectores de propagación lo que conduce a un gran impacto debido a su elevado grado de contagio, es el caso de los malware evolucionados con funcionalidad de gusano.

(4) Son más específicos de la organización y utilizan múltiples vectores para ciberatacar a sistemas y software antimalware.

(5) Son ciberarmas (por ejemplo, APTs (Advanced Persistent Threats) contra ICSs (Industry Control Systems) como Stuxnet, Crashoverride, Blackenergy, Dragonfly-Havex, etc.), se emplean, por ejemplo, en ciberguerras (que normalmente son secretas) de forma que el malware se hace servicio (MaaS o Malware as a Service).

(6) Son los malware más avanzados utilizan todas las funcionalidades anteriores más inteligencia artificial avanzada y todos sus derivados (redes neuronales profundas, sistemas expertos, Deep Learning, Machine Learning, swaping biometric-data, generadores de ganancia de funciones sin rastros, sock-puppets, violadores de pruebas CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), máscaras digitales, procesamiento del lenguaje natural (NLP), troles, synthetic-media para falsificar pruebas de vida, etc.). En el contexto del malware estamos viviendo en una sociedad de ‘muchas rotondas’ en la que damos vueltas y vueltas, divagamos, hablamos y hablamos, damos, largas, haciendo caso a personas totalmente analfabetas en cuestiones de ciberseguridad: se oyen frases disparatadas como los móviles no necesitan antimalware, algunos PCs tampoco necesitan antimalware pues su microprocesador es ‘especial’, las ciber-pandemias y caos ciber-epidemiológico nunca llegarán, etc. Esto conlleva caos y retardo de las actuaciones necesarias como el prepararse a tiempo y la anticipación-predicción. Hay que tomar las decisiones técnicas correctas lo antes posible.

La estructura de los modernos malware modulares-inteligentes consta de diversas partes y elementos, cada uno responsable de una acción característica que puede realizar:

(1) Código para insertarse. Hay malware que se ha diseñado en principio para reproducirse sin hacer más daño que eso de forma no detectable. Este código permite insertar copias del malware en uno o más ficheros, en la memoria principal, en los dispositivos de red, periféricos, etc. en la(s) víctima(s)/objetivo(s).

(2) Carga útil. Es modular y puede recargarse y actualizarse sobre la marcha. Es el código que realiza las actividades maliciosas asociadas (normalmente no detectable) como espiar, exfiltración de datos, cambiar sigilosamente información, borrar todos los ficheros del disco duro, colocar un malware con funcionalidad backdoor, causar un ciber-ataque DoS/DDoS enviando infinidad de peticiones a un servidor o aplicación Web, disparar la ganancia de función sin firma creando una multiplicidad de actividades maliciosas, etc.

(3) Medios-mecanismos-elementos para contagiar y distribuir las infecciones y acciones maliciosas:

(I) Elementos de reconocimiento. Se encargan de descubrir los nuevos objetivos/víctimas que pueden infectarse utilizando las vulnerabilidades conocidas de las redes (por ejemplo, empleando el escaneo activo). Este elemento o factor de reconocimiento-descubrimiento de objetivo integra diversas estrategias:

(a) Escaneo. El malware explora un conjunto de direcciones para identificar nuevos objetivos a infectar. El escaneo se realiza secuencialmente o de forma aleatoria, por ejemplo, se escanea un conjunto de dispositivos de computación que tienen direcciones ordenadas o tienen direcciones elegidas de forma aleatoria. Escanean no sólo direcciones globales sino también direcciones locales. A veces el ancho de banda o velocidad se limita para evadir la detección del malware.

(b) Listas de objetivos pre-generadas. El malware posee anticipadamente listas de objetivos.

(c) Listas de objetivos generadas externamente. El malware obtiene dinámicamente listas de objetivos de servidores C&C (Command and Control) que apoyan al malware controladas por robots/bots, entidades autónomas de inteligencia artificial, etc.

(d) Listas de objetivos internas. El malware obtiene listas de dispositivos de computación que han sido utilizadas en las redes desde información local, por ejemplo, el servicio NIS (Network Information Service) que gestiona las configuraciones del sistema como nombres de host y del usuario distribuidos en múltiples dispositivos de computación de la red local, el servicio universal de tiempo NTP, etc. Otra fuente de información local son las tablas ARP que describen las correspondencias entre dirección IP-L3 y dirección MAC-L2, tablas DNS que especifican las correspondencias entre direcciones IP-L3 y URL-L5, etc.

(e) Pasiva. El malware espera hasta que los dispositivos de computación de las redes accedan o también observa de forma pasiva los comportamientos de los usuarios legítimos. Aunque la velocidad de infección con esta estrategia es baja puede realizarse sigilosamente ya que no se genera tráfico adicional a las redes.

(II) Elementos de inteligencia. Se encargan de inspeccionar el dispositivo de computación víctima y obtiene su localización y capacidades como: la IMEI ((International Mobile Equipment Identity) que permite saber el modelo del dispositivo, marca, tipo, diseño, memoria, tipo de display, existencia de pantalla táctil, tamaño de la SIM, información de la batería, sistema operativo, etc.), el nombre del host, la direcciones MAC e IP y una lista de ficheros para comunicarse con otros dispositivos infectados o un servidor central (por ejemplo, en base a comunicación subliminar, C&C, etc.).

(III) Elementos de comunicación. Se encargan de comunicar la información de forma oculta, esteganografiada, cifrada, codificada, comprimida, a través de canales subliminares, por canales C&C, etc. sobre las vulnerabilidades obtenidas en el elemento de reconocimiento y la localización y capacidades obtenidas por el elemento de inteligencia con otros dispositivos infectados o un servidor central. También le permite al malware actualizarse, recargar módulos de inteligencia artificial y aumentar su letalidad funcional, ciberresiliente de forma no detectable, etc. El malware se comunica tanto con el interior como con el exterior, con máquinas virtuales (VM), servidores, virtual-clouds (nubes virtuales), virtual-fog, virtual-edge, etc.

(IV) Elementos de comando. Se encargan de ejecutar los comandos del sistema operativo.

(V) Elementos de ciberataque. Se encargan de lanzar ciber-ataques utilizando las vulnerabilidades (por ejemplo, el hospedaje directo de SMBv1 y se duplica el malware en los dispositivos objetivos-víctimas).

Los modernos malware inteligentes modulares son ciberarmas, herramientas de ciberataque y ciberamenazas inteligentes autónomas basadas en inteligencia artificial (simplificadamente malware basado en IA) integran el potencial de automatizar capacidades y procesos humanos haciéndolos para dañar e infectar: más ocultables, más adaptativos (a nuevos entornos y al conocimiento adquirido en el pasado sobre malware inteligente), más autónomos (capaces de elegir las técnicas de movimiento lateral lo que incrementa la probabilidad de infectar los objetivos destino), más rápidos, más modulares, con más capacidades de autopropagación (tanto utilizando redes, con funcionalidad gusano, como ficheros con funcionalidad de virus, como en memoria principal, tipo malware residente sin ficheros, como en diferentes tipos de dispositivos de computación, red y objetos IoT/IIoT/IoMT), más efectivos, con más elementos para realizar ganancia de funciones, más independientes, más complejos, más multifuncionales, más sigilosos, más asintomáticos, más sofisticados, más difíciles de identificar/detectar, más capaces de encontrar el objetivo, por ejemplo, basados en técnicas Deep Learning, con capacidad de reconocimiento facial, reconocimiento de voz, geolocalización, etc. para identificar su objetivo para el ciber-ataque, pensemos, por ejemplo, en eliminar un sujeto que puede conducir un determinado vehículo conectado/autónomo, circular en un transporte horizontal/vertical, etc. con lo cual el malware autónomamente consulta imágenes (aplica algoritmos de reconocimiento facial), audio, geolocalización en exteriores o outdoor (GPS, Glonass, BeiDou, GNSS, Galileo, etc.), geolocalización en interiores o indoor (como i-Beacon/Bluetooth, cámaras de video, drones de vigilancia, Webcam, BDs, etc.).

El malware con funcionalidad de virus se propaga de un dispositivo de computación a otro embebiéndose copias de dicho malware en ficheros, que por algún medio (por ejemplo, a través de las redes, por servicios de compartición, interviniendo el ser humano, etc.) se transportan a la víctima u objetivo. Los malware con funcionalidad de virus se autocopian en programas para infectar a más dispositivos de computación. El medio de transporte se denomina vector del malware. El transporte puede iniciarlo el propio malware, por ejemplo, puede enviar el fichero infectado como fichero adjunto de un correo electrónico, o servirse de un usuario humano que transporte sin sospecharlo unidades de memoria (CDROM, DVD, flash-drive, etc.) que contienen algún fichero infectado.

Los malware del tipo adware, creepware, spyware, keyloggers, rastreadores de cookies, etc. así como parte de software de compartición de ficheros pertenecen al concepto de software PIS (Privacy-Invasive-Software). Muchos tipos de ficheros como Adobe y Office como, por ejemplo, los.pdf y.docx suelen incluir scripts maliciosos que se deben desinfectar. Así mismo en Word y Excel se debe eliminar los malware basados en macros maliciosas, etc. Algunos ejemplos de malware son: W32.Bika, W32.Beagle, W32.Spybot.Worm, W32.Blaster.Worm, W32.Mydoom, etc. Los malware con funcionalidad de gusanos (o worm) se autocopian-autoreplican y auto-propagan a través de las redes para infectar a más dispositivos de computación (ejemplos, gusano de Morris 1988, WannaCry que además de malware con funcionalidad de gusano es malware con funcionalidad ransomware, etc.).

Los malware integran cada vez más estrategias y habilidades de ciber-resiliencia-resistencia para sobrevivir como:

(I) Estrategias y criterios para propagarse dicho malware. Le permite controlar la velocidad de contagio, la ganancia de funciones, etc.

(II) Estrategias de infección. Posibilita elegir la multiplicidad de formas de infectar utilizando la ganancia de funciones.

(III) Estrategias de colocación del código(s). Permite seleccionar la ubicación de cada carga útil maliciosa. Por ejemplo, si el malware es un virus se coloca dentro del fichero no al principio o FIN.

(IV) Estrategias de ejecución. Permite determinar los posibles elementos de infección. Así mismo, posibilita la ganancia de función incluso con ausencia de firma para no dejar rastros.

(V) Estrategias para su ocultación. Por ejemplo, incluyendo código sin sentido, utilizando criptografía, por compresión, por fragmentación, con esteganografía, con canales subliminares, etc. El malware puede operar básicamente de tres modos:

(1) Visible. Se caracteriza porque el malware presenta síntomas claros y se puede detectar con facilidad (por ejemplo, para confundir al antimalware para que lo elimine y deje el resto de módulos de infección existentes sin detectar). Es cuando se observa la infección caso de los redireccionamientos, las pop-ups (pantallas emergentes) y anuncios/publicidad/ads (adware) no deseados, la petición de rescates (estilo del malware tipo ransomware), el formateo del disco duro, la pantalla azul (de muerte), la visualización de una pelotita moviendo sin parar por la pantalla, pintarrajear (cambiar contenidos para ridiculizar o dañar la reputación de personas o de empresas, en los sitios Web poner pintadas/grafitis, cambiar la foto o el vídeo de una persona por algo degradante para herir su reputación (utilizando swapping-foto, deep-video), etc.), avisar a la víctima de una infección y solicitar descargar un antimalware específico gratuito o de pago, que sin saberlo la víctima, es un troyano y se encuentra infectado, etc.

(2) Algo perceptible. Se caracteriza porque el malware apenas genera síntomas. Es el caso de la minería ilegal de criptomonedas que el dispositivo de computación infectado de la víctima realiza para el ciberatacante, en este caso el síntoma es acaparar potencia de CPU de la víctima, con lo que el dispositivo de la víctima irá más despacio y se calentará más.

(3) Oculto/invisible. Se caracteriza por ser el malware asintomático no detectable, se oculta utilizando tecnología de inteligencia artificial (además de privilegios de root), criptográfica (incluso de múltiples capas heterogéneas), esteganografía, compresión de datos, fragmentación de datos/secretos (empleando técnicas como Shamir, Key-Escrow, etc.) y ofuscación. Es el caso de las bombas de tiempo, de las puertas traseras (Backdoors), de los CC (Credit Card)-Stealers (robadores de tarjetas de crédito que actúan sobre los plugin con vulnerabilidades), las técnicas Blackhat SEO (Search Engine Optimization) buscan obtener un mejor posicionamiento Web de los sitios que proporcionan productos y servicios, pero abusando de determinados métodos que transgreden las políticas establecidas por los buscadores, etc. Algunos métodos de Blackhat SEO o posicionamiento Web abusivos son:

(I) Spamming keywords. Cuando se forman frases utilizando palabras clave.

(II) Cloaking. Se utiliza para mostrar en los motores de búsqueda contenidos diferentes a los que se le presenta al usuario que realiza determinada búsqueda.

(III) Contenido duplicado. Busca que varios sitios Web alojen el mismo contenido con el mismo significado, pero utilizando palabras diferentes. (IV) Keyword-stuffing. Cuando se hace abuso de las palabras clave dentro del contenido de un sitio Web.

(V) Texto oculto (o palabras encubiertas). Utiliza contenido (texto) con el mismo color del fondo del sitio Web para que no se vea. El propósito de las técnicas de ofuscación y obstrucción para que no podamos detectar al malware es: hacer no claro el código, hacer difícil o imposible la decodificación, posibilitar la ocultación (ocultado esteganográfico en fotos, vídeos, en las cabeceras de las unidades de datos de protocolo que circulan por la red, etc.), hacer difícil el encontrar y poder observar al malware (es decir, detectar el malware y protegerlo de la ingeniería inversa), posibilitar las mutaciones del malware incluso preservando el formato y las funcionalidades. La ofuscación se utiliza en malware y sus derivadas como scripts, javascripts, vbscripts, etc., maliciosos.

Existen diversos tipos de tecnologías de ofuscación y obstrucción para impedir que detectemos al malware:

(1) Introducción de secuencias basura (añadiendo código que no modifique el comportamiento del malware), encapsulando datos y código (en tiempo de ejecución cuando se necesita el fragmento de programa encapsulado se ejecuta el procedimiento de decodificación y se utiliza el fragmento de programa original), utilización de nombres aleatorios, renombrando variables (bien por rango de sentencias limitado o bien durante todo su rango de vida), empleo de funciones no documentadas, reordenación del código (cambiando el orden de las instrucciones del programa malware pero manteniendo el orden de la ejecución original mediante el uso de instrucciones de salto (jump) y de control de flujo con condiciones (tipo case)), utilización de falsificación del código legítimo (deep-data), empleo de lugares aleatorios, etc.

(2) Utilización de: empaquetadores o packers (también denominados run-time packers o self-extracting files/archives o executable compression). Su objetivo es ocultar los diferentes módulos de la carga útil del malware. Es software que se desempaqueta en memoria cuando se ejecuta el fichero empaquetado. Este tipo de compresión permite hacer más pequeños los ficheros, de modo que se desempaquetan automáticamente antes de ejecutarse. Esta tecnología se utilizaba hace tiempo para usos benignos, pero actualmente si vemos algún tipo de empaquetador utilizándose casi siempre es para propósitos maliciosos. El packer hace más difícil la ingeniería inversa y la ‘huella dactilar, traza o firma’ en el dispositivo infectado es más pequeña. Utilizando la técnica del packing el malware construye un ejecutable o extrae código adicional durante el tiempo de ejecución desde el código almacenado dentro de él o en un fichero separado.

(3) Utilización de crypters. Su objetivo es ocultar los diferentes módulos de la carga útil del malware. Es software que en su carga útil está el malware. No sólo cifra el fichero, sino que el software del crypter ofrece muchas opciones para ocultar un ejecutable de la detección por parte de las herramientas antimalware. El crypter es no detectable al menos por un tiempo entonces cambia sus ficheros de nuevo si al final es detectado.

(4) Utilización de protectores. Su objetivo es ocultar los diferentes módulos de la carga útil del malware, por ejemplo, rasomware, en este caso no necesita un servidor C&C para comunicar la clave de cifrado ya que puede estar en el propio ransomware (hard-coded), un ejemplo es Locky-Bart que utiliza wprotect basado en virtualización de código open-source. Es software que impide la alteración y la ingeniería inversa del malware. Los métodos utilizados son una serie de capas de empaquetamiento, cifrado, compresión, etc. Un enfoque diferente del protector, denominado v-protector emplea virtualización de código que utiliza un conjunto de instrucciones virtuales diferente y personalizado cada vez que se utiliza para proteger la aplicación en este caso el malware. Las técnicas que utiliza el malware para impedir/dificultar que lo detectemos generan infinidad de variantes de dichos malware. El resultado es que casi todas las herramientas antimalware comercializadas son incapaces de detectar tal cantidad de variantes de dichos malware.

(5) Utilización de diseminación específica, puntual y dirigida. El malware se centra en un entorno o entornos específico(s) y no infecta otros sistemas. La infección se lleva a cabo utilizando medios como spear-phishing dirigido, malvertising con IP específica, etc.

(6) Residente en memoria. El malware (tipo fileless) no existe sobre el sistema de ficheros y se ejecuta sólo en memoria principal. Una vez que el dispositivo de computación se apaga el malware y la ciber-evidencia de su ejecución desaparecen del sistema previamente infectado impidiendo conocer su existencia.

(7) Comprobación del entorno. El malware comprueba para ver si se le esta, vigilando-analizando como aplicar un debugger o emular o se le ejecuta sobre una máquina virtual, en ese caso detiene su ejecución o redirige el flujo de ejecución a un camino alternativo. Ejemplos de comprobaciones son los flags debug, la presencia de ciertos procesos o aplicaciones, las comprobaciones de timing, los puertos especiales de E/S de máquina virtual, etc. Si un malware avanzado se confina (en sandboxing, VM, DMZ) posiblemente se escapará.

La detección de malware basados en anomalías (pueden ser de enfoque estático, dinámico o híbrido) utiliza el conocimiento de lo que constituye el comportamiento normal para decidir la peligrosidad de un programa bajo inspección de infección malware. Un tipo especial de detección basada en anomalías se denomina detección basada en especificación que se caracteriza por utilizar alguna especificación o conjunto de reglas de lo que es comportamiento válido para decidir la peligrosidad de un programa bajo inspección, los programas que no cumplen la especificación se consideran anómalos es decir maliciosos (malware). La detección basada en anomalías opera en dos fases:

(1) Fase de aprendizaje, entrenamiento o learning. En esta fase el detector intenta aprender el comportamiento normal. El detector durante esta fase puede aprender el comportamiento de un dispositivo de computación (por ejemplo, su horario de uso si es un computador de una empresa con horario establecido) o del programa PUI (Program -detección estática- /process -detección dinámica- Under Inspection) o una combinación de ambos.

(2) Fase de detección o monitorización. En esta fase se vigila/monitoriza para observar lo que hace el fichero bajo inspección y se actúa. Por ejemplo, si no se observa una excepción-anomalía durante la fase de entrenamiento y sin embargo si se observa durante la fase de monitorización esto daría lugar a una alarma de error. Una ventaja clave de este tipo de detección es su capacidad de detectar ciberexploits/ciberataques 0-day (que no se conocen previamente).

Como principales limitaciones de este tipo de detección es su tasa alta de falsas alarmas (falsos positivos significa que el detector avisa de un malware que realmente no existe, y falsos negativos cuando el detector acepta un fichero como no infectado cuando de hecho está infectado) y la complejidad a la hora de determinar qué características se deben aprender en la fase de entrenamiento. En la detección dinámica de malware basada en anomalías la información que se recoge de la ejecución del programa se utiliza para detectar malware. La fase de detección monitoriza el programa bajo inspección durante la ejecución (proceso) comprobando las inconsistencias con las que aprendió en la fase de entrenamiento.

En la detección estática de malware basada en anomalías se utilizan las características sobre la estructura (composición de bytes) del fichero del programa bajo inspección para detectar malware. Una ventaja de este tipo de detección es que su uso puede hacer posible para detectar malware sin tener que permitir la ejecución en el sistema/dispositivo de computación del programa que puede transportar el malware. La detección de malware basados en firmas (pueden ser de enfoque estático, dinámico o híbrido) utiliza su caracterización de lo que se sabe es malicioso para decidir por comparación la maldad de un programa (que puede causar daños software-firmware-hardware, vidas humanas, desastres medio ambientales, robos, secuestros, etc.) bajo inspección. Esta caracterización o firma del comportamiento malicioso es la clave de la efectividad del mecanismo de detección basado en firma. El enfoque concreto o análisis de un mecanismo basado en firma o basado en anomalías se determina por cómo el mecanismo recoge información para detectar el malware.

El enfoque o análisis estático utiliza sintaxis o propiedades estructurales del programa/estático o proceso/dinámico bajo inspección para determinar su maldad. Por ejemplo, un enfoque estático para la detección basada en firma sólo utiliza información estructural (por ejemplo, secuencia de bytes) para determinar la maldad, mientras que un enfoque dinámico utiliza información en tiempo de ejecución (por ejemplo, sistemas vistos en la pila de tiempo de ejecución) del PUI (Program Under Inspection). Un enfoque estático intenta detectar malware antes de que se ejecute el programa bajo inspección. Un enfoque o análisis dinámico intenta detectar comportamiento malicioso durante la ejecución del programa o después de la ejecución del programa. En el método híbrido se utiliza información estática y dinámica para detectar el malware. Una firma (en la técnica de detección basada en firmas) debería poder identificar cualquier malware que muestre el comportamiento malicioso especificado por su firma. Las firmas requieren de un almacenamiento o repositorio que representa todo el conocimiento que existe y que permite detectar el malware. Se busca en el repositorio cuando el mecanismo de detección del malware intenta valorar si el programa bajo inspección o PUI contiene una firma conocida del malware. Una vez creada una firma se añade al repositorio de firmas.

El principal inconveniente de la detección basada en firmas es que no puede detectar malware 0-day que son los que no tienen firma almacenada en el repositorio. Como ventaja el número de falsos positivos y negativos es despreciable. La detección dinámica basada en firmas está caracterizada por utilizar sólo información durante la ejecución del PUI para decidir su maldad. La detección basada en firmas dinámica busca patrones de comportamiento que revelan el verdadero intento malicioso del programa inspeccionado.

La detección estática basada en firmas se encuentra caracterizada por examinar el programa bajo inspección en busca de secuencias de código que deberían revelar el intento malicioso del programa. El objetivo es acceder al código que representa el comportamiento del programa. El análisis estático de este código proporciona un enfoque alternativo al comportamiento en tiempo de ejecución del ejecutable bajo inspección. Las firmas se representan por secuencias de código. Los mecanismos de detección basados en firmas utilizan este conocimiento (por ejemplo, secuencias de instrucciones consideradas responsables de aportar un comportamiento malicioso) y comparan el PUI con las firmas conocidas en busca de una posible coincidencia.

Nuestro mundo se encuentra rodeado de infinitos riesgos/peligros y es susceptible de ser atacado desde cinco diferentes frentes que deben protegerse adecuadamente:

(1) Por tierra. Utilizando revueltas civiles, terrorismo, incendios, guerras con militares, soldados del ejército de tierra con artillería, carros de combate, bombas, etc., uso de armas sónicas y armas basadas en señales electromagnéticas de alta y baja frecuencia definidas por software, cañones de plasma y rayos Tesla, pandemias con virus biológicos, volcanes, terremotos (naturales o provocados utilizando armas tectónicas), uso de cámaras con sistemas de reconocimiento facial para identificar sujetos (por ejemplo, terroristas) basados en software (IA) desde la calle, aviones o satélites de vigilancia, etc. Empresas de seguridad privadas y públicas con armas taser, etc.

(2) Por mar. Utilizando barcos de guerra, marines, submarinos, torpedos, misiles, maremotos, tsunamis, uso de cargas de profundidad antisubmarinos, generadores de señales de sonar destructivas y de invisibilidad, etc.

(3) Por aire. Utilizando el ejército del aire, aviones de guerra, misiles balísticos intercontinentales, drones de ataque/vigilancia, huracanes, tornados, uso de generadores de interferencias y generadores de invisibilidad basados en software, etc.

(4) Por el espacio. Utilizando redes de satélites espía (con trayectorias de polo a polo) y satélites de guerra con armas laser/maser, ataques naturales derivados de asteroides, cometas, meteoritos gigantes, basura espacial, uso de naves espaciales, estaciones orbitales donde se guarden servidores con información robada o militar, etc.

(5) Por el ciberespacio. Este frente, esta, presente en los cuatro frentes anteriores ya que el software-firmware-hardware y el ciberespacio son elementos clave en ellos. Aquí monitorizamos ficheros-APPs infectados, sistemas operativos contaminados para realizar operaciones perversas. Utilización de ciber-armas malware para realzar ciber-ataques en todo el universo cibernético de la transformación digital donde el control puede venir de personas, robots o entidades autónomas de inteligencia artificial distribuidas por el planeta en diferentes formas, por ejemplo, bot-master de infinitos botnets ahora más con el crecimiento imparable de la IoT, IIoT, IoMT, nubes cloud-fog-edge-computing, virtualización en computación, nubes/nieblas, etc. dando lugar a ciber-pandemias globales apocalípticas, al caos ciber-epidemiológico generalizado nunca visto, etc.

Es crítico implantar contra el malware tecnología de ‘confianza cero’ (además, si se puede, implantar ciberseguridad-privacidad por diseño). La tecnología de ‘confianza cero’ implica no confiar en nada, ni en nadie. La clave es monitorizar, medir (lo que no se mide no se conoce) y verificar todo, obteniendo resultados y datos concretos y reales. Se debe verificar que toda entidad es quién dice ser, lo que dice, sus autorizaciones-privilegios, lo que transporta (visible o invisible), etc. es correcto. La confianza no posee la propiedad transitiva (que dice si A confía en B y B confía en C entonces A confía en C). Existen infinidad de herramientas para falsear identidades y pruebas de vida como synthetic-media, swaping-biometricdata, deep-face, swaping-video, deception/desinformación, etc. Se investiga en aumentar la confianza de las personas utilizando ingeniería social (con atajos-cognitivos, degradación cognitiva o dejar de ser cuerdo, eliminación de trabas emocionales y de conducta, diseño de conducta, diseño neuronal, etc.) para engañar, desinformar, hacer creer que algo falso es verdadero y aplicarlo para inyectar malware, por ejemplo, en forma de phishing (por favor descarga y ejecuta un adjunto infectado, pulsa este link o botón infectado, etc.), deep-fake, ciertos influencers, deep-video, deep-mensajería instantánea, etc. Es un hecho, las vulnerabilidades nos rodean cada vez más y van en aumento y por tanto todo software-firmware-hardware necesita actualizarse y colocar parches día a día.

Cada día va siendo más difícil detectar malware inteligente, asintomático, modular sobre todo basado en inteligencia artificial y con ganancia de funciones sin dejar firma. Es clave prepararse contra infecciones masivas globales que pueden surgir sin previo aviso ya que cada vez existe más malware no detectable (por ejemplo, en botnets transparentes) en vida latente distribuido a nivel mundial sin ser detectado esperando en lugares inimaginables y oculto incluso por esteganografía y tecnología subliminar.

El malware (se deriva de las cuatro palabras: malicious software-firmware-hardware, que es una ciber-arma, una ciber-amenaza y una herramienta para realizar ciberataques cibernéticos basados en programas-códigos de instrucciones software maliciosos como los gusanos, en microprogramas de microinstrucciones firmware maliciosos que infectan CPUs y circuitos electrónicos hardware maliciosos-patológicos caso de los troyanos hardware de modificación y de suplantación).

En nuestro mundo digital el malware (autónomo o guiado) puede hacer de todo, por ejemplo, espiar, modificar-borrar datos, dañar sin generar síntomas, denegar servicios, hacer chantajes, herir/matar seres vivos (en vehículos, dañar el medio ambiente, averiar hardware, etc.), robar y suplantar la identidad digital de cualquier entidad (ya que la identidad digital debe satisfacer tres requisitos imposibles de implantar: debe existir un secreto único e irrepetible, toda operación relacionada con ese secreto sólo deberá poder controlarla la voluntad de la entidad a la que representa (titular o propietario) y de ese secreto sólo puede existir una única copia en cada instante de tiempo, imposible porque se trabajará con registros digitales cuya unicidad es imposible de asegurar).

Se puede destruir e inutilizar todo lo que tenga electrónica operativa (aviones, industria, satélites, vehículos, CPDs, móviles, etc.) en un cierto radio de acción utilizando armas EMP (ElectroMagnetic Pulses) y bombas de neutrones guiadas por malware. A veces los malware añaden al sistema dlls (dynamic link libraries) lo que les permite operar más eficientemente que otros programas, otras veces infectan ficheros dll. Los malware con funcionalidad de backdoor añaden acceso no autorizado al sistema infectado saltándose la autenticación y autorización legítima.

Los malware con funcionalidad ransomware cifran los datos del sistema (ficheros, carpetas, disco duro) de la víctima imposibilitando el acceso del usuario legítimo, seguidamente solicitan un rescate (frecuentemente en criptomonedas para dificultar su trazabilidad) para obtener la clave de descifrado, pero sin garantías de que la víctima pueda revertir el cifrado realizado por el malware. Los malware con funcionalidad de spyware/keyloggers/adware/creepware/ng-cookies o de exfiltración y robo de información recogen información (datos, videos, audios, etc.) sin el conocimiento y consentimiento del usuario capturando todo lo tecleado por la víctima, cazando las pantallas, activando la Web-Cam y el micrófono, etc. Los malware con funcionalidad de rootkits ocultan la existencia de ficheros, aplicaciones, conexiones de red, etc., maliciosas.

Los malware con funcionalidad downloader-launcher descargan o lanzan otros códigos maliciosos. Los malware con funcionalidad APT (Advanced Persistent Threats) tienen capacidad de ciberarmas, por ejemplo, Stuxnet contra PLCs. Vigilar el malware a nivel internacional no es sólo una actividad fundamental, esencial y crítica sino una necesidad vital para la subsistencia de nuestra Humanidad. Alguien dijo alguna vez: “Una palabra no dice nada y al mismo tiempo lo esconde todo”. En el presente contexto esa palabra es ‘malware’.

REFERENCIAS

• Areitio, J. ‘Seguridad de la Información: Redes, Informática y Sistemas de Información’. Cengage Learning-Paraninfo. 2020.
• Areitio, J. ‘Identificación y exploración de tendencias en el incremento, tipos de impactos y efectos del malware’. Revista Eurofach Electrónica. Noviembre 2020.
• Areitio, J. ‘Incremento creciente del empoderamiento del malware: exploración longitudinal y transversal de las infecciones malware’. Revista Eurofach Electrónica. Enero 2021.
• Areitio, J. ‘Matizaciones sobre los efectos de la no anticipación contra el incremento creciente del malware oculto no detectable’. Revista Eurofach Electrónica. Abril 2021.
• Astra, J.D. 'Malware'. Independently published. 2021.
• Ryan, M. ‘Ransomware Revolution: The Rise of a Prodigious Cyber Threat’. Springer. 2021.
• Karbab, E.B., Debbabi, M. Derhab, A. and Mouheb, D. ‘Android Malware Detection using Machine Learning: Data Driven Fingerprinting and Threat Intelligence’. Springer. 2021.
• Stanford, E. ‘Crypto Wars: Faked Deaths, Missing Billions and Industry Disruption’. Kogan Page. 2021.
• -Bowden, M. ‘Worm’. Brilliance Audio. Unabridged Edition. CD MP3. 2015.
• Sanders, Ch. ‘Intrusion Detection Honeypots: Detection through Deception’. Applied Network Defense. 2020.
• Dudley, I.M. ‘Malware: A Marlowe and the Spacewoman Short Story’. Pallmark Press. 2020.
• Yao, J. and Zimmer, V. ‘Building Secure Firmware: Armoring the Foundation of the Platform’. Apress. 2020.
• Lakshminarayanan, K. and Muthuswamy, S. ‘Malware Detection Techniques using Machine Learning Classifiers’. Lap Lambert Academic Publishing. 2020.
• Stiennon, R. ‘Surviving Cyberwar’. Bernan Press. 2021.
• Mohanta, A. and Saldanha, A. ‘Malware Analysis and Detection Engineering: A Comprehensive Approach to Detect and Analyze Modern Malware’. Apress. 2020.
• Matrosov, A., Rodionov, E. and Bratus, S. ‘Rootkits and Bootkits: Reversing Modern Malware and Next Generation Threats’. No Starch Press. 2019.
• Stamp, M., Alazab, M. and Shalaginov, A. ‘Malware Analysis Using Artificial Intelligence and Deep Learning’. Springer. 2021.