En este artículo de hoy vamos a mostrar la evolución en detección de dos muestras de malware zero-day que casualmente me han llegado por email. Las muestras son lo típico y clásico de siempre, llega un email contandote la película de turno para incitarte a descargar un fichero que llega por enlace. En este tipo de malware hay que tener cuidado por que ahora es capaz de autoresponderse otro email desde los emails guardados, es decir, que nos puede llegar por email un malware en cuyo email va una respuesta del propio malware a un email que anteriormente nosotros habiamos enviado.
INTRODUCCIÓN
Lo primero que hay que decir es que esto es una prueba de detección pura y dura, lo cual no quiere decir que un antivirus por no detectar no sea capaz de interceptar si se trata de ejecutar la muestra. Cada vez mas los antivirus vienen con varias tecnologías entre las que se incluyen los monitores de procesos o control por listas blancas que son muy extensas. El monitor de procesor sirve para detectar actividades sospechosas y los controles por listas blancas suponen una gran protección en base a que el antivirus conoce una gran cantidad de ficheros, es decir, que cuando avisa de que un fichero no conoce se puede decir que ya tiene casi todas las papeletas para ser malware.
Hay que tener claro que en esto de los antivirus la detección pura y dura cada vez es una linea de defensa mas, siendo otras lineas cada vez mas importantes para la detección del malware zero-day. Esto por otra parte tiene sus pegas, y es que un antivirus cada vez menos es algo de instalar y olvidar, si cada vez que nos avisa de algo le vamos a decir que si entonces no se está aprovechando bien el potencial que nos está ofreciendo.
También hay que tener en cuenta que hay antivirus que no necesitan de la detección en escaneo para frenar una muestra, sus motores de análisis en ejecución son capaces de interceptar el malware, asi que, se puede observar como un antivirus que en un escaneo jamás detecta una muestra luego resulta que en ejecución si la detecta perfectamente. Esto que acabo de comentar se basa en los motores de análisis en ejecución, lo cual es distinto al control por lista blanca, el control por lista blanca se limita a avisar del intento de ejecución de un fichero desconocido, es decir, al reves que la detección por firmas que se basa en lista negra.
Asi que nada mas, hasta aquí la introducción, así que veamos a ver los resultados de la evolución de la detección gentileza del motor de analisis multiple de Virustotal que nos ofrece una herramienta muy poderosa para analizar ficheros que nos llegan y poder sacar conclusiones con todos los motores de análisis que ofrece.
HISTÓRICO DE LA DETECCIÓN
Muestra 1 – Enlace a VirusTotal – Total de detecciones: 29
25/06 – 21:00 – DrWeb vxCube, Fortinet, Zonealarm.
26/06 – 06:35 – +Bitdefender, Emsisoft, Gdata.
26/06 – 09:00 – +AdAware, Arcabit, DrWeb, eScan, Max, ALYac, FireEye, Qihoo-360.
26/06 – 14:00 – +Comodo.
26/06 – 17:00 – +Cyren, AegisLab, Ikarus.
26/06 – 21:00 – +Lastline.
27/06 – 00:00 – +Sophos.
27/06 – 11:00 – +Vipre.
27/06 – 14:00 – +Trendmicro.
27/06 – 22:00 – +Trendmicro-HouseCall.
28/06 – 09:00 – +Kaspersky, Symantec, Tencent.
28/06 – 16:00 – +Microsoft.
29/06 – 17:00 – +Vipre.
02/07 – 10:00 – +Rising.
Muestra 2 – Enlace a VirusTotal – Total de detecciones: 26
25/06 – 21:00 – Arcabit, Bitdefender, Emsisoft, eScan, FireEye, GData, Max.
26/06 – 00:00 – +AegisLab.
26/06 – 09:00 – +Ikarus, Eset-Nod32, ZoneAlarm.
26/06 – 12:00 – +Fortinet, Kaspersky.
26/06 – 14:00 – +Comodo, DrWeb, Symantec.
26/06 – 21:00 – +Qihoo-360.
27/06 – 00:00 – +Cyren.
27/06 – 08:00 – +Avira, Cynet, F-Secure.
28/06 – 09:00 – +Microsoft.
28/06 – 16:00 – +Tencent.
29/06 – 08:00 – +Avast, AVG.
29/06 – 13:00 – +ALYac.
Muestra 3 – Enlace a VirusTotal – Total detecciones: 25
Con estas cosas al final pasa de todo, anteriormente os he mostrado dos muestras zero-day que poco a poco han ido siendo detectadas por la mayoría de los principales antivirus que usamos en España. En cambio muchas veces también tenemos muestras que no merece la pena mostrar un histórico ya que en pocas horas ya han sido detectadas por todos los antivirus relevantes. En general hay un principio que es fundamental y son los motores de análisis para detectar muestras sospechosas que son enviadas a la nube para su revisión, los antivirus en la nube, que por ello se generalizó el uso de antivirus gratuitos, se basan en que los usuarios gratis tambien colaboran en base a servir de soporte para el envio automático de muestras sospechosas.
Es por ello por lo que actualmente es fundamental un motor de análisis potente tanto a nivel del antivirus como a nivel de sus servidores, gracias a estos dos motores se consigue que una muestra nueva pase a ser detectada para todos los usuarios, pero claro, para ello el motor de análisis del antivirus tiene que ser capaz de detectar la muestra como sospechosa y proceder a su envio. Luego en el lado de los servidores de cada antivirus, tambien es fundamental otro detalle muy importante, y es que cuanto mas capaz y eficiente sea el motor de análisis automatizado menos trabajo se dejará para los análisis manuales por personal técnico del antivirus.
CONCLUSIONES FINALES
Aunque es la primera vez que publico algo así, llevo haciendo estas pruebas desde hace bastantes años. En general podemos sacar bastantes conclusiones, la primera es la evidente, hay muchas marcas de antivirus que han aparecido en el mercado, aunque tambien hay que observar que los hay que utilizan motores con licencia de otros, a modo de ejemplo tenemos el motor de Bitdefender que es bastante usado por otras marcas. En general se puede decir que por un lado tenemos antivirus, no tan conocidos por el gran público a nivel popular, que están dando bastante buenos resultados, y por otra parte tenemos antivirus muy conocidos y muy usados, sobretodo en el pasado, que se puede observar como han tardado en detectar, comparativamente hablando, mas de lo previsible.
Los resultados de esta prueba no hay que tomarlos demasiado al pie de la letra ya que son los que han dado utilizando tres muestras, lo cual quiere decir que en otro momento utilizando otra muestra los resultados pueden ser distintos aunque si es cierto que los antivirus que quedan bien en general suelen quedar bastante bien frecuentemente.