¿Usas Windows? Alerta con AtomBombing


atombombing-attack

Hace unos días Tal Liberman, un investigador de seguridad de la empresa enSilo, mostró una nueva técnica de inyección de código que afecta a todas las versiones de Windows, incluyendo Windows 10.

Debido a la naturaleza de esta técnica es poco probable que pueda ser parcheada, lo que supone un riesgo importante para la seguridad, especialmente en las empresas.

¿Cómo funciona AtomBombing?

atombombing backend sourcecodes on computer monitorBásicamente este tipo de ataque se aprovecha de funcionalidades del propio sistema operativo que permiten inyectar código malicioso para su posterior ejecución por un proceso legítimo.

Este proceso se consigue mediante el uso de atom tables (proporcionadas por Windows para permitir el almacenamiento y acceso a datos a aplicaciones).

El hecho de que este tipo de ataque se provoque de una manera “legítima”, lo hace por el momento un malware muy peligroso, ya que pasa desapercibido por muchas soluciones de seguridad.

La forma en la que el ataque es llevado a cabo para inyectar código es nueva, aunque se parece mucho a la técnica empleada por los ransomware.

Otro inconveniente de este malware, es que no sabemos cuando va a actuar.

Pueden pasar días o incluso meses hasta que por fin es ejecutado. Un caso muy similar era el del famoso Cryptolocker.

Podríamos decir que no es una cuestión de SI va a suceder, sino de CUÁNDO va a suceder.

Muchas soluciones de seguridad son capaces de detectar el intento de inyección en un proceso, sin embargo para llevar a cabo esto dependen de firmas (no es una detección genérica de inyección de código), por lo que la mayoría no serán capaces de detectar este nuevo método.

Además, muchas de estas soluciones tienen un listado de procesos confiables.

Si se inyecta código en uno de ellos, podrá evitar las diferentes medidas de seguridad de dicho producto.

Además, este ataque es muy fácil de implementar, por lo que ahora que es conocido habrá muchos ciberdelincuentes integrándolo en sus nuevos ejemplares de malware.

¿Qué podemos hacer entonces para proteger nuestra red de un ataque AtomBombing?

Por un lado tenemos las soluciones antimalware tradicionales, que son fantásticas detectando y previniendo infecciones de cientos de millones de amenazas.

Sin embargo, no son tan buenas parando ataques dirigidos o amenazas de reciente creación.

Por otro lado, tenemos las soluciones de nueva generación, autodenominadas “Next Gen AV” (Software) y Next Gen Firewall (Hardware).

Estas últimas, podemos decir que son las más efectivas, ya que proporcionan niveles de seguridad a la red, que no se pueden conseguir sólo con software, ya que implementan ambas soluciones y utilizan técnicas de machine learning, para obtener todo su potencial.

ngfw-product

Este tipo de técnicas, ha evolucionado mucho en los últimos años y de hecho son bastante buenas parando algunos ataques dirigidos y amenazas nuevas, especialmente los producidos por Watchguard, empresa líder en el sector.

El único inconveniente que encontramos en este tipo de soluciones es que no te dice si algo es blanco o negro, sino una probabilidad, lo que se traduce en un alto número de falsos positivos, haciendo a su vez una red más segura si cabe.