Ok, temos que admitir: malware é legal! Sim, é um problema, e sim, pode ser catastrófico, mas, falando sério, o malware que sai hoje em dia às vezes tem recursos tão requintados que você acaba apreciando, ainda que de má vontade, as maneiras misteriosas como eles funcionam e os truques de malware inventados com cada vez mais criatividade pelos hackers.
Agora, só porque dissemos que malware é legal, não significa que achamos que isso deve ficar por aqui. Estamos moldando cada uma das postagens deste blog para ajudá-lo a detectar e derrotar malware para que sua organização permaneça segura. Esta postagem em particular é sobre malware polimórfico e malware metamórfico – malware que pode alterar sua composição genética para evitar a detecção. (Viu por que falamos que é legal?) Também exploraremos como detectar esse malware em sua rede.
Então, quão popular é essa variedade legal de malware adaptativo? Bem, uma pesquisa da Webroot revela que, desde 2017, a maioria das cepas de malware detectadas são de natureza polimórfica. A pesquisa especifica que 94% dos executáveis maliciosos são polimórficos. Pesquisas e pesquisas relacionadas a malware metamórfico parecem escassas. No entanto, esses são tipos de malware que qualquer organização pode encontrar e é útil estar armado com o conhecimento de como detectá-los em seu ambiente.
O que é malware polimórfico?
Malware polimórfico é um tipo de malware que pode alterar constantemente seus recursos e assinaturas para torná-lo indetectável por soluções de segurança. Ele engana as técnicas de detecção alterando características como nomes de arquivos e chaves de criptografia. Esse é um método eficaz para evitar a detecção, uma vez que as soluções de segurança usam técnicas de detecção de padrões para detectar assinaturas de malware. O malware pode se espalhar pela rede, alterando sua assinatura e tornando-a muito poderosa para ferramentas de detecção baseadas em assinatura, que dependem de um banco de dados de assinaturas e padrões de malware conhecidos.
Algo que as organizações devem ter em mente é que, quando se trata de malware, a abordagem tradicional de focar seu programa de segurança cibernética (e seu orçamento) na prevenção de malware, em vez da detecção, não é eficaz. Com uma onda de infecções por malware polimórfico, você precisa repensar as abordagens e os gastos de segurança e se concentrar mais em mecanismos avançados de detecção.
O que é malware metamórfico?
O malware metamórfico leva as cepas de malware polimórfico a um nível totalmente novo. Ela é considerada, atualmente, a cepa de malware mais infecciosa que existe. Cepas metamórficas de malware podem traduzir e reescrever seu próprio código. Esse tipo de malware altera a anatomia geral de seu ser, reescrevendo e reprogramando a si mesmo toda vez que corrompe uma rede. (Caramba!) Felizmente, o malware metamórfico não se tornou uma ocorrência comum, pois criá-lo requer conhecimento avançado de codificação.
O objetivo do malware polimórfico e metamórfico normalmente tem sido roubar informações para fins de extorsão. Se você está se perguntando como o malware metamórfico e o polimórfico diferem, aqui estão algumas diferenças:
Malware polimórfico |
Malware metamórfico |
Malware que altera seus executáveis e assinaturas |
Malware que se reescreve, alterando seu código interno à medida que avança pela rede, para que o malware se torne totalmente diferente de como começou |
Criptografa-se com chaves de criptografia variáveis |
O código é totalmente reescrito |
Vamos tornar isso ainda mais simples. O malware polimórfico é como um camaleão que muda de cor para se camuflar:
Já uma variedade metamórfica de malware é onde o camaleão se transforma em um lagarto.
Como detectar esses tipos de malware
- Use ferramentas de detecção baseadas em comportamento: aproveite as soluções de detecção baseadas em comportamento, como detecção e resposta de endpoints, ou proteção avançada contra ameaças, para detecção de ameaças em tempo real. A proteção contra malware baseada em comportamento é mais precisa do que os métodos tradicionais baseados em assinatura, que são ineficazes contra ataques polimórficos.
- Execute a verificação heurística: procure por características cruciais que a ameaça possa compartilhar, em vez de uma correspondência exata com ameaças conhecidas. Isso aumenta as chances de detectar e interromper uma nova variante do vírus.
- Aproveite a inspeção profunda de conteúdo: como grande parte do malware muda internamente em ambas as cepas, precisamos ir mais fundo do que a técnica normal de inspeção profunda de pacotes para identificar cepas de malware polimórficos ou metamórficos. A inspeção profunda de conteúdo é relativamente nova, mas pode detectar cepas de malware evasivas, pois não apenas inspeciona o cabeçalho dos pacotes, mas na verdade reconstrói e decodifica o pacote para verificar se há malware no conteúdo real do pacote.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Tanya Austin.