Sophos decodifica el ADN del malware sin archivos e introduce una nueva tecnología de protección. Dynamic Shellcode Protection detecta el malware que se ejecuta en el almacenamiento temporal, como ransomware o agentes de acceso remoto, bloqueando una técnica de piratería popular para eludir los programas de protección.
Sophos presenta su nueva protección contra ciberataques, en la que el malware se carga sin archivos en la memoria temporal del ordenador afectado. Dynamic Shellcode Protection está integrado en Sophos Intercept X y puede evitar que el código de ataque se anide en la región dinámica de la memoria.
Memoria: escondite popular para el malware
El área de memoria de una computadora pirateada es un escondite popular para el malware porque los escaneos de seguridad generalmente no cubren la memoria. Como resultado, es menos probable que el malware sea detectado y bloqueado. Los tipos de malware que intentan activarse de esta manera incluyen ransomware y agentes de acceso remoto. Estos últimos a menudo forman la base de un ataque inminente, cuanto antes se descubran y bloqueen, mejor. Con Dynamic Shellcode Protection, los investigadores de Sophos ahora han encontrado una forma de defenderse contra este tipo de malware sin archivos en función de su comportamiento. El quid de la cuestión es el descubrimiento de que estos códigos de ataque en particular exhiben un comportamiento común en la memoria, independientemente del tipo específico de código o su propósito. En la publicación del blog "Código encubierto enfrenta un montón de problemas en la memoria", los investigadores de Sophos describen su descubrimiento en detalle..
Cómo funciona Sophos Dynamic Shellcode Protection
El código de las aplicaciones con privilegios de ejecución generalmente se carga en la memoria. Además, las aplicaciones suelen requerir un espacio de trabajo en memoria temporal adicional, por ejemplo, para desempaquetar o almacenar datos. Este espacio de trabajo variable se denomina memoria de "montón". En la mayoría de los ataques cibernéticos, el cargador de un agente de acceso remoto se inyecta directamente en el montón. Esto debe extraer más memoria ejecutable del montón para satisfacer las necesidades del Agente de acceso remoto. Esto se conoce como comportamiento de asignación de memoria "montón-montón". Los especialistas en seguridad de Sophos identificaron este comportamiento como un claro indicador de actividad potencialmente sospechosa y desarrollaron Dynamic Shellcode Protection, una protección que bloquea los permisos de ejecución de una memoria de montón a otra.
El malware en la memoria a menudo pasa desapercibido
“El código malicioso siempre trata de evadir la detección, por ejemplo, encubriéndolo y empaquetándolo directamente en la memoria. Dicho código a menudo no es reconocido por las herramientas de seguridad, incluso cuando se extrae. Los investigadores forenses y de seguridad de Sophos reconocieron que las asignaciones de memoria montón a montón son una acción muy típica de los agentes de acceso remoto de varias etapas y otros códigos de ataque", dijo Mark Loman, director de ingeniería de Sophos. “El objetivo principal es evitar que los atacantes comprometan computadoras individuales o una red completa. Por eso, el malware debe detectarse muy temprano para evitar, por ejemplo, el acceso a las credenciales, la escalada de derechos, los movimientos laterales en la red o la recopilación, el intercambio y el desvío de información. Con Dynamic Shellcode Protection, ahora estamos en condiciones de satisfacer precisamente esos requisitos de manera aún más efectiva”.
Más información en Sophos.com
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.