• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Chrome detendrá el 99% del malware

Chrome detendrá el 99% del malware

12 abril, 2013 Por Hispasec 4 comentarios

Este es un titular que parece sacado directamente de una página de publicidad en una revista editada a mediados de los 90. Sería imposible hablar de ese porcentaje en rigor, pero si nos olvidamos del método tradicional de los «antivirus» y hablamos del sistema basado en reputación que ha implementado Google, quizás la afirmación no suene tanto a presuntuoso titular… o quizás haya que hablar en otros parámetros.

CAMP (Content-Agnostic Malware Protection) es un sistema que se ha integrado en 200 millones de usuarios de Chrome como prueba de concepto en los meses pasados, y está destinado a detectar si el binario descargado es malware. No hablamos de exploits contra Chrome (vector de ataque en el que, si bien sigue siendo el más usado entre los atacantes, este navegador ya hace un excelente trabajo protegiéndose), sino rigurosamente los ficheros bajados. Según un estudio señalado en el propio documento, con suerte un antivirus tradicional detendrá entre un 35% y un 70% del malware que se intenta descargar un usuario antes de que dañe el sistema. Las listas negras son inútiles y las blancas muy limitantes. CAMP por el contrario está basado en la reputación. Esta se almacena y actualiza en un servidor remoto (la consabida nube). Los binarios que se descarguen y que no sean bloqueados por el propio Safe Browsing de Chrome, serán «interrogados» por el navegador para tomar nuevas referencias. Con ellas crean la reputación en el servidor sin necesitar saber nada del binario en sí. Se han preocupado de la velocidad y la privacidad, pero lo que nos interesa en estos momentos es cómo han obtenido los siguientes resultados.

El 99%
Además de una extensa descripción de cómo calcula esa reputación , el informe afirma que «CAMP llega a un 99% de precisión«. De ahí el titular tan llamativo que han tomado prestado todos los medios. ¿Pero qué hay de cierto en esto? Según el informe, el equipo en Google ha hecho lo que hacemos todos los laboratorios: un análisis dinámico en máquina virtual del que se captura tráfico y cambios significativos en el sistema para determinar si un archivo es malicioso o no. ¿Es este método eficaz para determinar si algo es malware? Tal cual suena, no. Un análisis dinámico en máquina virtual deja escapar a una buena parte del malware, todos los analistas lo saben. ¿Qué han hecho entonces para hablar de ese 99% tan rotundamente?
Análisis contra motores y motores contra análisis
Compararon sus análisis en máquina virtual contra VirusTotal, pero con matices. Seleccionaron 2200 binarios nuevos previamente desconocidos para VirusTotal (muestras frescas). Las máquinas virtuales dijeron que 1100 eran goodware y 1100 eran malware. Los enviaron todos a VirusTotal y, con buen criterio, esperaron 10 días. De ahí se concluyó que el 99% de los binarios que Google reportó como maliciosos diez días antes, eran «confirmados» como malware por al menos un 20% de motores antivirus en VirusTotal.
Por supuesto hubo fallos. Dicen que un 12% de sus binarios fueron marcados como limpios por el sistema CAMP pero luego resultaron ser malware según el criterio del 20% de los motores de VirusTotal. Pero se defienden alegando que la mayoría resultaron ser adware, cosa que CAMP deliberadamente no clasifica como malware.
Conclusiones
Está claro que es un sistema muy interesante, que aglutina en el término «reputación» lo mejor de los métodos de detección de malware conocidos. Hablar del 99% de detección, puede ser acertado en este contexto, pero es necesario analizar en profundidad el método para comprender que al final, ese número se sostiene en base a los métodos «fallidos» tradicionales de detección. En otras palabras, el método de reputación sin duda es más efectivo que los medios habituales. ¿Cuánto? Intentar compararlo y afirmar que ofrece un 99% de «precisión» con respecto a métodos que ya conocemos como fallidos, no es necesario, porque de por sí es una comparación viciada.
Porque al final, aunque bloquee mucho malware, están usando máquinas virtuales para confirmar su éxito, para ponerle un número. Esos análisis de las máquinas son contrastados contra unos motores con firmas estáticas en VirusTotal. Ante este método, el sistema ha tenido éxito, pero por cómo lo han evaluado, debemos tener en cuenta que:
  • Las propias casas antivirus suelen detectar muy poco a través de firmas estáticas (desde luego no es la estrategia que más éxito les reporta y basarse demasiado en ellas es precisamente su «condena«).
         
  • Las casas antivirus internamente usan también máquinas virtuales para análisis rápidos dinámicos. Con lo que, aunque más lentamente que CAMP, quizás hayan marcado como malware las muestras exactamente por la misma razón que lo hizo Google en un principio. Así, lógicamente la tendencia es a estar totalmente de acuerdo en ambos métodos. Obviamente, esto es a grandes rasgos. Las casas antivirus usan otros métodos, pero este es el primero y que les ayuda a «descartar» y clasificar rápidamente, algo que por la cantidad de muestras que reciben a diario, es más necesario cada vez.
         
  • Usar máquinas virtuales siempre es una mala idea. El malware profesional, prácticamente las elude de serie, y no realizan ningún comportamiento si saben que están en una.
         
  • No olvidemos que algunos motores se copian entre sí las firmas. Si un motor reputado afirma que una muestra el malware, otros con menos recursos automáticamente también lo harán para ahorrarse el análisis. El hecho de que lo afirmen ocho motores no es tan importante como que lo afirmen algunos más importantes.

Por tanto, tenemos un sistema de comparación viciado. Es cierto que es lo mejor de lo que se dispone en estos momentos si no se realizan los análisis a mano, pero no por ello es menos propenso a equívocos. En resumen, CAMP es efectivo, pero no sabemos «cuánto«. Sabemos que clasificará como malware una buena parte de las muestras antes de que lo «confirmen» los antivirus, pero a costa de un número de falsos positivos que las casas antivirus no se pueden permitir (de ahí que sean más conservadoras y prefieran detectarlo tarde pero «bien«). Además, aunque innovador, muchos antivirus serios en la nube ya hacen este tipo de correlación de datos por reputación, aunque una vez más, son más «conservadores«.
Otros problemas del sistema es que cuando se implemente de serie, los atacantes sabrán saltárselo, sin duda. Así que CAMP será un método eficaz para añadir al arsenal contra el malware, que será rápido y eficaz opinando sobre los archivos descargados, pero desde luego no sabemos en qué medida ni el porcentaje exacto… afirmar que será del 99% es buscar un titular con una metodología cuestionable.
Más información:
CAMP: Content-Agnostic Malware Protection
https://www.cs.jhu.edu/~moheeb/aburajab-ndss-13.pdf
Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Malware

Interacciones con los lectores

Comentarios

  1. Anónimo dice

    12 abril, 2013 a las 11:29 am

    Espectacular análisis, me parece muy acertado.

    Responder
  2. Erwin Vera dice

    12 abril, 2013 a las 6:25 pm

    Interesante e importante, gracias!

    Responder
  3. Juanjo Garcia dice

    13 abril, 2013 a las 9:08 am

    Está claro que las grandes casas siguen haciendo sus análisis de forma que les salgan favorables, Sergio, has hecho un buen trabajo destripándoselo.
    Yo personalmente opino que el software de código abierto es la mejor forma de luchar contra el malware.

    Responder
  4. Isaac Ab. Guzman T. dice

    16 abril, 2013 a las 12:29 am

    Muy Bien,Gracias/

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Técnica permite modificar ficheros PDF con firma digital
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR