Llegamos a ustedes gracias a:



Noticias

La sandbox SandBlast de Check Point le dice Q.E.P.D. a los ataques ROP

[09/09/2015] Check Point está haciendo upgrade a su tecnología de sandboxing para que ésta atrape los ataques más temprano en el proceso y haga que sea más difícil para los adversarios evadir la detección.

De nombre SandBlast, el nuevo software monitorea la actividad del CPU en busca de anomalías que indiquen que los atacantes están utilizando métodos sofisticados que pasarían desapercibidos con la tecnología de sandboxing tradicional, según Nathan Shuchami, jefe de ventas de prevención de amenazas de Check Point.

Las sandboxes tradicionales, incluyendo la de Check Point, determinan si los archivos son legítimos abriéndolos en un entorno virtual para ver lo que hacen. Para atravesar las sandboxes los atacantes han ideado técnicas de evasión, como retrasar la ejecución hasta que la sandbox se rinda o mantenerse en estado latente hasta que la máquina que está tratando de infectar se reinicie.

SandBlast frustra la técnica de evasión llamada Return Oriented Programming (ROP), que permite la ejecución de código ejecutable malicioso sobre los archivos de datos a pesar de la protección que ofrece la Data Execution Prevention (DEP), una muy usada característica del sistema operativo cuya función es evitar que se añada código ejecutable a los archivos de datos.

La ROP hace esto tomando partes legítimas del código llamadas gadgets y ejecutándolas para forzar al archivo a crear una nueva página de memoria donde se puede cargar el código shell malicioso para obtener privilegios de ejecución. Este proceso hace que el CPU responda a llamadas que vuelven a direcciones diferentes a aquellas desde las cuales comenzaron.

SandBlast tiene un motor de detección a nivel del CPU que recoge esta anomalía y bloquea la actividad. El motor está disponible ya sea en un appliance en los centros de datos de los clientes o como un servicio de nube que sale de la nube de Check Point. El motor se basa en características de la arquitectura de CPU Haswell de Intel, dice Shuchami.

El appliance y el servicio ya habían estado disponibles para la actual oferta de sandbox de Check Point, llamada Threat Emulation, y para los clientes que ya la tenían SandBlast es un upgrade sin costo adicional. Para los nuevos clientes, el servicio cuesta entre 3.500 y 30.000 dólares por año y por gateway de Check Point. Los appliances se en encuentran desde 27 mil a 200 mil dólares. Estos son los mismos precios que Check Point cobra por Threat Emulation sin SandBlast.

Check Point también está introduciendo una función llamada Threat Extraction que hace seguro abrir documentos rápidamente antes de que se puedan ejecutar a través de la sandbox. Convierte documentos de Word en archivos PDF, lo cual neutraliza el malware que pueden contener, dice Shuchami. También puede convertir archivos PDF a archivos PDF para lograr el mismo fin.

Esto hace que sea seguro ver el contenido de los documentos rápidamente, mientras que la sandbox funciona en segundo plano. Si el usuario necesita el original, éste se encontrará a su disposición luego de que la sandbox encuentre que es benigno, afirma.

Alternativamente, Threat Extraction podría eliminar macros, Javascript, enlaces y otras características potencialmente maliciosas, pero eso no hace que los archivos sean tan seguros como cuando se los convierte, indica.