Investigadores de Microsoft presumen una nueva herramienta anti malware que puede ser usada para derrotar los llamados ataques Drive-by, en los que las computadoras de los usuarios son infectadas sin haber instalado propiamente el software malicioso.
De acuerdo a los investigadores, estos ataques se basan comunmente en vulnerabilidades de JavaScript a los que las herramientas tradicionales de análisis de malware estático y dinámico no pueden detectar.
Estos ataques basados en JavaScript tienen como objetivo específico, navegadores de Internet que ejecuten ciertas funcionalidades extras. Mientras el malware no detecte esa característica, la trampa no se activará, lo que la hace difícil de encontrar.
Es por eso que Benjamin Livshits y Benjamin Zorn del área de Investigación y Desarrollo de Microsoft, en conjunto con Clemens Kolbitch de la Universidad Técnica de Vienna han desarrollado una máquina virtual como herramienta para detección de dichas amenazas llamada Rozzle.
Rozzle es una máquina virtual de JavaScript que puede simular diferentes ambientes y características para aumentar la detección de amenazas. En efecto, contiene una herramienta para diseccionar malware oculto en JavaScript.
La herramienta fue puesta en ejecución para compararla con un detector de malware en tiempo de ejecución con más de 65,000 muestras de malware. La herramienta tradicional solo detectó el 2.5 % mientras que Rozzle logró una taza de detección de 17.5 %. A pesar de que estuvo muy alejada de la perfección, demuestra la efectividad de la herramienta, explicaron los desarrolladores.
"El objetivo de nuestro trabajo es incrementar la efectividad de un motor de búsqueda dinámico para malware, que además sea capaz de simular varios navegadores de internet y diferentes configuraciones." Explican en su trabajo de investigación.
Además, demostraron que Rozzle es tres veces más efectivo que las herramientas tradicionales para exhibir URLs maliciosas.
A principios de año, la firma de seguridad FireEye advirtió que los creadores de malware mostraban una inclinación por las vulnerabilidades de JavaScript debido a que es imposible que las compañías puedan contener la gran cantidad de dispositivos que ejecutan JavaScript.
Rozzle es presentado el día de hoy en el simposio internacional de la IEEE, IEEE Symposium on Security and Privacy, que se lleva a cabo en la ciudad de San Francisco, California, Estados Unidos.
Fuente: V3
0 comentarios:
Publicar un comentario