Cuando surgen noticias acerca de los ciberataques, en ocasiones se tiende a poner de manifiesto las virtudes que han demostrado los ciberatacantes, como su pericia en la creación del malware, el ingenio de sus técnicas y tácticas o su habilidad para lograr evadir las medidas de protección de las organizaciones.

Sin embargo, también existe un enorme talento entre la comunidad de ciberseguridad cuyos resultados son a menudo más silenciosos: desde desarrollar servicios y soluciones que mantienen a salvo los datos de las organizaciones hasta la salvaguarda de infraestructuras críticas que protegen vidas humanas. En determinadas ocasiones y al igual que ocurre con los servicios de inteligencia, la discreción es deliberada y no ser revelado forma parte de su objetivo, pero en aquellos proyectos que son abiertos y constituyen una contribución importante, el reconocimiento debería llegar y en ocasiones así lo hace. Este el caso de los integrantes del equipo detrás de VirusTotal, como su fundador Bernardo Quintero o el ingeniero Víctor Álvarez.

VirusTotal como origen_

Desarrollado por Quintero y su equipo en 2004, VirusTotal es una herramienta abierta que proporciona análisis de archivos individuales que se pueden subir a su plataforma. Para ello, se sirve de decenas de motores de búsqueda, entre los que se encuentra la tecnología de Panda Security y Cytomic.

Su nombre adquirió fama internacional cuando lograron identificar el origen chino del ciberataque a la empresa estadounidense RSA, vinculada a compañías de defensa como Lockheed Martin y Northrop Grumman. Después, atrajo la atención de Google, que la adquirió. Es por eso que hoy en día es ampliamente utilizada por muchas organizaciones y CISOs, incluso por el Ciber Comando de las Fuerzas Armadas de EEUU.

La navaja suiza de la ciberseguridad_

El año pasado analizamos Mimikatz, una herramienta que los expertos han calificado como “la navaja suiza del cibercrimen”.  Afortunadamente, Álvarez – que trabajo en el equipo de Panda- creó su contraparte metafórica: la “navaja suiza de la ciberseguridad”, como así se denomina a las Reglas YARA.

Las siglas del término simplemente significan “Yet Another Ridiculous Acronym”, según confesó el propio Álvarez en su perfil de Twitter, pero lo más relevante es su cometido: se trata de una herramienta dirigida ayudar a los investigadores a identificar y clasificar muestras de malware. Es decir, permite detectar malware basado en firmas de manera similar a cómo lo hacen las soluciones de antivirus tradicionales.

Cómo funciona YARA_

 YARA es una herramienta multiplataforma que puede ser utilizada tanto a través de su interfaz de líneas de comandos o a través de scripts de Python. En este sentido, las reglas YARA funcionan escritas con expresiones booleanas: cada regla empieza con la palabra clave “rule” seguida de identificadores de la regla que siguen el léxico del lenguaje de programación C. Las reglas están generalmente formadas por dos secciones: la definición de las cadenas de caracteres (strings) y la condición (condition).

La sección de strings es donde las cadenas de caracteres que forman parte de la regla son definidas. Cada string tienen un identificador consistente en un carácter $ seguido de una secuencia alfanumérica. Estos identificadores pueden ser utilizados en la sección de condition con su correspondiente string.

yara-cytomic

En el ejemplo de arriba se le indica a YARA que cualquier archivo que contenga una de las tres (tal y como señala la línea de condition) cadenas de caracteres (strings) que figuran debe ser identificado como “silent_banker” .

 En el ejemplo de arriba se le indica a YARA que cualquier archivo que contenga una de las tres (tal y como señala la línea de condition) cadenas de caracteres (strings) que figuran debe ser identificado como  “silent_banker” .

Dado que las reglas YARA son similares a las firmas utilizadas en las soluciones de antivirus, es lógico que se puedan emplear como una base de datos y para ello existe un repositorio  Github abierto y en constante actualización denominado YaraRules . En cualquier caso, otras plataformas y soluciones pueden reconocer las reglas YARA, entre ellas, Cytomic EDR y Cytomic EPDR, que incluyen no solo la capacidad de detección, búsquedas retrospectivas y en tiempo real de estas reglas sino también de Indicadores de Compromiso (IOC).

Reglas muy útiles pero no suficientes_

Aunque estas reglas tienen una enorme aceptación y han demostrado su utilidad para toda la comunidad de ciberseguridad, es conveniente que las organizaciones, sus departamentos de IT y sus CISO, tengan siempre en cuenta que las reglas y firmas por sí solas pueden resultar insuficientes: los ciberatacantes han desarrollado contramedidas a través de servicios de cifrado, compresión de archivos y polimorfismo que les permite generar malware que es lo suficientemente distinto como para que no coincida con las firmas ya existentes.

Por este motivo, conviene contar siempre con soluciones que no solo tengan en cuenta las firmas, sino que también partan de un enfoque Zero Trust que rechace la ejecución de cualquier binario hasta que se clasifiquen como de confianza, como así hacen las soluciones de ciberseguridad avanzada de Cytomic.