Navegación web más segura con un nuevo método para detectar modos maliciosos

Journal of Electronic Imaging (2022). DOI: 10.1117/1.JEI.31.3.033046″ width=»800″ height=»435″/>

Con la importancia cada vez mayor de Internet en nuestras vidas, cada vez hay más intentos de explotar las vulnerabilidades del software en nuestras PC para beneficio personal. Una forma de hacerlo es infectando la PC de la víctima con un código malicioso inyectado a través de un sitio web. De hecho, es común encontrar sitios web que han sido pirateados y reutilizados para distribuir virus o redirigir a los usuarios visitantes a otras páginas web que contienen códigos maliciosos.

Afortunadamente, los navegadores web modernos implementan medidas de seguridad para detectar códigos maliciosos ocultos en los sitios web antes de que se ejecuten. Estos métodos se pueden categorizar como «detección basada en firmas» y «detección basada en comportamiento». Los métodos basados ​​en firmas detectan amenazas haciendo referencia a una lista previamente creada de «indicadores de compromiso» y verificando si una página web muestra alguno de esos indicadores. Aunque este enfoque ofrece una buena velocidad, no puede detectar ataques nuevos y desconocidos, también llamados «ataques de día cero». Por otro lado, los métodos basados ​​en el comportamiento comparan el estado de una máquina virtual desprotegida antes y después de visitar un sitio web para detectar cualquier cambio sospechoso que pueda haber ocurrido. Si bien este enfoque es más lento, puede detectar ataques de día cero de manera mucho más efectiva.

En un estudio reciente publicado en la Revista de imágenes electrónicas, los investigadores Yong-joon Lee de Far East University y Won-shik Na de Namseoul University, ambos en la República de Corea, informaron sobre un enfoque novedoso para detectar códigos maliciosos ocultos en sitios web. A diferencia de las técnicas existentes, su método gira en torno a la identificación y el análisis de patrones de ataque comunes utilizados durante la distribución de código malicioso en los sitios web.

En su trabajo, los investigadores primero recopilaron los datos necesarios para encontrar patrones de ataque al «rastrear» a través de 500 sitios web dañinos. Analizaron los enfoques que se usaban más comúnmente en estos sitios web para distribuir códigos maliciosos. Luego se centraron en las técnicas de programación y los scripts utilizados en estos códigos maliciosos, como la ejecución de scripts de shell, archivos ejecutables (.exe) o la manipulación sospechosa de cadenas para explotar vulnerabilidades.

Los investigadores contaron la cantidad de veces que se utilizó cada una de estas técnicas en sitios web maliciosos y desarrollaron una ecuación para determinar la «puntuación de riesgo» de un sitio web determinado. Para ello, cuantificaron la fiabilidad de cada una de estas técnicas como un indicador de sospecha centrándose en sus tasas de detección de falsos positivos, es decir, con qué frecuencia un sitio web benigno que usaba estas técnicas se marcaba (incorrectamente) como «malicioso».

Con esta información, la ecuación desarrollada podría identificar los llamados patrones de distribución que utilizan los hackers para propagar código malicioso. «Mientras que los métodos de detección anteriores se enfocan en la ejecución real de código malicioso, nuestro método de detección propuesto puede identificar patrones de distribución maliciosos al analizar los scripts del lado del usuario mientras se consideran las características de los sitios web», dijo Na.

Con base en los 500 sitios web dañinos identificados previamente por Google y Microsoft, los investigadores pudieron establecer la importancia relativa (y el peso) de cada aspecto individual de los patrones de distribución maliciosa. El rendimiento de su enfoque fue sobresaliente, tanto en términos de precisión como de velocidad. «El método propuesto puede detectar eficazmente sitios web maliciosos basados ​​en patrones de secuencias de comandos. La complejidad del algoritmo y su carga en la memoria son, por lo tanto, bajas», dijo Na. Además, el nuevo enfoque también podría detectar con éxito ataques de día cero.

Los investigadores esperan que el método novedoso ayude a reforzar la seguridad de los usuarios de la web y, al mismo tiempo, contribuya a la ciencia y la educación en ciberseguridad mediante la recopilación de información sobre los patrones de distribución de códigos maliciosos. Esperemos que su enfoque llegue al campo.