Las puertas de enlace web seguras (SWG) se han utilizado durante casi dos décadas para monitorear el tráfico de red, bloquear archivos y sitios web maliciosos y proteger a las empresas de amenazas basadas en la web. Muchas empresas ahora confían en que sus SWG detectarán todo el malware conocido, como lo prometieron en sus SLA. Sin embargo, simplemente cortando el malware, puede evadir con éxito el SWG y entregar su carga maliciosa al punto final. Desde que los investigadores de SquareX expusieron estos ataques a la seguridad del navegador, tanto los clientes como los proveedores se sorprendieron al ver con qué facilidad estos ataques pueden evadir SWG.
Fragmentación de archivos: técnica que descompone el malware en fragmentos pequeños e indetectables.
Los ataques de fragmentación de archivos aprovechan el hecho de que los SWG y los servidores proxy en la nube analizan el tráfico de red y los archivos individualmente (una solicitud a la vez). En estos ataques, un atacante malintencionado divide un archivo de malware en varias partes más pequeñas y las entrega individualmente al navegador del cliente. Cada pieza es demasiado pequeña o parece benigna por sí sola, por lo que el SWG desconoce la intención maliciosa general, lo que permite que los fragmentos pasen sin ser detectados.
Una vez que todos los fragmentos se entregan al navegador de la víctima, el código JavaScript del atacante vuelve a ensamblar las piezas en el lado del cliente para crear un malware ejecutable completo. Esto podría ser ransomware, spyware u otras formas de malware, y cuando esté completamente formado y descargado en el dispositivo cliente, el SWG ya habrá fallado.
SWG es excelente para detectar y bloquear archivos maliciosos conocidos cuando aparecen en su totalidad. Funciona escaneando el tráfico de la red en busca de firmas de malware conocidas o utilizando AI/ML para detectar patrones sospechosos.
Sin embargo, un SWG típico o un proxy en la nube inspecciona cada solicitud de red o flujo de datos individualmente. Estas soluciones no tienen estado, por lo que no se conserva memoria de solicitudes anteriores. SWG no tiene contexto sobre si todas las solicitudes se originan en la misma pestaña o ventana del navegador, por lo que no puede saber si una serie de fragmentos aparentemente inofensivos se pueden combinar en la misma pestaña para convertirse en algo peligroso.
Estas restricciones permiten a los atacantes distribuir malware conocido a los empleados corporativos mediante fragmentación de archivos.
Varias técnicas de fragmentación
Los atacantes han desarrollado varias técnicas de fragmentación para evadir aún más la detección. A continuación se muestran algunos métodos utilizados habitualmente.
Ataque de división directa: el archivo malicioso se divide en varias partes más pequeñas y se envía al navegador por separado. El SWG pasa cada fragmento porque estas partes son demasiado pequeñas para activar una alerta de seguridad. Una vez que todas las piezas llegan al lado del cliente, JavaScript vuelve a ensamblar y ejecuta el malware. Ataque dividido inverso: en esta variación, cada fragmento no solo se divide sino que también se invierte. Esto significa que, aunque algunas soluciones de seguridad intentan detectar patrones en las partes individuales, el contenido invertido parece benigno. Una vez que se entregan todas las piezas volteadas, se devuelven a su forma original y se vuelven a ensamblar antes de ejecutar el malware. Ataque de tamaño aleatorio: aquí, el archivo se divide en fragmentos de tamaño aleatorio, lo que hace que sea más difícil de detectar. Los trozos varían en tamaño y no siguen un patrón predecible, lo que hace que tomar huellas dactilares de estas partes sea casi imposible. Nuevamente, una vez entregadas todas las piezas, el malware se vuelve a ensamblar en el lado del cliente. Ataque de combinación y combinación: este método combina técnicas de división inversa y tamaño aleatorio para crear un conjunto de fragmentos de archivos altamente ofuscados que dificultan aún más la detección. Una vez entregado al cliente, JavaScript reconstruye el malware invirtiendo y haciendo coincidir piezas de tamaño aleatorio.
Además de estos, los atacantes han aprovechado más de 30 desvíos de SWG para penetrar en las redes corporativas. Para protegerse contra estos ataques, las empresas están adoptando nuevos enfoques de seguridad nativos del navegador que pueden detectar la actividad del lado del cliente dentro del navegador y evitar que se descargue malware incluso antes de que salga del navegador. Sin esta capa adicional de protección, las empresas siguen siendo vulnerables a ataques que explotan las limitaciones de las soluciones de proxy en la nube.
https://itbrief.asia/story/attackers-break-malware-into-tiny-pieces-and-bypass-your-secure-web-gateway
