Nephos IT

¿Qué es el malware ofuscado en un servidor?

El malware es un problema muy presente en nuestro día a día y que pone en riesgo la seguridad de nuestros dispositivos y sistemas. Hay muchos tipos de amenazas que de una u otra forma pueden afectarnos y esto hace que debamos tomar siempre las precauciones necesarias. Debemos contar con herramientas de seguridad y los medios adecuados. En este artículo vamos a explicar qué es el malware ofuscado en un servidor y qué podemos hacer para detectarlo.

¿Qué es el malware ofuscado en un servidor?

En primer lugar vamos a explicar qué es la ofuscación de malware en un servidor. De esta forma comprenderemos cómo puede ponernos en riesgo. Básicamente podemos decir que significa convertir un código limpio en uno nuevo. El código ofuscado dará exactamente el mismo resultado que el código original, sin embargo de esta manera el código fuente no será legible para los ojos humanos. Por lo general, se usa para códigos de salida, banca, licencias, etc.

Esto ya nos da una idea del peligro de la ofuscación en un servidor. Lo que hace es que un usuario no sepa realmente si ese código puede ser malicioso y ponernos en riesgo o en realidad se trata de algo legítimo. A fin de cuentas está en cierto modo oculto, sin que podamos leer realmente qué significa y cómo puede afectarnos.

Las herramientas de seguridad han ido perfeccionando la manera en la que logran detectar este tipo de malware. Sin embargo no siempre es eficaz, ya que es común toparnos con falsos positivos. Eso sí, con el paso del tiempo los programas y métodos que podemos utilizar cada vez son más adecuados y reducen la cifra de falsos positivos.

¿Cómo detectar malware ofuscado en un servidor?

Hemos explicado qué es el malware ofuscado y ahora vamos a hablar de qué podemos hacer para detectarlo en un servidor. Ya sabemos que la seguridad es un factor fundamental y es algo que debemos cuidar a todos los niveles.

Como hemos indicado los métodos tradicionales, como puede ser un antivirus, no siempre son eficaces para encontrar este tipo de problemas. El código fuente en muchas ocasiones no es detectado como una amenaza real y eso supone una reducción de las detecciones.

Una opción son las técnicas de detección basadas en firmas de archivo. Lo que hace es rastrear el sistema de archivos que utilizan funciones de PHP que suelen ser utilizadas en malware. De esta forma podemos detectar listas de ofuscadores que puedan comprometer la seguridad.

También está la opción de la función hash, que fue creada como una mejora. Surgió ya que encontrar coincidencias exactas entre la recopilación de código limpio de malware y los archivos requiere muchos recursos. Por eso se creó una solución similar, pero más rápida. Con la función hash podríamos dar una cadena o un archivo y generará una cadena de longitud fija. Cada vez que el código sea el mismo, generará el mismo hash a partir de ese código. Las técnicas de hashing más conocidas son MD5 y SHAx.

Pero claro, el problema es que los piratas informáticos se dieron cuenta de que es bastante fácil encontrar las puertas traseras con estos métodos de detección. Es suficiente cambiar 1 byte, por ejemplo, agregar un espacio y el hash será completamente diferente para que las herramientas anti-malware no lo reconozcan.

Conoce Nephos Sec

Las empresas cada vez son más vulnerables frente a ataques y hackeos que amenazan uno de los activos más importantes de las compañías: sus datos. Nephos Sec se convierte en un elemento indispensable para protegerse.

Seguridad Perimetral
Seguridad Virtual
IPS e IDS
Pentest