Los profesionales de la seguridad coinciden en que la manera correcta para analizar las potenciales APTs es a través de sistemas sandboxing de malware integrados y de alto rendimiento o basadas en la nube, como parte de la estrategia de seguridad unificada. Pero, ¿cómo identificar estos potenciales exploits zero-day?
Fortinet ha elaborado una lista de cinco indicios de exploits y comportamientos que habitualmente suelen producirse en un ataque potencial de APTs.
1. Generación aleatoria de direcciones IP. La carga útil (payload) de algunas APTs incluyen código que aleatoriamente genera cadenas de direcciones IP con el objetivo de ayudar a su propagación.
2. Intentos de conexión de “Comando y Control” (C&C). Una vez infiltradas, las APTs pueden optar por conectar con un servidor de comando y control con el fin de extraer información o para señalizar otros recursos a atacar, como por ejemplo, a través de una botnet. La detección se basa en firmas y control de IPs de los servidores a los que intentan acceder.
3. Mimetismo del host. Una APT puede mimetizar el comportamiento del host o aplicación a la que ataca, para evadir su detección.
4. Ofuscación de JavaScript. En los casos documentados de APTs se recogen numerosas técnicas para ocultar el significado real y la intención que se esconde detrás de un código JavaScript malicioso.
5. Tráfico cifrado. La tendencia a incorporar malware cifrado dentro del payload de las APT eleva el nivel de riesgo del tráfico cifrado.