Modelo formal instanciado de la muestra de YouKu. Crédito: Vacuna de autostop: Mejora de la remediación de Botnet con reutilización de implementación de código remoto. https://www.ndss-symposium.org/ndss-paper/hitchhiking-vaccine-hancing-botnet-remediation-with-remote-code-deployment-reuse/
Los ataques cibernéticos pueden atrapar flujos de trabajo, poner en riesgo la información vulnerable del cliente y costar a las corporaciones y gobiernos millones de dólares. Una botnet, una red infectada por malware, puede ser particularmente catastrófica. Una nueva herramienta de georgia tecnológica automatiza el proceso de eliminación de malware, ahorrando a los ingenieros horas de trabajo y dinero de las empresas.
La herramienta, Echo, se convierte en malware contra sí misma al explotar sus mecanismos de actualización incorporados y evitar que las botnets se reconstruyan. El eco es un 75% efectivo para eliminar las botnets. La eliminación de malware solía tardar días o semanas en arreglarse, pero ahora se puede resolver en unos minutos. Una vez que un equipo de seguridad se da cuenta de que su sistema está comprometido, ahora puede implementar Echo, lo que funciona lo suficientemente rápido como para evitar que la botnet elimine una red completa.
“Comprender el comportamiento del malware suele ser muy difícil con poca recompensa para el ingeniero, por lo que hemos hecho una solución automática”, dijo Rubze Zhang, un doctorado. Estudiante de la Escuela de Ciberseguridad y Privacidad (SCP) y la Escuela de Ingeniería Eléctrica e Informática.
Los investigadores presentaron el documento, “Vacuna Hitchhiking: mejora de la remediación de Botnet con reutilización de implementación de código remoto”, en la red de febrero y el simposio de seguridad del sistema distribuido (NDSS 2025). El código de código abierto de Echo está disponible en GitHub.
Historia de fondo de botnet
Las botnets han sido un problema desde la década de 1980 y han crecido en potencia recientemente. En 2019, por ejemplo, un malware vicioso llamado Retadup comprometió los sistemas Windows en toda América Latina. Una compañía de ciberseguridad checa, Avast, se asoció con el gobierno francés para eliminar este bot. Invierta el ingeniería del malware, creando efectivamente una “vacuna” para ello en el proceso. Tan efectiva como fue esa solución, no fue fácilmente replicable.
Sin embargo, Brendan Saltaformaggio vio una oportunidad.
“Este es un enfoque realmente bueno, pero fue extremadamente laborioso”, dijo SaltaFormaggio, profesor asociado en SCP. “Entonces, mi grupo se reunió y se dio cuenta de que tenemos la investigación para hacer de esta una técnica científica, sistemática y reproducible, en lugar de un esfuerzo único, impulsado por los humanos y miserables”.
Desglose de botnet
Echo erradica el malware en tres etapas. Primero, determina cómo el malware implementa su código malicioso. Luego, Echo identifica las capacidades de este mecanismo de implementación y descubre cómo pueden reutilizarse para la remediación. A continuación, construye un código de remediación que aprovecha estos mismos mecanismos para deshabilitar el malware. Ese código se prueba y finalmente se empuja al sistema. El equipo probó ECHO en 702 muestras de malware Android y detuvo con éxito el malware en 523 de ellas.
Esperan que el éxito de Echo detenga a los atacantes en seco.
“Una forma en que abordemos los problemas en nuestro laboratorio es encontrar la compensación entre el esfuerzo de los atacantes versus nuestro esfuerzo para luchar contra ellos”, dijo SaltaFormaggio. “Nunca podemos lograr una solución perfecta, pero podemos elevar la barra lo suficientemente alta como para que un atacante no valga la pena usar malware de esta manera”.
Con herramientas como Echo, Botnets se puede eliminar antes de causar daños económicos y operativos. El malware está en constante evolución, pero SaltaFormaggio y su equipo están mejorando sus métodos junto con él. El siguiente ataque de malware es inminente, pero también lo es la solución.
Más información: Vacuna de autostop: Mejora de la remediación de Botnet con reutilización de implementación de código remoto. www.ndss-symposium.org/ndss-pa … DEPLOYMENT-REUSE/
Proporcionado por el Instituto de Tecnología de Georgia
Cita: Spy vs. Spy: una nueva herramienta de extracción automatizada puede detener la mayoría de los malware controlado a remoto (2025, 25 de abril) Recuperado el 25 de abril de 2025 de https://techxplore.com/news/2025-04 spy-automated-tool-remote-malware.html
Este documento está sujeto a derechos de autor. Además de cualquier trato justo con el propósito de estudio o investigación privada, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona solo para fines de información.
