Técnicas maliciosas anti-análisis II

Como vimos técnicas maliciosas anti-análisis, el volumen de códigos maliciosos que a diario circulan por Internet, dan una idea lo suficientemente concreta sobre el estado actual e importante nivel de problema que representan estas amenazas para la seguridad a nivel global.

Sin embargo, la cuestión con el malware no circula solo en cuanto a la importante cantidad que existe sino que también en torno a su nivel de complejidad, profesionalización y eficacia con el que en la actualidad operan.

Esta situación no es casual, y quizás responde al gradual aumento de creadores de malware que en los últimos tiempos se ha incrementado, generando aplicativos que permiten concebir de forma automática infinidad de variantes de códigos maliciosos, agregando en cada uno de ellos diferentes niveles de complejidad.

Estos niveles de complejidad radican, básicamente, en incorporar en el código del malware diferentes instrucciones destinadas a entorpecer el análisis del binario y/o prolongar su ciclo de vida. Un ejemplo concreto de aplicativo concebido para el desarrollo automático de malware, es el que se observa en la siguiente captura:

Este programa es del tipo cripter (diseñado para intentar dejar un malware “indetectable” por parte de las compañías antivirus) y presenta una serie de opciones destinadas a incorporar mecanismos de autodefensa, como la detección de máquinas virtuales (no deja ser ejecutado en entornos controlados), impide analizar el código del malware con técnicas anti-debugger, entre muchas otras.

Esta aplicación incluso permite agregar funcionalidades adicionales y bastante comunes como terminar procesos, evitar el inicio del sistema en modo seguro, etc. En la siguiente captura se aprecian estas opciones:

El problema más importante de este tipo de aplicaciones pasa por lo sencillo que es crear amenazas con protecciones anti-análisis complejas con solo unos cuantos clics, lo que llamamos malware for dummies.

A pesar de la existencia de este tipo de amenazas, los usuario de ESET NOD32 pueden quedarse tranquilos ya que esta aplicación es detectada de manera proactiva al igual que el malware creado a través de ella.

Jorge

Autor , ESET

Síguenos