El análisis de amenazas automatizado y sus mecanismos de evasión #Segurinfo

Segurinfo 2014 está en marcha. En esta ocasión, les presentamos lo expuesto por Rob Rachwald, Senior Director of Research de FireEye: un análisis de los mecanismos de evasión actuales del malware y la relación con su análisis en entornos virtualizados.

Si tomamos el malware actual y lo comparamos con las amenazas existentes hace unos años atrás, veremos que presenta diferencias. Por un lado, su ciclo de vida tiende a ser más corto: de acuerdo al investigador, un 85% desaparece luego de una hora. Por otro lado, las campañas tienen corta duración, y muchas veces el malware utilizado en ellas se presenta de forma única (es decir, se implementa específicamente con esa finalidad). Vemos entonces a gran parte del malware como malware “descartable” con una utilización específica y no prolongada.

Ante amenazas con estas características, el análisis personalizado de las mismas no es escalable. Es necesario contar con sistemas de análisis de malware automatizados, para que el análisis personalizado mencionado previamente pueda enfocarse en las amenazas más complejas. Ahora, ¿qué se analiza en estas amenazas? Rachwald marcó 3 aspectos principales:

  • Análisis estático: inspeccionar la muestra sin llevar a cabo su ejecución, y llevando a cabo procesos diversos, como por ejemplo determinar si está empaquetada y desempaquetarla, ver sus strings, etc.
  • Análisis de red: ver dónde se comunica la muestra, si descarga archivos, qué tipo de comunicación lleva a cabo, etc.
  • Comportamiento: ejecutar la muestra y ver en detalle qué es lo que hace.

El análisis personalizado se hace obligatorio cuando las muestras presentan métodos para evadir el análisis. Categorizó los mismos en 4 grupos: interacción humana, configuración específica, ambiente específico, y virtualización específica.

  • Interacción humana: una muestra puede por ejemplo ver los cliks que se lleva a cabo, ya que estos están ausentes en ambientes virtualizados.
  • Configuración específica: son configuraciones establecidas en las muestras para lograr saltear el análisis automatizado. Un ejemplo válido es una muestra que “duerme” su comportamiento y lo lleva a cabo luego de un tiempo. Como el análisis automatizado suele llevarse a cabo en poco tiempo (unos minutos), de esta forma la funcionalidad maliciosa quedará escondida.
  • Ambiente específico: códigos maliciosos se ejecutan únicamente en ambientes elegidos con antelación, como por ejemplo malware que afecta una versión de un navegador específica, o un sistema operativo en particular.
  • Virtualización específica: amenazas que usan funciones del sistema para ver si se encuentran en un entorno virtualizado, como por ejemplo analizar si el equipo donde se encuentran tiene un mouse virtual.

Todas estas consideraciones son necesarias para poder determinar el sistema de virtualización más adecuado para el análisis de muestras, de acuerdo a nuestras necesidades. Les invitamos a que se mantengan al tanto de los tópicos expuestos en Segurinfo 2014 a través de nuestro portal.

Autor , ESET

Síguenos