¿Qué dicen 8 millones de muestras de malware cuando las analizas?

Continuando con algunas de las charlas y novedades de BlackHat USA 2014, compartimos en este post una interesante y profunda investigación realizada por Rodrigo Branco y Gabriel Negreira Barbosa. En su charla “Prevalent Characteristics In Modern Malware”, estos investigadores mostraron los resultados del análisis de más de ocho millones de muestras de malware.

¿Qué fue lo que hicieron?

En pocas palabras, y sin mucho detalle, estos investigadores tomaron un gran set de malware y automatizaron el análisis, estático y dinámico, para recolectar información; luego estudiaron y catalogaron la información para buscar patrones, tendencias e información relevante sobre estas amenazas. Como se podrán imaginar, necesitaron de grandes capacidades de procesamiento y memoria. Según comentaron durante la charla, contaron con más de 8 CPUs y 192 GB de memoria RAM.

¿Cuáles fueron los hallazgos más importantes?

El análisis de tales cantidades de malware permite la búsqueda de patrones y técnicas utilizadas por los cibercriminales. Entre los puntos destacables podemos comentar acerca de las técnicas de evasión y protección que se hallaron en el total de los códigos maliciosos estudiados, como por ejemplo, packers, técnicas de anti-debugging, anti-dissasembly y anti-vm.

En cuanto a los packers, quizás no sorprende, pero UPX continúa siendo el packer más utilizado por los cibercriminales, seguido por PECompact en segundo lugar. Si bien ya hemos hablado sobre cómo extraer malware empaquetado con estos packers, los creadores de códigos maliciosos continúan eligiéndolos al momento de proteger sus amenazas.

Hablando sobre malware que se protege ante la ejecución en máquinas virtuales, los resultados relevaron las instrucciones anti-vm más utilizadas en los códigos maliciosos. Si bien este punto parece no tener mucha importancia, al momento de analizar nos da un indicio de qué técnicas estamos más propensos a buscar y de esa manera saber cómo encarar un análisis.

No vamos a enumerar aquí todas las técnicas, pero para aquellos curiosos que quieran ver un poco más de contenido sobre anti-debugging y anti-vm les recomiendo que accedan a este artículo (en inglés), donde encontrarán una lista completa de las técnicas más comunes y su implementación.

Ya que mencionamos el tema de anti-debugging, una técnica utilizada para complicar el análisis dinámico de una amenaza con la ayuda de un debugger, el resultado del estudio mostró un cambio con respecto a la información que habían presentado en 2012. El 20,76% de las amenazas que se analizaron y que presentaban alguna función de anti-debugging detectaban hooks existentes en la aplicación y finalizaban en el caso de que lo encontraran. Esta técnica se encuentra presente en algunas familias de códigos maliciosos desplazó al uso de la API de IsDebuggerPresent() de Win32.

¿Qué otros valores se tuvieron en cuenta?

Otro de los puntos bajo análisis está relacionado con el número de secciones con las que cuenta cada amenaza; lo más habitual es que cada archivo cuente con un total de entre 3 y 5 secciones, donde el 61,9% de las amenazas tiene una sola sección ejecutable.

¿Por qué son útiles estudios como este?

Quizás es una pregunta que muchos de ustedes se hagan hasta este momento, o no le encuentren una lógica a este tipo de investigaciones. Sin embargo, estudios como el que realizaron estos dos investigadores permiten identificar ciertos tipos de patrones comunes a todas las amenazas. Una vez que se cuenta con los resultados, estos se pueden utilizar para encontrar patrones y similitudes entre el malware, lo que ayuda a identificar nuevas variantes, cambios en amenazas ya conocidas o definir nuevas reglas de detección de una manera proactiva.

Investigaciones futuras…

A futuro, y como un desafío, estudios similares sobre archivos maliciosos y programas benignos permiten minimizar la cantidad de falsos positivos, identificar proactivamente campañas de distribución y por sobre todo aumentar los conocimientos sobre las amenazas y como estas cambian con el paso del tiempo.

Seguiremos compartiendo con ustedes otras charlas y momentos de la Black Hat USA 2014.

Créditos imagen: ©Universitetssykehuset Nord-Norge (UNN)/Flickr

Autor , ESET

Síguenos