Hace dos semanas tuvimos la gran oportunidad de participar de la BlackHat y la Defcon, dos de los eventos de seguridad informática mas grandes del mundo, escuchando una gran variedad de ponentes de primera línea. Entre ellas presencié una charla el segundo día de la BlackHat llamada “Flowers for Automated Malware Analysis” dictada por Chengyu Song
Hace dos semanas tuvimos la gran oportunidad de participar de la BlackHat y la Defcon, dos de los eventos de seguridad informática mas grandes del mundo, escuchando una gran variedad de ponentes de primera línea. Entre ellas presencié una charla el segundo día de la BlackHat llamada “Flowers for Automated Malware Analysis” dictada por Chengyu Song y Paul Royal. En ella mencionaban que habían desarrollado una técnica que les permitía crear de manera automática amenazas que no podrían ser analizadas por ninguna sandbox o plataforma de análisis automatizado de muestras.
No es ningún secreto que las empresas antivirus utilizamos herramientas (normalmente desarrolladas a medida) que nos permiten analizar de manera automática grandes caudales de amenazas. Esto es debido a la gran cantidad de muestras diarias que se reciben en los laboratorios. Por ejemplo, desde los Laboratorios de ESET recibimos alrededor de 240.000 muestras únicas diarias. Más allá que la gran mayoría de los análisis realizados son manuales, esta tipo de plataformas son muy útiles al momento de analizar grupos de muestras genéricas.
En la prueba de concepto planteada por Song y Royal ellos proponían, a grandes rasgos, que se creara una amenaza que generara, a su vez, una segunda (dropper o Trojan Downloader) la cual verificaría que estuviera corriendo en el mismo equipo en el cual se ejecutó la primera. Esta verificación sería realizada por medio del ID de la red y el ID del equipo en cuestión los cuales ya estarían guardados dentro de la segunda muestra creada. De esta manera, si se trata de ejecutar dicha muestra en un equipo que no fuera el originalmente infectado esta no correría, evitando en teoría el análisis automatizado de la misma.
La amenaza supuestamente está empaquetada y las comunicaciones que hace por la red viajan cifradas mediante SSL, complicando aún más el análisis automatizado. Pero hablando de esta técnica con uno de los Analistas de Malware del equipo, Javier Aguinaga, llegamos a la conclusión que el talón de Aquiles de esta metodología radica en el empaquetado o protección de la misma. Como referencia histórica, a la fecha no existe ningún packer o protección que no haya sido vulnerada eventualmente. Aplicandolo a este caso, una vez vulnerada dicha protección, la amenaza en algún momento carga en memoria las instrucciones de comparación de estos ID y en ese momento sería posible alterar el resultado de esa comparación logrando así la ejecución de la amenaza. Esto incluso se podría automatizar creando un unpacker o desempaquetador automatizado de la protección utilizada (algo que hemos realizado en el pasado satisfactoriamente) y luego la creación de un script que establezca una serie de breakpoints o puntos de corte al momento de ser ejecutada. Dicho script esperaría hasta que la amenaza cargue en memoria las instrucciones de comparación y las modificaría automáticamente. De esta manera queda demostrado que un análisis automatizado sí sería posible.
Más allá de esta prueba de concepto en particular, siempre es importante recordar que un análisis manual es siempre más efectivo que el automatizado ya que se puede ir ajustando las técnicas a utilizar conforme se profundiza en el mismo. Como empresa Antivirus es nuestra responsabilidad conocer la existencia de estas técnicas incluso antes de que comiencen a ser utilizadas de manera maliciosa, es por eso que eventos como la BlackHat y Defcon son de gran valor para el trabajo que realizamos día a día, y para poder seguir brindando a través de nuestro Laboratorio en Latinoamérica la mejor calidad de atencion ante análisis de malware a nuestros clientes.
Joaquín Rodríguez Varela
Coordinador del Laboratorio de Malware
Discusión