Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Técnicas empleadas por los autores de malware para evadir detección
Según el Director de Investigación de FireEye, Zheng Bu, "en el paisaje de amenazas actuales, las cajas de arena (ambientes controlados conocido como sandbox) tradicionales dejaron de ser la bala de plata contra ataques sofisticados". "El malware es cada vez más capaz de determinar cuándo se está ejecutando un ambiente virtual y alterar su comportamiento para no ser detectado.
La detección efectiva requiere analizar el contexto del comportamiento y correlacionar las distintas fases de un ataque a través de un análisis multifactor".
Las metodologías que los autores de malware emplean para evadir los archivos de sandbox típicamente caen en una o más de las siguientes categorías:
- Interacción humana: El malware que implica interacción humana permanece inactivo hasta que detecta señales de dicha interacción. El troyano UpClicker, descubierto por FireEye en diciembre de 2012, usa los clics del ratón para detectar actividad humana, estableciendo comunicación con los servidores maliciosos C&C solo después de detectar un clic izquierdo en el ratón.
- Configuración: Las cajas sandbox imitan a las computadoras que están protegiendo, sin embargo, están configuradas con un conjunto de parámetros definidos. Muchas cajas de arena solo monitorean los archivos por algunos minutos antes de ir al siguiente archivo. Por lo tanto, los cibercriminales simplemente esperan fuera de la sandbox y atacan después de que el proceso de monitoreo está completo.
- Ambiente: El malware a menudo busca explotar fallos presentes en versiones específicas de una aplicación. Si una configuración predefinida dentro de la caja de arena carece de una combinación particular de sistema operativo y aplicaciones, algunas piezas de malware no se ejecutarán, evadiendo la detección.
- Técnicas de evasión clásicas en VMware: VMware, una herramienta popular de máquinas virtuales, es particularmente fácil de identificar debido a su configuración distintiva, la cual es conveniente para los escritores de malware. Por ejemplo, la configuración de VMware permite al malware verificar los servicios antes de ejecutarse.
