Lastline publicó un informe que observa la habilidad de los desarrolladores de malware para explotar la limitada visibilidad de los sistemas de análisis de malware automatizados (sandbox) y asegurar que los ataques dirigidos de día cero tengan éxito. El uso  de stalling codes (técnica de evasión en el análisis dinámico de malware) se ha convertido en una creciente tendencia de amenazas evasivas.

El informe menciona dos de las técnicas más utilizadas por los desarrolladores de malware: controles de entorno y stalling codes.

Aunque los controles ambientales fueron bien documentados, el código es la última técnica que se utiliza para distribuir malware. Se retrasa la ejecución de un código malicioso dentro de un recinto de seguridad y en su lugar realiza un cálculo que aparece legítimo. 

Después de agotar su instancia en sandbox, el  malware evasivo se libera para ejecutarse. En el informe se menciona que los stalling codes se convertieron en un problema, ya que no se pueden manejar en las cajas de arenas tradicionales (aunque la trampa sea conocida).

“Las sandnet actuales tienen una visibilidad limitada en la ejecución de malware”, comentó el director de tecnología de Lastline, Giovanni Vigna. “Para lograr la detección de estas nuevas amenazas evasivas, las sandbox necesitan una visibilidad sin limitaciones y hacerlo de modo furtivo, de otro modo, el stalling code ocultaría el malware”.