Análisis de malware
¿Qué son los ejecutables empaquetados?
26 de marzo de por Mateo Jones
Introducción
La batalla entre la ciberseguridad y los archivos maliciosos está en constante cambio, ya que las porterías siempre cambian. Cada vez que los analistas descubren una manera de aplicar ingeniería inversa a un tipo particular de malware, los piratas informáticos socavan sus esfuerzos con cifrado más complejo y nuevas técnicas de ofuscación. Esto significa que las medidas de seguridad de su computadora y de sus datos deben estar actualizadas para garantizar la seguridad de su hardware, software e información.
Dicho esto, existen algunas técnicas de ofuscación comunes que han cambiado muy poco con el tiempo. Uno de los métodos más comunes utilizados por los piratas informáticos es el archivo ejecutable empaquetado. Pero ¿qué son exactamente los ejecutables empaquetados? ¿Y para qué sirven? Responderemos a estas dos preguntas y más. Pero primero definamos el término «archivo ejecutable».
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
¿Qué es un archivo ejecutable?
Generalmente, un archivo ejecutable se puede distinguir fácilmente de un archivo de datos. Un archivo de datos almacena información (o datos) en una computadora. Puede abrir un archivo de datos y leer o modificar los datos. En la mayoría de los casos, los archivos de datos no contienen código ejecutable.
Alternativamente, un archivo ejecutable realiza una función particular en una computadora. Cuando se abre un archivo ejecutable, la función se «ejecuta» de acuerdo con el código contenido en el archivo. A diferencia de los archivos de datos, los archivos ejecutables no se pueden leer porque están escritos en un lenguaje de programación compilado.
Generalmente puedes identificar un archivo ejecutable por su extensión. En la mayoría del software basado en Microsoft, los archivos ejecutables terminan en .COM o .EXE; en macOS, terminan en .DMG o .APP. En cualquier caso, estos archivos comenzarán las operaciones designadas tan pronto como se abran.
¿Qué es empacar?
Ahora que comprende un archivo ejecutable, podemos observar el acto de «empaquetar». Cuando se empaqueta un archivo ejecutable, el código ejecutable se comprime. Esto significa que el código se puede modificar sin cambiar la función subyacente del archivo. En esencia, empaquetar significa simplemente cambiar la apariencia del código ejecutable sin cambiar nada sobre el propósito del archivo.
La función de los ejecutables empaquetados.
Empaquetar un archivo ejecutable ayuda a reducir el tamaño de los archivos y los protege contra la ingeniería inversa. Sin embargo, también puede utilizarse con fines maliciosos. Por ejemplo, digamos que un hacker quiere empaquetar un archivo ejecutable que funciona como malware. ¿Por qué harían esto? Probablemente empaquetarían el archivo porque dificulta su acceso y análisis.
Cuando se cambia el código de un archivo, es más difícil determinar la función del archivo. Si el archivo es malicioso, esto significa que necesitará dedicar más tiempo a realizar ingeniería inversa para analizar sus efectos. Entonces, si bien los ejecutables empaquetados son una excelente manera de ahorrar espacio y proteger archivos, también son un método común para ocultar archivos maliciosos.
Conclusión
En resumen, los ejecutables empaquetados son archivos ejecutables que han sido comprimidos. Si bien las razones por las que es necesario comprimir un archivo ejecutable varían, «empaquetar» siempre tiene un resultado final similar. Un archivo empaquetado es más pequeño y más difícil de analizar. Como resultado, los ejecutables empaquetados se utilizan comúnmente como técnica de ofuscación de malware.
Si desea obtener más información sobre la ingeniería inversa de ejecutables empaquetados, consulte este útil artículo .
Fuentes
- Archivo ejecutable , Esperanza informática
- Mozgalo: detección de archivos ejecutables empaquetados , laboratorios de inversión