Los ciberdelincuentes desarrollan constantemente nuevas formas de hacerse invisibles para la detección de amenazas. Utilizando algunas técnicas de evasión, los delincuentes pueden ocultar indicadores maliciosos durante el análisis de malware y el monitoreo del software, tanto en la capa de red como en la detección basada en host.

En detalle, la evasión es uno de los pasos cruciales en el panorama del malware . Se puede realizar de diversas formas con diversas técnicas. Aunque no cubriremos todas las técnicas utilizadas, este artículo recopila algunas de las estrategias de evasión utilizadas por los delincuentes en la naturaleza.

Conciencia ambiental

Cuando se ejecuta malware, a menudo es esencial identificar si se ejecuta dentro de un entorno sandbox o de una máquina virtual. Utilizamos esta técnica para extraer y verificar las configuraciones del sistema y finalizar la ejecución del malware si no se cumplen todas las condiciones.

En resumen, el malware se puede programar para detectar nombres de usuario de sandbox como » virtualbox «, » vmware «, » virtual «, llamadas de hipervisor, procesos de sandbox, dispositivos instalados, registros de puntos de interrupción y bibliotecas de enlaces dinámicos.

Método basado en el tiempo

El enfoque basado en el tiempo es una técnica muy eficaz para eludir el análisis de la zona de pruebas porque el malware se analiza sólo durante un período limitado. Este método incluye varios métodos de evasión, tales como:

La interacción del usuario

La interacción del usuario puede ocurrir de diferentes maneras, como moviendo el mouse o haciendo clic en algo. El malware puede detectar si este tipo de movimiento ocurre en el entorno de destino, incluido el entorno limitado.

Se puede desarrollar malware para ejecutarse después de algunos movimientos de desplazamiento o cuando el usuario abre una carpeta. Por otro lado, comprender las entradas del mouse y el teclado, analizar la velocidad de los movimientos, sus coordenadas y si algo se abre y ejecuta durante el clic es un método popular para la detección de interacción humana.

Con este enfoque, los delincuentes pueden controlar y ensamblar eficientemente todas las etapas de la infección simplemente eliminando los falsos positivos.

Dominio, identificación IP y conexión a internet

Los desarrolladores de malware suelen utilizar este método para identificar fácilmente las empresas objetivo y sus rangos de IP y comprobar si la máquina objetivo puede conectarse a Internet.

Mantener una conexión a Internet cuando se ejecuta una amenaza es esencial porque permite a los delincuentes descargar cargas útiles adicionales y la configuración de malware desde el servidor C2. Este es un comportamiento crucial porque el malware no cargará su configuración en la memoria si falla en los pasos anteriores y la máquina de destino no garantiza una conexión a Internet válida de antemano. Desde el punto de vista de un analista de malware, esto a veces puede resultar complicado porque introduce más complejidad y lleva mucho tiempo analizar la amenaza.

estegosploit

Esta técnica es una forma de ocultar código malicioso dentro de las imágenes. En resumen, se puede crear y distribuir un nuevo exploit de navegador a través de un simple archivo de imagen. Este tipo de cargas útiles son eficientes porque son sigilosas e indetectables.

Puedes encontrar más detalles sobre este método aquí .

Ofuscación, cifrado o compresión de código

Esta es una de las técnicas más populares en el panorama del malware. Partes del malware en el binario inicial se pueden ofuscar o cifrar para evitar el análisis estático y dificultar su comprensión.

Los desarrolladores de malware simplemente cifran las cadenas de malware y las descifran en tiempo de ejecución. Con este enfoque, el analista de malware debe comprender e identificar el bloque de código responsable de descifrar el contenido y la clave utilizada.

Algunos troyanos bancarios populares como Lampion , Javali , URSA , Maxtrilha y Grandoreiro utilizan esta técnica para ocultar su contenido, incluidas las cadenas codificadas, la configuración como la dirección del servidor C2 remoto, los comandos del bot y el tipo de información que se extraerá y recopilará. durante la ejecución, WinAPI se carga en tiempo de ejecución, y así sucesivamente.

Pensamientos finales

Aunque este artículo presenta solo algunas de las técnicas más utilizadas por los desarrolladores de malware, es importante realizar un seguimiento y tener en cuenta que cada día surgen técnicas más sofisticadas y complejas. Esto puede considerarse como el “juego de Tom y Jerry”, y monitorear y analizar las amenazas es la mejor manera de identificar las estrategias de los delincuentes.

En un repositorio proporcionado por CheckPoint es posible analizar, comprender e implementar las técnicas descritas en lenguaje C. Se puede acceder al repositorio aquí .

Fuentes: