• Registrarse
  • Iniciar sesión


  • Resultados 1 al 8 de 8

    Técnicas empleadas por los autores de malware para evadir detección

    Técnicas empleadas por los autores de malware para evadir detección "En el paisaje de amenazas actuales, las cajas de arena (ambientes controlados conocido como Sandbox) tradicionales dejaron de ser la bala de plata contra ataques ...

          
    1. #1
      Redactor Avatar de Pacman
      Registrado
      abr 2005
      Ubicación
      Silicon Valley
      Mensajes
      1.749

      Mensaje Técnicas empleadas por los autores de malware para evadir detección

      Técnicas empleadas por los autores de malware para evadir detección


      "En el paisaje de amenazas actuales, las cajas de arena (ambientes controlados conocido como Sandbox) tradicionales dejaron de ser la bala de plata contra ataques sofisticados". "El malware es cada vez más capaz de determinar cuándo se está ejecutando un ambiente virtual y alterar su comportamiento para no ser detectado" comenta el Director de Investigación de FireEye.

      La detección efectiva requiere analizar el contexto del comportamiento y correlacionar las distintas fases de un ataque a través de un análisis multifactor".

      Las metodologías que los autores de malware emplean para evadir los archivos de sandbox típicamente caen en una o más de las siguientes categorías:

      • Interacción humana: El malware que implica interacción humana permanece inactivo hasta que detecta señales de dicha interacción. El troyano UpClicker, descubierto por FireEye en diciembre de 2012, usa los clics del ratón para detectar actividad humana, estableciendo comunicación con los servidores maliciosos C&C solo después de detectar un clic izquierdo en el ratón.

      • Configuración: Las cajas sandbox imitan a las computadoras que están protegiendo, sin embargo, están configuradas con un conjunto de parámetros definidos. Muchas cajas de arena solo monitorean los archivos por algunos minutos antes de ir al siguiente archivo. Por lo tanto, los cibercriminales simplemente esperan fuera de la sandbox y atacan después de que el proceso de monitoreo está completo.

      • Ambiente: El malware a menudo busca explotar fallos presentes en versiones específicas de una aplicación. Si una configuración predefinida dentro de la caja de arena carece de una combinación particular de sistema operativo y aplicaciones, algunas piezas de malware no se ejecutarán, evadiendo la detección.

      • Técnicas de evasión clásicas en VMware: VMware, una herramienta popular de máquinas virtuales, es particularmente fácil de identificar debido a su configuración distintiva, la cual es conveniente para los escritores de malware. Por ejemplo, la configuración de VMware permite al malware verificar los servicios antes de ejecutarse.



      Fuente: Net Security



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de klaken
      Registrado
      jun 2009
      Ubicación
      chile
      Mensajes
      790

      Re: Técnicas empleadas por los autores de malware para evadir detección

      Estamos condenados.. condenados

      hablando enserio me parece preocupante ya que la mayoría de los av venden el sanbox como su mayor arma. tanto como para proteger como para detectar nuevos virus

    3. #3
      Usuario Avatar de Vaalenttin
      Registrado
      nov 2012
      Ubicación
      Merida
      Mensajes
      160

      Re: Técnicas empleadas por los autores de malware para evadir detección

      Ahora queda esperar a que al igual que los malwares evolucionan, los antivirus hagan lo mismo a la par. Solo así estaremos a salvo

    4. #4
      Ex-Colaborador Avatar de Hardrive
      Registrado
      abr 2006
      Ubicación
      Argentina
      Mensajes
      4.641

      Re: Técnicas empleadas por los autores de malware para evadir detección

      Cita Originalmente publicado por klaken Ver Mensaje
      Estamos condenados.. condenados

      hablando enserio me parece preocupante ya que la mayoría de los av venden el sanbox como su mayor arma. tanto como para proteger como para detectar nuevos virus
      En realidad, lo que dice el artículo es que los virus (un poco engañoso y amarillista por cierto) están programados para detectar si están ejecutados en un SandBox (cosa bastante fácil en una configuración por defecto para los productos mas populares) y en el caso de estarlo, no ejecutarse. De esta manera, le complican la vida a los investigadores de Malware de tal manera que no se encuentren rastros de infección en un entorno Virtualizado. Esto no significa que el malware en sí rompa la seguridad del SandBox.

      En realidad esto me parece muy poco novedoso, los malwares hacen esto hace una década, hasta al RAT mas viejazo viene con la opción para no ejecutarse si se detecta que se encuentra ejecutado desde una maquina virtual.


      De todas maneras, el hecho de que esto suceda esta apuntado mayormente a los analistas de malware (aunque sobre esto están más que conscientes, por lo cual sus máquinas virtuales están modificadas para no ser detectadas), por lo cual si eres un usuario normal, y ejecutas un ejecutable infectado sobre una sandbox, no solo tu sistema host no será infectado si no que tampoco tu sistema guest.

      La conclusión sería qué, los SandBox si que sirven dado hasta que los malwares ni siquiera intentan saltarlos (prefieren no ejecutarse en estos entornos para no levantar sospecha que hacer cualquier cosa), aunque cabe resaltar que si recién empiezas en el mundillo del analisis de malware no basta solo con correr VMWare/VirtualBox por defecto, hace falta un poco de tuneo.

      Dicho sea de paso dejo un enlace en SecurityByDefault con un poco más de info sobre este tipo de cuestiones y como personalizar VirtualBox para este tipo de análisis.


      Modificar Virtualbox para analizar malware con detección de máquina virtual. ~ Security By Default

      Como conclusión, si descargas algo que tiene pinta de malo de la red, ejecutalo siempre en el SandBox, no creas porque al ejecutarlo una vez dentro de él y no habiendo sucedido nada ya estarás a salvo, siempre ejecutalo allí en la medida de lo posible, no te fíes jamás.

      Y si eres analista de malware ten en cuenta estas técnicas que si no irás por mal camino.


      Saludos
      Última edición por Hardrive fecha: 14/08/13 a las 00:11:01
      Linux User Registered #451400

    5. #5
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Técnicas empleadas por los autores de malware para evadir detección

      Cita Originalmente publicado por Hardrive Ver Mensaje
      En realidad, lo que dice el artículo es que los virus (un poco engañoso y amarillista por cierto) están programados para detectar si están ejecutados en un SandBox (cosa bastante fácil en una configuración por defecto para los productos mas populares) y en el caso de estarlo, no ejecutarse. De esta manera, le complican la vida a los investigadores de Malware de tal manera que no se encuentren rastros de infección en un entorno Virtualizado. Esto no significa que el malware en sí rompa la seguridad del SandBox.
      En realidad el articulo está hablando de las Sandbox que algunos Antivirus incluyen, no en sí de los malwares que están diseñados para evitar correr en entornos virtuales que como bien comentas existen desde hace mucho y que la mayoría de los que nos dedicamos a analizar código malicioso tenemos nuestros bancos de pruebas preparados para esto.

      La Sandbox de algunos Antivirus está siendo saltada "literalmente" al programar al malware para que si detecta este ambiente, espere su ejecución maliciosa, hasta que el "Sandbox del Antivirus" le dé luz verde para ejecutarse en el equipo y así poder infectarlo.

      Ya si Sandboxeas (que linda palabra) todo tu disco con Sandboxie u otro programa, o utilizas directamente una MV es otra cuestión y ahí ya los malwares no tienen nada que hacer.


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Ex-Colaborador Avatar de Hardrive
      Registrado
      abr 2006
      Ubicación
      Argentina
      Mensajes
      4.641

      Re: Técnicas empleadas por los autores de malware para evadir detección

      Cita Originalmente publicado por ElPiedra Ver Mensaje
      En realidad el articulo está hablando de las Sandbox que algunos Antivirus incluyen, no en sí de los malwares que están diseñados para evitar correr en entornos virtuales que como bien comentas existen desde hace mucho y que la mayoría de los que nos dedicamos a analizar código malicioso tenemos nuestros bancos de pruebas preparados para esto.

      La Sandbox de algunos Antivirus está siendo saltada "literalmente" al programar al malware para que si detecta este ambiente, espere su ejecución maliciosa, hasta que el "Sandbox del Antivirus" le dé luz verde para ejecutarse en el equipo y así poder infectarlo.

      Ya si Sandboxeas (que linda palabra) todo tu disco con Sandboxie u otro programa, o utilizas directamente una MV es otra cuestión y ahí ya los malwares no tienen nada que hacer.


      Salu2
      Pues si te fijas en el PDF de FireEye, en ningun momento se especifica que habla sobre los SandBox de los antivirus.

      Aqui el link: http://www.fireeye.com/resources/pdfs/fireeye-hot-knives-through-butter.pdf

      Note: The term “sandboxing” is a broad concept that includes many forms of isolating code. This report
      focuses on file-based sandboxing that uses instrumented virtual-machine (VM) environments to simulate
      targeted computers, execute unknown files, and monitor those files’ activity for reporting and analysis.
      The techniques outlined in this report render VM-aware malware invisible to this category of sandboxing.
      Detecting them requires analyzing the context of behavior and correlating disparate phases of an
      attack through multi-flow analysis—which is how FireEye®
      researchers identified the malware samples
      outlined in this report.
      Malware defenses have had to evolve. Instead of relying on signatures, automated analysis systems
      examine malware behavior using sandboxing. These self-contained simulated computer environments
      allow files to execute without doing any real damage. Observing the files in these virtual environments,
      security systems can flag suspicious behavior, such as changes to the operating system or calls to the
      attacker’s command-and-control (CnC) servers.
      But attackers have evolved, too. Mindful that their code may execute in a sandbox before it reaches
      its target, malware authors are creating VM-aware code that hides any telltale behavior until it has
      reached “live” prey. Observing no suspicious actions in the sandbox, the security analysis deems the
      code harmless.
      The key for malware authors is determining whether the code is running in a virtual environment or on a
      real target machine. To that end, malware authors have a developed a variety of techniques.
      Es mas, si te fijas en el articulo tambien da como ejemplo a VMware
      Saludos

      PD// De todas maneras lo que dices es cierto, el articulo se refiere mas que nada al analisis automatico por SandBox, pero mas que nada a las que utilizan las empresas antimalware para analizar las muestras y no a lo de los antivirus en si.

      Tambien he encontrado la siguiente transparencia de la BlackHat que es mas breve de leer:
      https://media.blackhat.com/us-13/US-13-Singh-Hot-Knives-Through-Butter-Evading-File-Based-Sandboxes-Slides.pdf
      Última edición por Hardrive fecha: 14/08/13 a las 20:47:00
      Linux User Registered #451400

    7. #7
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Técnicas empleadas por los autores de malware para evadir detección

      Hola Hardrive,

      No había tenido tiempo de pasar por este tema, pero no quería dejar de responder diciendo que SI, tienes toda la razón... la gente de FireEye expuso esto en la conferencia BlackHat 2013 enfocado principalmente en el Sandbox de los analistas de malwares.

      Me había confundido con otro paper de otra gente que habla más específico sobre como saltarse la Sandbox de los Antivirus mediante diferentes técnicas como las que describía FireEye de esperar determinado tiempo inactivo, esperar a que se pulse determinadas veces el botón derecho del mouse y otras cuestiones que pueden hacer que la tecnologia especifica de Sandbox en los Antivirus sea saltada.




      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #8
      Ex-Colaborador Avatar de Hardrive
      Registrado
      abr 2006
      Ubicación
      Argentina
      Mensajes
      4.641

      Re: Técnicas empleadas por los autores de malware para evadir detección

      Cita Originalmente publicado por ElPiedra Ver Mensaje
      Me había confundido con otro paper de otra gente que habla más específico sobre como saltarse la Sandbox de los Antivirus mediante diferentes técnicas como las que describía FireEye de esperar determinado tiempo inactivo, esperar a que se pulse determinadas veces el botón derecho del mouse y otras cuestiones que pueden hacer que la tecnologia especifica de Sandbox en los Antivirus sea saltada.
      Pues yo tambien he leído algo de eso, pero era particularmente de Avast!, quizas has leido lo mismo que yo.
      Linux User Registered #451400