EF483 - Eurofach Electrónica

INVESTIGACIÓN 47 run-time packers o self-extracting files/archives o executable com- pression). Su objetivo es ocultar los diferentes módulos de la carga útil del malware. Es software que se desempaqueta enmemoria cuando se ejecuta el fichero empaquetado. Este tipo de compresión permite hacer más pequeños los ficheros, de modo que se desempaquetan automáticamente antes de ejecu- tarse. Esta tecnología se utilizaba hace tiempo para usos benignos, pero actualmente si vemos algún tipo de empaquetador utilizándose casi siempre es para propósitos mali- ciosos. El packer hace más difícil la ingeniería inversa y la ‘huella dactilar, traza o firma’ en el dispo- sitivo infectado es más pequeña. Utilizando la técnica del packing el malware construye un ejecutable o extrae código adicional durante el tiempo de ejecución desde el código almacenado dentro de él o en un fichero separado. (3)Utilización de crypters. Su objetivo es ocultar los diferentes módulos de la carga útil del malware. Es software que en su carga útil está el malware. No sólo cifra el fichero, sino que el software del crypter ofrece muchas opciones para ocultar un ejecuta- ble de la detección por parte de las herramientas antimalware. El crypter es no detectable al menos por un tiempo entonces cambia sus ficheros de nuevo si al final es detectado. (4)Utilización de protectores. Su objetivo es ocultar los diferentes módulos de la carga útil del malware, por ejemplo, rasomware, en este caso no necesita un servidor C&C para comunicar la clave de cifrado ya que puede estar en el propio ransomware (hard-coded), un ejemplo es Locky- Bart que utiliza wprotect basado en virtualización de código open-source. Es software que impide la alteración y la ingeniería inversa del malware. Los métodos utilizados son una serie de capas de empaquetamiento, cifrado, compresión, etc. Un enfoque diferente del protector, denominado v-protector emplea virtualización de código que utiliza un conjunto de instrucciones virtuales diferente y personalizado cada vez que se utiliza para proteger la aplicación en este caso el malware. Las técnicas que utiliza el malware para impedir/difi- cultar que lo detectemos generan infinidad de variantes de dichos malware. El resultado es que casi todas las herramientas antimalware comercializadas son incapaces de detectar tal cantidad de variantes de dichos malware. (5)Utilización de diseminación especí- fica, puntual y dirigida. El malware se centra en un entorno o entornos específico(s) y no infecta otros sis- temas. La infección se lleva a cabo utilizando medios como spear- phishing dirigido, malvertising con IP específica, etc. (6)Residente en memoria. El malware (tipo fileless) no existe sobre el sis- tema de ficheros y se ejecuta sólo en memoria principal. Una vez que el dispositivo de computación se apaga el malware y la ciber-evidencia de su ejecución desaparecen del sistema previamente infectado impidiendo conocer su existencia. (7)Comprobación del entorno. El malware comprueba para ver si se le esta, vigilando-analizando como aplicar un debugger o emular o se le ejecuta sobre unamáquina virtual, en ese caso detiene su ejecución o redirige el flujo de ejecución a un camino alternativo. Ejemplos de comprobaciones son los flags debug, la presencia de ciertos procesos o aplicaciones, las comprobaciones de timing, los puertos especiales de E/S demáquina virtual, etc. Si unmalware avanzado se confina (en sandboxing, VM, DMZ) posiblemente se escapará. DETECCIÓN DE MALWARE BASADA EN ANOMALÍAS Y EN FIRMAS La detección de malware basados en anomalías (pueden ser de enfoque estático, dinámico o híbrido) utiliza el conocimiento de lo que constituye el comportamiento normal para decidir la peligrosidad de un programa bajo inspección de infección malware. Un tipo especial de detección basada en anomalías se denomina detección basada en especificación que se caracteriza por utilizar alguna espe- cificación o conjunto de reglas de lo que es comportamiento válido para decidir la peligrosidad de un programa bajo inspección, los programas que no cumplen la especificación se con- sideran anómalos es decir maliciosos (malware). La detección basada en anomalías opera en dos fases: (1) Fasedeaprendizaje, entrenamiento o learning. En esta fase el detector intenta aprender el comportamiento normal. El detector durante esta fase puede aprender el comportamiento de un dispositivo de computación (por ejemplo, su horario de uso si es un computador de una empresa con horario establecido) o del programa PUI (Program -detec- ción estática- /process -detección dinámica- Under Inspection) o una combinación de ambos. (2) Fasededetecciónomonitorización. En esta fase se vigila/monitoriza para observar lo que hace el fichero bajo inspección y se actúa. Por ejemplo, si no se observa una excepción-anoma- lía durante la fase de entrenamiento y sin embargo si se observa durante la fase de monitorización esto daría lugar a una alarma de error. Una ven- taja clave de este tipo de detección es su capacidad de detectar cibe- rexploits/ciberataques 0-day (que no se conocen previamente). Como principales limitaciones de este tipode detección es su tasa alta de falsas alarmas (falsos positivos significa que el detector avisa de un malware que realmente no existe, y falsos negativos cuando el detector acepta un fichero como no infectado cuando de hecho está infectado) y la complejidad a la hora de determinar qué características se deben aprender en la fase de entre- namiento. En la detección dinámica de malware basada en anomalías la infor-