Conózca los malwares que escapan a la detección y al análisis

Juniper Networks empezó, en la segunda mitad de este año 2016, la publicación de estudios con el Sky ATP (Sky Advanced Threath Prevention o prevención avanzada de amenazas) que ejemplifican el comportamiento de malwares y cómo los detecta el Sky ATP. El servicio Sky ATP usa una serie de tecnologías innovadoras y puede identificar malwares avanzados y amenazas persistentes de manera automatizada. El primer reporte publicado demostró que el Sky ATP detectó, además de amenazas ya conocidas, nuevas variantes de malwares, incluso diferentes formas de ransomware, trojans, droppers, spyware variados y otros programas potencialmente indeseados. El segundo reporte trae informaciones sobre las amenazas del mes de agosto.

Publicado por Asher Langton, experto en malware e ingeniero de software del equipo de Sky ATP, el estudio es sobre una familia de droppers – programas usados para instalar algún tipo de malware en determinado sistema. Estos programas son muy simples en su concepción, pero muy difíciles de identificar. Entonces, el enfoque de este texto son las técnicas que usan los droppers para evitar su detección y análisis.

Lea enseguida el estudio completo publicado por Asher Langton:

La muestra analizada en el artículo contiene algunas de las informaciones de depuración del autor del dropper, que lo ha nombrado como “ResourceDropper” (recurso cuentagotas):

Conózca los malwares que escapan a la detección y al análisis

El código ejecutable es disfrazado para impedir su análisis estática y el payload final del programa está encriptado. El código compilado resuelve muchas dependencias en tiempo de ejecución, utilizando una llamada del tipo “GetProcAddress”, que es muchas veces usada para oscurecer el funcionamiento subyacente del análisis estático.

Conózca los malwares que escapan a la detección y al análisis

El malware también busca un número de indicaciones que está bajo análisis en una sandbox o un depurador. Él comienza por comprobar directamente si un depurador se ha conectado a él.  

Conózca los malwares que escapan a la detección y al análisis

Enseguida, la muestra accede al "Process Environment Block" para buscar indicaciones indirectas de depuración o análisis y después comprueba específicamente si una serie de productos populares contra malware (usando nombres de productos ofuscados) están en uso contra él:

Conózca los malwares que escapan a la detección y al análisis

El malware aborta su ejecución rápidamente si alguno de los controles antimalware tuvo éxito en romper sus protecciones y se apaga a sí mismo del sistema. Pero si tuvo éxito en esconderse de las herramientas de detección, el malware ejecuta otro archivo malicioso, disfrazado como actualizador del engine de Java. Enseguida, las copias inyectadas del archivo se autoapagan del launch del sistema (otro importante indicador del ataque) y también comprueban si hay señales de que están bajo análisis. En su memoria del proceso, descubrimos que él busca una DLL asociada al famoso sistema de prevención de ataques Sandboxie.

Conózca los malwares que escapan a la detección y al análisis

El malware sigue buscando IDs de productos Windows conocidos por su asociación con ciertos programas sandbox u otros productos antimalware.

Conózca los malwares que escapan a la detección y al análisis

Después de tomar todas estas precauciones, el malware intenta colectar datos del usuario (incluso logins de FTP, como se ve abajo) y abre un backdoor persistente.

Conózca los malwares que escapan a la detección y al análisis

Las técnicas de evasión vistas aquí no son particularmente sofisticadas, pero son eficientes.

El Sky ATP simula la acción de un usuario real, ofreciendo al malware todos los tipos de indicadores de un usuario humano que está presente (movimientos del ratón, acceso a internet y uso de webcam, por ejemplo), comprueba las especificaciones del sistema, para chequear si la máquina parece genuina (¿es un disco rígido bastante grande y existen núcleos de procesador suficientes?) o si exige parámetros específicos de línea de comando, para asegurarse de que no está bajo análisis separadamente del script que lo descargó.

El resultado es una rutina de gato y ratón entre los autores de malware y la industria antimalware, pues los autores de malware intentan retrasar la detección al máximo para asegurarse de que su esfuerzo les proporcione la máxima rentabilidad. Con el Sky ATP, nosotros buscamos decenas de indicadores de que una muestra está intentando identificar un sistema de análisis y evitar la detección. Y seguimos añadiendo nuevas funcionalidades.

Además, el Sky ATP tiene un sistema de aprendizaje de inteligencia artificial, que está entrenado para aprender cómo funcionan los malwares. Este motor de aprendizaje es constantemente actualizado, incluyendo siempre informaciones sobre tipos recientes de malwares evasivos, lo que nos permite detectar nuevos comportamientos conforme evolucionan tales técnicas, incluso cuando todavía no tuvimos contacto con ellas (zero day).

Texto tomado de www.junipernetworksblog.com