Video: Los malware más devastadores en toda la historia #TopUnocero (Noviembre 2024)
Una persona que huye de la escena del crimen atrae naturalmente el interés de los oficiales que responden. Si la unidad canina encuentra a alguien escondido en un contenedor de basura cercano, la policía definitivamente querrá responder algunas preguntas. Los investigadores de Intel Rodrigo Branco (en la foto de arriba a la izquierda, con Neil Rubenking) y Gabriel Negreira Barbosa han aplicado el mismo tipo de pensamiento para detectar malware. En la conferencia Black Hat 2014 presentaron un caso impresionante para detectar malware basado en las mismas técnicas que utiliza para evadir la detección.
En realidad, los dos han presentado esta técnica en Black Hat antes. "Nuestra expectativa era que la industria AV usaría nuestras ideas (probadas con números de prevalencia) para mejorar significativamente la cobertura de prevención de malware", dijo Branco. "Pero nada cambió. Mientras tanto, mejoramos nuestros algoritmos de detección, corregimos errores y ampliamos la investigación a más de 12 millones de muestras".
"Trabajamos para Intel, pero hacemos validación de seguridad e investigación de seguridad de hardware", dijo Branco. "Estamos agradecidos por todas las excelentes discusiones con los muchachos de seguridad de Intel. Pero cualquier error o broma en esta presentación es totalmente nuestra culpa".
Detección Evasión de detección
Un producto antimalware típico utiliza una combinación de detección basada en firmas para malware conocido, detección heurística de variantes de malware y detección basada en comportamiento para incógnitas. Los buenos buscan malware y comportamientos maliciosos conocidos, y los malos intentan disfrazarse y evitar ser detectados. La técnica de Branco y Barbosa se centra en estas técnicas de evasión para comenzar; esta vez, agregaron 50 nuevas "características no defensivas" y analizaron más de 12 millones de muestras.
Para evitar la detección, el malware puede incluir código para detectar que se está ejecutando en una máquina virtual, y abstenerse de ejecutarse si es así. Puede incluir código diseñado para dificultar la depuración o el desmontaje. O simplemente puede codificarse de tal manera que oscurezca lo que realmente está haciendo. Estas son probablemente las técnicas de evasión más fáciles de entender que los investigadores han seguido.
Los resultados de la investigación y la base de datos de prevalencia están disponibles gratuitamente para otros investigadores de malware. "La base de datos de muestra de malware subyacente tiene una arquitectura abierta que permite a los investigadores no solo ver los resultados del análisis, sino también desarrollar y conectar nuevas capacidades de análisis", explicó Branco. De hecho, los investigadores que desean analizar los datos de nuevas maneras pueden enviar un correo electrónico a Branco o Barbosa y solicitar un nuevo análisis, o simplemente solicitar los datos sin procesar. El análisis lleva alrededor de 10 días, y analizar los datos luego toma otros tres, para que no obtengan una respuesta inmediata.
¿Se aprovecharán otras empresas de este tipo de análisis para mejorar la detección de malware? ¿O se negarán porque piensan que proviene de Intel y, por extensión, de McAfee, subsidiaria de Intel? Creo que deberían darle una mirada seria.
