{"id":2798,"date":"2023-05-16T08:20:38","date_gmt":"2023-05-16T08:20:38","guid":{"rendered":"https:\/\/www.all4sec.es\/blog\/?p=2798"},"modified":"2023-06-14T16:11:50","modified_gmt":"2023-06-14T16:11:50","slug":"tecnicas-de-evasion-del-malware","status":"publish","type":"post","link":"https:\/\/all4sec.es\/blog\/index.php\/2023\/05\/16\/tecnicas-de-evasion-del-malware\/","title":{"rendered":"T\u00e9cnicas de evasi\u00f3n del malware"},"content":{"rendered":"\n

Cuando el malware sospecha que est\u00e1 siendo \u201cvigilado\u201d<\/strong><\/h3>\n\n\n\n

La complejidad en el desarrollo de los malwares<\/em> <\/strong>ha llevado a los ciberdelincuentes a tratar de anticiparse a las medidas que los fabricantes de productos de ciberseguridad utilizan para intentar detectarlos.<\/p>\n\n\n\n

Los malware<\/em>s actuales ya no se centran solo en generar da\u00f1os cuando se instalan en los equipos de sus v\u00edctimas, sino que tambi\u00e9n intentan ocultarse ante la sospecha de que pudieran estar siendo \u201cvigilados\u201d<\/strong>.<\/p>\n\n\n\n

Sandboxing y plataformas cebo<\/strong><\/h3>\n\n\n\n
\"\"<\/figure><\/div>\n\n\n\n

Cuando un cliente intuye que una aplicaci\u00f3n puede contener un malware<\/em>, este suele enviarla a un Sistema de Sandbox<\/strong><\/em> donde un complejo sistema trata de que se ejecute bajo un entorno controlado<\/strong>. Un entorno donde no pueda causar da\u00f1o, y donde se permita recopilar informaci\u00f3n de su actividad<\/strong> que sirva para preparar y proteger al resto de los sistemas frente a sus pautas de acci\u00f3n.<\/p>\n\n\n\n

Habitualmente estos entornos controlados, o sanboxes<\/em>, presentan algunas<\/strong> singularidades que los diferencian de las habituales plataformas de las v\u00edctimas<\/strong>. Y son precisamente esas singularidades las que los malwares<\/em> analizan antes de dar los siguientes pasos en el proceso de infecci\u00f3n de un equipo.<\/p>\n\n\n\n

B\u00e1sicamente se trata de un procedimiento en el que, previo a su ejecuci\u00f3n, el malware<\/em> examina determinados par\u00e1metros<\/strong> o realiza ciertas consultas<\/strong> de cuyas respuestas depende que contin\u00fae su proceso o se desactive, evitando que pueda ser analizado.<\/p>\n\n\n\n

Las preguntas que hace un malware<\/em> antes de ejecutarse<\/strong><\/h3>\n\n\n\n

Los chequeos que realizan los malwares<\/em> antes de avanzar en su ejecuci\u00f3n son numerosos. Las sospechas de que puedan estar siendo investigados se activan pr\u00e1cticamente desde que inician su ejecuci\u00f3n.<\/p>\n\n\n\n

Se ha comprobado que analizan m\u00faltiples \u201cpatrones\u201d con los que tratan de desenmascarar a sus oponentes<\/a> para as\u00ed comprobar si est\u00e1n frente a una v\u00edctima rea<\/strong>l <\/strong>o simplemente frente a un entorno que act\u00faa como cebo<\/strong>.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Entre los patrones que analizan los ciberdelincuentes<\/strong> est\u00e1n la presencia de determinados ficheros en el ordenador de la v\u00edctima, su direcci\u00f3n IP, la localizaci\u00f3n geogr\u00e1fica, el tipo de CPU que utiliza, el n\u00famero y tipo de procesos que tiene activos o, incluso, la activaci\u00f3n del modo \u201cdebug<\/em>\u201d en su ejecuci\u00f3n para permitir el registro de datos.<\/p>\n\n\n\n

Asimismo, el malware<\/em> suele prestar atenci\u00f3n al control de tiempos de ejecuci\u00f3n, algo por otra parte muy habitual en los entornos de sandbox, <\/em>y verifica si el ordenador realmente est\u00e1 siendo utilizado por una persona. Por ejemplo, comprobar\u00e1 el n\u00famero de ficheros que este ha abierto recientemente o la actividad que tiene en la navegaci\u00f3n por Internet (por ejemplo, analizando si tiene un n\u00famero m\u00ednimo de URLs<\/em> en el hist\u00f3rico de navegaci\u00f3n de su browser<\/em>). Por verificar, llegan incluso a verificar la temperatura de la CPU, si el equipo tiene una pantalla o cu\u00e1l es su resoluci\u00f3n gr\u00e1fica.<\/p>\n\n\n\n

Al final se trata de un conjunto extenso de opciones que en muchos casos les permiten determinar si la ejecuci\u00f3n se est\u00e1 llevando a cabo en un entorno real o simulado<\/strong>. De este modo, y en funci\u00f3n de las conclusiones de ese an\u00e1lisis, el malware<\/em> finalmente permanecer\u00e1 hibernado, sin actividad<\/strong>. Quedar\u00e1 a la espera de \u201cmejores momentos\u201d o simplemente se desactivar\u00e1 porque habr\u00e1 descubierto que estaba siendo controlado.<\/p>\n\n\n\n

C\u00f3mo pasan desapercibidos<\/strong><\/h3>\n\n\n\n

Sin embargo, los malwares<\/em> tambi\u00e9n utilizan otros procedimientos mediante los cuales evitan despertar sospechas<\/strong> y, por tanto, llegan a ejecutarse en los sistemas de sus v\u00edctimas sin ser detectados. Estas t\u00e9cnicas incluyen multitud de procedimientos<\/a>, si bien hay algunas que destacan especialmente. A continuaci\u00f3n, referimos las m\u00e1s empleadas:<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n