Nueva patente de Kaspersky que simplifica la detección de malware en una sandbox

  • Actualidad

Kaspersky ha recibido una patente de la Oficina de Patentes y Marcas de los Estados Unidos por una tecnología diseñada para simplificar la detección de funcionalidades maliciosas en una máquina virtual.

La firma de seguridad ha patentado una sandbox o máquina virtual aislada que crea las condiciones exactas que desencadenan la ejecución de malware, por lo que permite a los investigadores analizar un archivo sospechoso en un solo intento, en lugar de tener que intentarlo varias veces. Una vez implementada, la tecnología aumentará la tasa de detección de sandboxing y automatice el trabajo que los analistas tendrían que hacer manualmente.

Como explica la firma, uno de los métodos de análisis de comportamiento malicioso de un archivo es ejecutarlo en una sandbox. Este método activa, de forma automática, el análisis del malware, aunque todavía requiere de trabajo manual para generar un entorno adecuado en el que el malware revele su "verdadera naturaleza". Esta patente resuelve esta cuestión ya que se trata de una tecnología que activa automáticamente la ejecución de un archivo y las condiciones adecuadas para cada uno de ellos.

Pero, además, si el malware cambia su comportamiento, el sistema de Kaspersky intercepta el intento y detiene el proceso de acceso a una aplicación específica.

Además, la tecnología también puede ayudar a superar técnicas de evasión cuando el malware “duerme” durante un cierto tiempo antes de ejecutarse para evitar la detección, ya que permanece inactivo durante un período más largo del que funciona el sandbox. En esos casos, la nueva tecnología patentada acelera el flujo de tiempo dentro de la máquina virtual, por lo que el código malicioso se ve obligado a ejecutarse antes. Como dentro de la sandbox se encuentran todos los temporizadores y relojes, el malware no puede distinguir esta “trampa”.

Las reglas de detección que describen cómo reaccionar ante un evento específico no están preinstaladas o implementadas dentro del motor, pero pueden actualizarse y añadirse fácilmente. Por eso, según Kaspersky, cualquier nueva lógica que aparezca no implica tener que cambiar todo el motor, sino que sólo supone ampliar los escenarios de comportamiento malicioso disponibles.

La tecnología se utilizará internamente para analizar el malware y será implementada en soluciones que incluyan sandboxes.