Crece el uso de malware con capacidades de antianálisis y evasión de sandboxes

Recomendados:  Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Brechas de seguridad, ¿hay opciones? Webinar

Positive Technologies ha analizado 36 familias de malware que contienen capacidades de detección y evasión de sandboxes que han estado activas en los últimos 10 años. Los hallazgos de la compañía muestran que el 25% de ese malware estuvo activo en 2019-2020, y que, al menos, 23 grupos de APT en todo el mundo lo han utilizado en ataques.

A medida que trazaban la evolución de las técnicas de antianálisis y evasión de sandboxes, los expertos de Positive Technologies observaron que el mismo malware utilizaba diferentes métodos en diferentes años para evadir estas herramientas. Además, los atacantes emplean varias técnicas simultáneamente, de manera que si un método no funciona y es frustrado por el sandbox, este malware usaría otros métodos para determinar si se está ejecutando en un entorno virtual y, si es así, autoeliminarse para evitar la detección. Estas técnicas eran más comunes en las herramientas de acceso remoto (56% del malware) y cargadores (14%).

Según Olga Zinenko, analista senior de Positive Technologies, "este malware se utiliza para realizar reconocimientos y recopilar información sobre el sistema objetivo. Si los atacantes detectan que el malware se ejecuta dentro de un entorno virtual, como un sandbox, no perseguirán este vector de ataque ni descargarán la carga útil. En su lugar, el malware se queda inactivo con el fin de mantenerse en sigilo”.

Las técnicas de evasión de sandbox más comunes que se vieron fueron consultas WMI (25% de malware), comprobaciones de entorno (33%) y comprobación de la lista de procesos en ejecución (19%). Los ataques de ciberespionaje han compuesto el 69% por ciento del malware analizado. Tales ataques requieren permanecer invisible en el sistema de la víctima el mayor tiempo posible, razón por la cual los desarrolladores de malware buscan maneras de establecer y mantener la persistencia sigilosamente.

Los desarrolladores de malware a menudo utilizan ofuscación para frustrar los intentos de analizar su código. Como resultado, es cada vez más difícil realizar análisis estáticos de archivos maliciosos y hacer coincidir archivos sospechosos con firmas conocidas y sumas hash.

Alexey Vishnyakov, Jefe de Detección de Malware en Positive Technologies, señala que "en los últimos años, los desarrolladores de malware han estado tratando de evadir los analizadores de código. Los hackers hacen todo lo posible para ocultar las funciones maliciosas de los investigadores de seguridad y evitar tropezar con cualquier indicador conocido de compromiso. Las defensas tradicionales pueden no ser capaces de detectar programas maliciosos. Para detectar el malware actual, se recomienda analizar el comportamiento de los archivos en un entorno sandbox seguro. El uso de un espacio aislado enriquece las bases de datos del COI y proporciona a las empresas información para mejorar la respuesta a las ciberamenazas”.