Clasificación del malware evasivo
- IT Whitepapers
Los malware son cada vez más conscientes de los entorno de ejecución. Con el fin de evitar la detección mediante soluciones de análisis automatizadas y de impedir el análisis manual, los autores de malware están encontrando nuevas formas para que su malware decida si debe mostrar su comportamiento malicioso o no.
Las soluciones anteriores a este problema se centran, por ejemplo, en mejorar el sigilo de los entornos de análisis (para evitar la detección por malware) o analizar las diferencias en el comportamiento del malware cuando se analizan en diferentes entornos.
Esta tesis propone una aproximación alternativa al problema. Se realizan análisis dinámicos automáticos en dos conjuntos de malware, que contienen muestras conocidas por ser evasivas y no evasivas respectivamente. El análisis dinámico produce registros de llamadas al sistema, que se utilizan para entrenar un modelo de aprendizaje automático, capaz de detectar comportamientos evasivos. Este modelo resultante es una prueba de concepto de que se puede detectar un comportamiento evasivo. Un posible caso de uso para el modelo es como parte de una solución canalizada para la detección de malware. Al probar el modelo desarrollado, se demostró que podía etiquetar correctamente el 75% de todas las muestras, con una tasa de éxito igual al considerar solo el etiquetado de muestras evasivas.
Para descargar este documento, accede aquí si ya eres usuario de nuestra Comunidad IT. Si eres nuevo, hazte miembro aquí para leer este recurso.
