'Durante los últimos años no se ha dejado de innovar en el ámbito del Malware-as-a-Service' (Kaspersky Lab)

  • Reportajes

Dani Creus, Kaspersky

El malware-as-a-service ofrece una serie de servicios que sin duda facilita las operaciones en este ámbito, de manera que los criminales pueden simplemente alquilar una infraestructura o servicio determinado para optimizar sus campañas.

Para evitar ser detectado, el malware evasivo se camufla, se anexa a aplicaciones legítimas o hace un uso ilegítimo de ellas. La capacidad de los atacantes para evitar ser detectados no es tan simple como parece cuando los expertos en seguridad, los sistemas de inteligencia artificial y los proveedores de software de protección endpoint de todo un mundo se enfocan en hacer precisamente eso, pero la evolución es constante y este tipo de malware reconoce cuando está siendo analizado en un entorno aislado y retrasa su ejecución, pudiendo esperar días, semanas o incluso meses hasta encontrar la oportunidad adecuada para atacar.

Este cuestionario forma parte del reportaje Malware Evasivo, o cómo camuflarse, tema de portada del número de Noviembre de la revista IT Digital Security, disponible desde este enlace.

Dani Creus, analista de seguridad de Kaspersky Lab, responde a este cuestionario sobre lo que tiene que tener un malware para ser evasivo, cuáles son las técnicas evasivas más utilizadas o cómo se combate este tipo de malware.

. ¿Qué característica tiene que tener un malware para considerarse evasivo?

Para que un malware pueda considerase “evasivo” debe llevar incorporadas una serie de rutinas orientadas a modificar u ocultar su comportamiento (flujo, entorno de ejecución o comunicaciones) dependiendo si se dan o no ciertas condiciones. Éste puede tener en cuenta desde factores temporales (fecha en la que se ejecuta) , geográficos (desde que localización se ejecuta)  o detectar aspectos de su entorno para decidir si ejecutarse de una manera o de otra (o no ejecutarse) u optar por alguna otra contramedida.

. ¿Cuán evasivo es el malware hoy en día?

En mayor o menor medida cualquier código malicioso lleva incorporadas medidas orientadas a la evasión. Del mismo modo , la utilización de “cypters” y “packers” (programas utilizadas para “paquetizar” el malware y dotarle de medidas de evasión adicionales –entre otras funcionalidades- ) facilitan la implementación de medidas de evasión. Paradójicamente, un malware que lleve incorporadas muchas medidas de evasión, llamará la atención de los analistas.

. ¿Qué porcentaje del malware actual es evasivo?

Debido a la naturaleza de este tipo de malware es difícil contar con estadísticas que reflejen la realidad. Sin embargo cabe destacar que la alta disponibilidad de “packers” y “crypters” y su facilidad de uso hace que sea un opción a tener en cuenta para los delincuentes .

. ¿Cómo se combate el malware evasivo?

Es el juego del gato y el ratón. Al margen de medidas técnicas de bajo nivel para mejorar la detección, algunas de las contramedidas utilizadas en el campo de análisis son: ejecución en entornos altamente modificados para tal propósito, modificación del sistema virtual para ocultar sus características reales al malware,  emulación de un entorno “real” y simulación de comportamiento humano (creando actividad como apertura de documentos, movimientos de ratón, etc.).

. ¿Cuáles serían las técnicas de evasión más destacadas?

Aunque muchas veces básicas pero destacables por volumen son las que detectan si el malware está intentando ser depurado o ejecutándose en un entorno virtual. Tratan de identificar si el sistema en el que se ejecutan es un entorno “real” (de usuario) o uno de análisis. Destacables por su complejidad, el malware que utiliza comunicaciones no-standard para exfiltrar información (Airgap, encapsulación de tráfico, etc.) o aquel que es altamente dirigido y solo se ejecutará en máquinas que cumplan unas condiciones muy específicas.

. Me da la sensación de que, existiendo desde hace décadas, ha sido hace unos años cuando las sandboxes han recobrado protagonismo. ¿Qué opina?

Para los que trabajamos en este ámbito así es, las sandboxes (dejando al lado su grado de sofisticación) ha sido una herramienta necesaria desde siempre. Probablemente su protagonismo actual se debe a que cumplen un rol importante para mitigar algunos de los problemas a los que se nos enfrentamos hoy en día en este ámbito: el volumen del malware (número de muestras) , sus características de evasión y la necesidad de automatización.

. ¿Qué papel juega el Malware-as-a-Service en el incremento del malware avanzado?

El malware-as-a-service ofrece una serie de servicios que sin duda facilita las operaciones en este ámbito, de manera que los criminales pueden simplemente alquilar una infraestructura o servicio determinado para optimizar sus campañas. Aunque la propia definición del servicio puede llevarnos a pensar que MaaS es utilizado por delincuentes con poca sofisticación y recursos, lo cierto es que durante los últimos años no se ha dejado de innovar en este ámbito, ofreciendo servicios cada vez más profesionales y difíciles de perseguir.