Malware

La forma más sencilla de analizar un archivo malicioso consiste en ejecutarlo en un entorno controlado y observar los resultados. A tales efectos, la utilización de máquinas virtuales se hace vital, ya que permite la recuperación casi instantánea del estado inicial de la máquina. Por ello, en diversas ocasiones el malware incluye mecanismos para detectar si está siendo ejecutado en un entorno virtualizado, situación ante la cual modifica su camino de ejecución para esconder su verdadero comportamiento. Hoy analizaremos algunas de estas técnicas mediante un caso práctico.

Un sistema de detección proactiva de canales de comunicación C&C puede brindar grandes beneficios a la hora de identificar fallas en nuestro sistema y vectores de ataque recurrentes. En este post veremos el resultado de aplicar un esquema del estilo.

Encontramos un RAT, o troyano de acceso remoto (por sus siglas en inglés), que se hace pasar por varias aplicaciones legítimas para Android. Observemos más de cerca la forma en que se propaga este malware, lo que hace y su conexión con una noticia que hace poco llegó a primera plana.

La técnica indicada de análisis dinámico de malware nos puede dar ventaja para conocer el comportamiento de las amenazas y sus tendencias de propagación.

Tras discutir las principales consideraciones y comparar emulación con virtualización, sabemos cómo construir un entorno de pruebas adecuado para analizar malware.

Cuando estamos reverseando aplicaciones maliciosas, a veces todas las strings serán visibles en texto plano. En otros casos, encontraremos porciones cifradas con mayor o menor grado de complejidad. Hoy expondremos un caso de este último tipo y lo analizaremos de forma intuitiva.

Al preguntarnos cómo construir un entorno difícil de detectar para el malware, las dos opciones principales son virtualización o emulación. Veamos cada una en detalle.

En este post analizaremos los principales aspectos a evaluar al crear entornos de análisis: qué objetivos buscamos, qué debemos analizar en el proceso y cuáles son las técnicas actualmente más empleadas para su construcción.

Win32/Aibatook es una familia de malware que dirige sus ataques a usuarios japoneses. Infecta los equipos a través de una cadena de infecciones propagadas por sitios legítimos comprometidos, con el propósito de robar información personal mediante una técnica de monitoreo de Internet Explorer poco común.