fbpx
Las diferencias entre el Análisis Estático y Dinámico de Malware

Las diferencias entre el Análisis Estático y Dinámico de Malware

A medida que las personas y las empresas se vuelven más dependientes de la tecnología, el malware se convierte cada vez más en una amenaza significativa para las organizaciones y los individuos por igual.

Al mismo tiempo, las nuevas tecnologías han facilitado aún más a los delincuentes la creación de nuevo malware. Por ejemplo, los ciberdelincuentes están utilizando asistentes de inteligencia artificial como ChatGPT para crear programas maliciosos. El Instituto AV Tech revela que detecta más de 450,000 nuevas versiones de malware cada día.

Para protegerse contra la creciente amenaza, los profesionales de ciberseguridad utilizan el análisis de malware para detectar y analizar el comportamiento, las características y las capacidades de programas maliciosos. Esto les permite comprender las amenazas que estos programas representan y desarrollar mecanismos defensivos y contramedidas para mitigar estas amenazas.

Existen dos tipos de técnicas de análisis de malware: estáticas y dinámicas. A continuación, examinemos las diferencias entre estas dos técnicas y exploremos sus fortalezas y debilidades.

¿Qué es el Análisis de Malware?

El análisis de malware es la inspección de los componentes principales y el código fuente de un malware para comprender su comportamiento, origen y acciones previstas, con el objetivo de mitigar sus posibles amenazas.

El malware se refiere a cualquier software intrusivo diseñado para infiltrarse en la computadora o la red de un usuario sin su consentimiento. Estos archivos intrusivos incluyen spyware, scareware, rootkits, worms, virus y Troyanos.

Los programas maliciosos pueden programarse para robar los datos de los usuarios, espiar sus actividades en línea o incluso dañar los archivos de su sistema. Por ejemplo, a principios de enero de 2023, Pepsi Bottling Ventures sufrió una violación de datos cuando un malware que robaba información personal se infiltró en su red.

De manera similar, la Ciudad de Oakland sufrió un ataque de ransomware que causó una interrupción en su red.

Análisis de Malware Estático

En el análisis de malware estático, los expertos en seguridad analizan un programa de malware sin ejecutar su código. El objetivo es identificar familias de malware, cómo opera el malware y sus capacidades.

Dado que no hay ejecución de código, el análisis de malware estático no requiere un entorno en vivo. Sin embargo, esto puede resultar en que los analistas pierdan información crítica sobre el malware que solo se puede descubrir observándolo en funcionamiento.

Aquí hay algunas características definitorias del análisis de malware estático:

  1. Es Rápido y Directo
    El análisis estático es directo porque los expertos solo tienen que evaluar las propiedades de la muestra de malware, como metadatos, cadenas, estructura y código.

Dado que no necesitan ejecutar el código, los analistas pueden identificar rápidamente la funcionalidad y las capacidades del malware. También se puede automatizar utilizando herramientas como desensambladores, decompiladores y depuradores para analizar rápidamente grandes cantidades de muestras de malware.

  1. Se Basa en Firmas
    El análisis de malware estático utiliza un enfoque de detección basado en firmas, que compara la huella digital del código de la muestra con una base de datos de firmas maliciosas conocidas. Cada malware tiene una huella digital única que lo identifica de manera única. Esto podría ser un hash criptográfico, un patrón binario o una cadena de datos.

Los programas antivirus funcionan de la misma manera. Escanean el malware revisando las huellas digitales digitales de firmas de malware conocidas y marcan el archivo como malware si se encuentran huellas digitales coincidentes.

Si bien el enfoque de análisis de malware basado en firmas es bueno para detectar firmas de malware conocidas, es poco fiable cuando se trata de malware nuevo o modificado.

El método también puede fallar al detectar muestras de malware programadas para activarse solo bajo ciertas condiciones, como las desencadenadas por el inicio de sesión de un usuario, la fecha, la hora o el tráfico de red.

  1. Técnicas Utilizadas
    El análisis de malware estático utiliza diferentes técnicas para comprender la naturaleza de una amenaza. Un enfoque es comparar la huella digital digital del binario de malware con bases de datos disponibles de firmas maliciosas.

Un técnico también puede utilizar un desensamblador o depurador para ingeniería inversa del binario y examinar su código. Alternativamente, algunos analistas realizan un análisis de malware estático extrayendo los metadatos de una muestra. Hacerlo revela detalles como comandos, nombres de archivos, mensajes, llamadas a API, claves de registro, URL y otros IOC.

Análisis de Malware Dinámico

El análisis de malware dinámico implica la ejecución del código de malware dentro de un entorno controlado y el monitoreo de cómo interactúa con el sistema. Esta aproximación permite a los analistas descubrir las verdaderas intenciones del malware y su capacidad para evadir la detección.

Este enfoque proporciona un informe más profundo y preciso, pero el proceso puede llevar más tiempo. También requiere herramientas especializadas y existe el riesgo de infectar el entorno de análisis con el malware.

El análisis de malware dinámico se caracteriza por:

  1. Requiere un Entorno Seguro
    Para ejecutar de manera segura el malware y observar sus actividades, los analistas de seguridad necesitan un entorno de prueba cerrado (Sandbox de malware) donde el malware pueda ejecutarse sin infectar todo el sistema o la red.
  2. Es Más Completo y Preciso
    El análisis dinámico se considera más preciso y completo que el análisis estático porque implica un análisis profundo del comportamiento.

Al observar el archivo sospechoso ejecutar cada uno de sus comandos, los analistas pueden obtener una visión profunda de la lógica, funcionalidad e indicadores de compromiso del malware. En otras palabras, muestra cosas que son más difíciles de detectar desde un análisis estático, como para qué se programó el malware, cómo se comunica y su mecanismo de evasión.

  1. Se Basa en el Comportamiento
    Mientras que el análisis estático utiliza la detección basada en firmas, el análisis dinámico utiliza un enfoque de detección basado en el comportamiento. El malware en constante evolución o nuevos tipos de malware pueden ser difíciles de detectar utilizando el en

Fuente: Bitdefender Enterprise

¿Su detección de malware está preparada para el futuro? 7 tecnologías adaptables para amenazas esquivas

¿Su detección de malware está preparada para el futuro? 7 tecnologías adaptables para amenazas esquivas

Si bien los medios de comunicación han cubierto ampliamente el reciente aumento de malware, parece que se ha minimizado cierto aspecto. Lo cierto es que no solo los ciberataques han crecido significativamente durante la pandemia (solo en marzo se violaron 832 millones de registros a través de malware ), sino que su complejidad también ha aumentado visiblemente.

El hecho de que las transacciones comerciales tuvieran que ser realizadas en línea por empleados remotos creó muchas vulnerabilidades que los equipos de respuesta a incidentes no pudieron cubrir a fondo. Esto permitió a los ciberdelincuentes volverse más sofisticados y audaces en sus enfoques.

Clop ransomware ahora puede deshabilitar la seguridad básica del sistema; Gameover Zeus usa redes P2P para transmitir literalmente sus datos, mientras que varios grupos de ciberdelincuentes comenzaron a escribir malware en Golang para evitar la detección convencional. Y si el aumento en los ataques globales a los sistemas de salud no fue una sorpresa, el grupo de ransomware Netwalker dio un paso más y atacó una ciudad austriaca entera con múltiples correos electrónicos de phishing.

Ahora está claro que la era de las infecciones de virus clásicas ha quedado atrás y que las herramientas de detección convencionales son incapaces de abordar el malware avanzado. Entonces, ¿qué puede hacer su equipo de seguridad para asegurarse de que no se les escape ninguna amenaza?

Además de una combinación sólida de detección convencional, seguridad de red e inteligencia de amenazas, debe estar atento a algunas capacidades antimalware al elegir un proveedor.

1. Análisis y análisis eficiente de archivos

El escaneo de archivos es una funcionalidad común a todos los motores antimalware. Aun así, no todos los escáneres de archivos nacen iguales, con analizadores y analizadores de archivos dedicados que diferencian claramente a los líderes de los rezagados.

En general, analizar un archivo significa poder extraer correctamente los diferentes datos presentes en el archivo. En otras palabras, el análisis permite que el motor antimalware escanee todos los datos relevantes de un archivo (como los scripts y las macros de un documento de MS-Office o un archivo .pdf, por ejemplo) y decida si esos datos representan una amenaza.

Esto mejora tanto la velocidad como la precisión de detección y permite la detección de amenazas ocultas (algunos archivos .pdf pueden tener archivos adjuntos adicionales o tener secuencias de comandos incrustadas). Un análisis tolerante a fallas también permite que el motor antimalware analice y escanee archivos dañados o descargados de forma incompleta, que un motor más simple ignoraría. Incluso los archivos incompletos a veces pueden abrirse e infectar al usuario, por lo que esta característica de seguridad es muy importante.

2. Análisis de archivo

Los archivos han sido el vector de ataque favorito de los ciberdelincuentes durante mucho tiempo. Esto se debe a que los archivos archivados se utilizan mucho a nivel empresarial y, por lo general, pueden evitar la detección del servidor de correo electrónico. Además, el término «archivo» cubre una amplia gama de formatos (prácticamente cualquier archivo que contenga otros archivos puede ser uno, como correos electrónicos con archivos adjuntos, imágenes ISO o instaladores de software) y estos formatos no siempre están cubiertos por los motores de escaneo clásicos. .

Si bien el escaneo dentro de los archivos no es una característica nueva, el escaneo a través de múltiples tipos de archivos, así como a través de archivos dañados, debe ser una prioridad en su lista.

3. Análisis del Desempaquetador

Al igual que el análisis de archivos, el análisis del desempaquetador es «imprescindible» para cualquier solución antimalware. A diferencia de los archivos comprimidos, los desempaquetadores se utilizan para desempaquetar el único ejecutable que se ha empaquetado con uno o más empaquetadores/ofuscadores gratuitos o comerciales, por lo que se modifican todos los parámetros binarios (código, tamaño, cadenas de texto, firmas).

Esto hace que los ejecutables empaquetados sean un vehículo común para los troyanos y el malware de puerta trasera. No solo reduce el tamaño del ejecutable, lo que agiliza la descarga de malware, sino que también cambia por completo el binario. Esto significa que cualquier detección dirigida al binario original, incluida la detección de aprendizaje automático, no funcionaría contra el contenido empaquetado a menos que se desempaquetara.

Dado que los desempaquetadores tienden a ser más diversos que los archivos, su proveedor debe ofrecer una forma de desempaquetarlos, ya sea mediante el uso de un desempaquetador relevante o ejecutándolos en un entorno seguro y verificando su contenido, a través de la emulación.

4. Emulación

Hablando de emulación, esta característica es vital cuando se lucha contra el malware polimórfico, ya que cada muestra de este malware es diferente de todas las demás. La capacidad de simular la ejecución del malware es vital a la hora de detectar el malware.

La emulación también puede ser increíblemente útil cuando se trata de archivos cuyos binarios han sido ofuscados (deliberadamente demasiado complejos para que los humanos los entiendan) o simplemente escritos en lenguajes menos comunes (como la amenaza Golang mencionada anteriormente). Con estos archivos, siempre es más rápido ejecutarlos en un entorno controlado, en lugar de tratar de descifrar el código, especialmente cuando el escaneo es sensible al tiempo.

5. Detección basada en heurística

Si bien los algoritmos de detección y las firmas son vitales para cualquier solución exitosa, también se debe incluir el escaneo basado en heurística. En lugar de confiar en la información existente, la heurística se basa en una combinación de comportamiento y análisis de patrones, así como en la emulación, analizando cualquier actividad anormal de software conocido y desconocido.

Las heurísticas eficientes conducen no solo al bloqueo de archivos maliciosos, sino también al descubrimiento de amenazas desconocidas.

6. Algoritmos de aprendizaje automático

Dado que el panorama de amenazas cambia continuamente, los algoritmos de detección también están en constante evolución. El aprendizaje automático garantiza que su solución haya estado y esté constantemente expuesta a una amplia variedad de situaciones que amenazan la seguridad, lo que minimiza los falsos positivos y mejora la respuesta a incidentes.

Las soluciones avanzadas utilizan algoritmos de aprendizaje automático basados ​​en redes más amplios, como redes neuronales y de aprendizaje profundo.

7. Detección basada en la nube

Los filtros locales son su primera línea de defensa, pero su proveedor debe ofrecer acceso a actualizaciones basadas en la nube y a Threat Intelligence para garantizar que las amenazas novedosas se informen en tiempo real.

La principal ventaja de un sistema de este tipo es que permite la detección de nuevas amenazas en segundos, sin descargar actualizaciones del motor.

Aparte de estas características, un conjunto de detección de malware eficiente debe ser independiente de la plataforma y ocupar un espacio reducido, lo que le permite actuar más rápido que las amenazas, independientemente del sistema.

Nuestra solución

El galardonado motor antimalware de Bitdefender ofrece protección contra todo el malware común, desde troyanos y gusanos hasta ransomware y spyware, así como contra enemigos menos comunes, como amenazas persistentes avanzadas, amenazas de día cero y muchos otros.

Con una tasa de detección del 99,9 %, escaneo de alta velocidad y rápida integración en aplicaciones y servicios de socios, nuestra solución antimalware puede adaptarse a cualquier empresa, SOC o MSSP.

Sin embargo, no debe aceptar las propias palabras de ningún proveedor. Nuestros productos han sido probados y premiados constantemente por analistas independientes, hasta el punto de que nuestro motor antimalware ha ganado más premios que cualquier otro producto en la historia de AV-Comparatives. De hecho, acabamos de ganar su premio Producto del año .

Si desea obtener más información sobre lo que nuestra solución puede hacer por su empresa, lea nuestro extenso resumen técnico: Tecnologías utilizadas en el motor antimalware.

Bitdefender lanza Universal LockerGoga Decryptor en cooperación con las fuerzas del orden

Bitdefender lanza Universal LockerGoga Decryptor en cooperación con las fuerzas del orden

Nos complace anunciar la disponibilidad de un nuevo descifrador para LockerGoga, una variedad de ransomware que saltó a la fama en 2019 con el ataque de la empresa Norsk Hydro.

El nuevo descifrador es un esfuerzo conjunto entre Bitdefender, Europol, el Proyecto NoMoreRansom, la Fiscalía de Zúrich y la Policía Cantonal de Zúrich.

¿Qué es LockerGoga?

LockerGoga es una familia de ransomware identificada en enero de 2019 luego de ataques exitosos contra varias empresas en los Estados Unidos de América y Noruega. Su operador, que ha estado detenido desde octubre de 2021 en espera de juicio, es parte de una red de ciberdelincuencia más grande que utilizó el ransomware LockerGoga y MegaCortext para infectar a más de 1800 personas e instituciones en 71 países y causar daños estimados en 104 millones de dólares.

Recupera tus datos

Los indicadores de una infección de LockerGoga son la presencia de archivos con una extensión I ‘.locked’. Si usted o su empresa se han visto afectados por LockerGoga, ahora puede usar la herramienta a continuación para recuperar sus archivos de forma gratuita. Tenemos un tutorial paso a paso sobre cómo operar el descifrador tanto en modo de una sola computadora como de red.

RanHassan Ransomware Decryptor ahora disponible

RanHassan Ransomware Decryptor ahora disponible

Ya está disponible para descargar un nuevo descifrador para el ransomware RanHassan. Aislada por primera vez en mayo de 2022, esta familia de ransomware parece apuntar principalmente a víctimas en India y países de habla árabe.

Los signos reveladores de una infección de RanHassan son la presencia de notas de rescate llamadas ATENTION...ATENTION...ATENTION...ATENTION...ATENTION....hta  referencias [dc.dcrypt@tutanota.com](mailto:dc.dcrypt@tutanota.com)[dc.dcrypt@mailfence.com](mailto:dc.dcrypt@mailfence.com).

Cómo descifrar archivos rescatados

Paso 1 : descargue la herramienta de descifrado a continuación y guárdela en el dispositivo infectado:

Paso 2 : Ejecute la herramienta y acepte el Acuerdo de licencia de usuario final.

Paso 3 : seleccione una carpeta para buscar archivos cifrados o deje que la herramienta encuentre todos los archivos en el sistema. Para que la herramienta identifique las claves correctas, necesita al menos un archivo cifrado y su versión sin cifrar.

Paso 4 : inicie el proceso de descifrado y deje que la herramienta se ejecute hasta que se descifren todos los archivos.

Ejecución silenciosa (a través de cmdline)

La herramienta también se puede ejecutar de forma silenciosa a través de una línea de comandos. Si necesita automatizar la implementación de la herramienta dentro de una red grande, es posible que desee utilizar esta función.

•   -help– proporcionará información sobre cómo ejecutar la herramienta de forma silenciosa (esta información se escribirá en el archivo de registro, no en la consola)

•   start  – este argumento permite que la herramienta se ejecute en silencio (sin GUI)

•   -scan-path  – este argumento especifica la ruta que contiene los archivos cifrados

•   -full-scan  – habilitará la opción Escanear todo el sistema (ignorando el argumento -scan-path)

•   -disable-backup  – desactivará la opción de copia de seguridad del archivo

•   -replace-existing  – habilitará la opción Reemplazar archivos previamente descifrados

•   -test-path– especifica una carpeta que contiene pares de archivos limpios y cifrados

Ejemplos:

  • BDRanHassanDecryptTool.exe start -scan-path: C:\  -> la herramienta se iniciará sin GUI y escaneará C:\
  • BDRanHassanDecryptTool.exe start -full-scan  -> la herramienta comenzará sin GUI y escaneará todo el sistema
  • BDRanHassanDecryptTool.exe start-escaneado completo -reemplazar-existente -> la herramienta escaneará todo el sistema y sobrescribirá los archivos limpios presentes

Reconocimiento

Este producto incluye software desarrollado por OpenSSL Project, para uso en OpenSSL Toolkit ( http://www.openssl.org/ )

K7Security Labs ha publicado un análisis técnico de RanHassan (DCDcrypt) aqui.

    La asociación de Bitdefender con las fuerzas del orden produce MegaCortex Decryptor

    La asociación de Bitdefender con las fuerzas del orden produce MegaCortex Decryptor

    Acabamos de lanzar un descifrador para la familia de ransomware MegaCortex. Este descifrador fue construido en cooperación con Europol, el Proyecto NoMoreRansom, la Oficina del Fiscal Público de Zürich y la Policía Cantonal de Zürich.

    Contexto

    En octubre de 2021, doce personas fueron arrestadas en una operación policial internacional contra los ransomware Dharma, MegaCortex y LockerGoga.

    Este grupo fue responsable de unas 1.800 infecciones, en su mayoría dirigidas a empresas. Siguiendo el descifrador de LockerGoga , ahora lanzamos una herramienta universal para las infecciones de MegaCortex.

    Recupera tus datos

    Nota importante: las víctimas con datos cifrados por las versiones 2 a 4 necesitan la nota de rescate (p. ej., “!!READ_ME!!!.TXT”, “!-!README!-!.RTF”, etc.). El descifrado de MegaCortex V1 (los archivos cifrados tienen la extensión «.aes128ctr» adjunta) requiere la presencia de la nota de rescate y el archivo de registro TSV (por ejemplo, «fracxidg.tsv») creado por el ransomware.

    Si usted o su empresa se han visto afectados por MegaCortex, ahora puede usar la herramienta a continuación para recuperar sus archivos de forma gratuita. Tenemos un tutorial paso a paso sobre cómo operar el descifrador tanto en modo de una sola computadora como de red.

    Carrito0
    Aún no agregaste productos.
    Continuar comprando
    0