fbpx
Las diferencias entre el Análisis Estático y Dinámico de Malware

Las diferencias entre el Análisis Estático y Dinámico de Malware

A medida que las personas y las empresas se vuelven más dependientes de la tecnología, el malware se convierte cada vez más en una amenaza significativa para las organizaciones y los individuos por igual.

Al mismo tiempo, las nuevas tecnologías han facilitado aún más a los delincuentes la creación de nuevo malware. Por ejemplo, los ciberdelincuentes están utilizando asistentes de inteligencia artificial como ChatGPT para crear programas maliciosos. El Instituto AV Tech revela que detecta más de 450,000 nuevas versiones de malware cada día.

Para protegerse contra la creciente amenaza, los profesionales de ciberseguridad utilizan el análisis de malware para detectar y analizar el comportamiento, las características y las capacidades de programas maliciosos. Esto les permite comprender las amenazas que estos programas representan y desarrollar mecanismos defensivos y contramedidas para mitigar estas amenazas.

Existen dos tipos de técnicas de análisis de malware: estáticas y dinámicas. A continuación, examinemos las diferencias entre estas dos técnicas y exploremos sus fortalezas y debilidades.

¿Qué es el Análisis de Malware?

El análisis de malware es la inspección de los componentes principales y el código fuente de un malware para comprender su comportamiento, origen y acciones previstas, con el objetivo de mitigar sus posibles amenazas.

El malware se refiere a cualquier software intrusivo diseñado para infiltrarse en la computadora o la red de un usuario sin su consentimiento. Estos archivos intrusivos incluyen spyware, scareware, rootkits, worms, virus y Troyanos.

Los programas maliciosos pueden programarse para robar los datos de los usuarios, espiar sus actividades en línea o incluso dañar los archivos de su sistema. Por ejemplo, a principios de enero de 2023, Pepsi Bottling Ventures sufrió una violación de datos cuando un malware que robaba información personal se infiltró en su red.

De manera similar, la Ciudad de Oakland sufrió un ataque de ransomware que causó una interrupción en su red.

Análisis de Malware Estático

En el análisis de malware estático, los expertos en seguridad analizan un programa de malware sin ejecutar su código. El objetivo es identificar familias de malware, cómo opera el malware y sus capacidades.

Dado que no hay ejecución de código, el análisis de malware estático no requiere un entorno en vivo. Sin embargo, esto puede resultar en que los analistas pierdan información crítica sobre el malware que solo se puede descubrir observándolo en funcionamiento.

Aquí hay algunas características definitorias del análisis de malware estático:

  1. Es Rápido y Directo
    El análisis estático es directo porque los expertos solo tienen que evaluar las propiedades de la muestra de malware, como metadatos, cadenas, estructura y código.

Dado que no necesitan ejecutar el código, los analistas pueden identificar rápidamente la funcionalidad y las capacidades del malware. También se puede automatizar utilizando herramientas como desensambladores, decompiladores y depuradores para analizar rápidamente grandes cantidades de muestras de malware.

  1. Se Basa en Firmas
    El análisis de malware estático utiliza un enfoque de detección basado en firmas, que compara la huella digital del código de la muestra con una base de datos de firmas maliciosas conocidas. Cada malware tiene una huella digital única que lo identifica de manera única. Esto podría ser un hash criptográfico, un patrón binario o una cadena de datos.

Los programas antivirus funcionan de la misma manera. Escanean el malware revisando las huellas digitales digitales de firmas de malware conocidas y marcan el archivo como malware si se encuentran huellas digitales coincidentes.

Si bien el enfoque de análisis de malware basado en firmas es bueno para detectar firmas de malware conocidas, es poco fiable cuando se trata de malware nuevo o modificado.

El método también puede fallar al detectar muestras de malware programadas para activarse solo bajo ciertas condiciones, como las desencadenadas por el inicio de sesión de un usuario, la fecha, la hora o el tráfico de red.

  1. Técnicas Utilizadas
    El análisis de malware estático utiliza diferentes técnicas para comprender la naturaleza de una amenaza. Un enfoque es comparar la huella digital digital del binario de malware con bases de datos disponibles de firmas maliciosas.

Un técnico también puede utilizar un desensamblador o depurador para ingeniería inversa del binario y examinar su código. Alternativamente, algunos analistas realizan un análisis de malware estático extrayendo los metadatos de una muestra. Hacerlo revela detalles como comandos, nombres de archivos, mensajes, llamadas a API, claves de registro, URL y otros IOC.

Análisis de Malware Dinámico

El análisis de malware dinámico implica la ejecución del código de malware dentro de un entorno controlado y el monitoreo de cómo interactúa con el sistema. Esta aproximación permite a los analistas descubrir las verdaderas intenciones del malware y su capacidad para evadir la detección.

Este enfoque proporciona un informe más profundo y preciso, pero el proceso puede llevar más tiempo. También requiere herramientas especializadas y existe el riesgo de infectar el entorno de análisis con el malware.

El análisis de malware dinámico se caracteriza por:

  1. Requiere un Entorno Seguro
    Para ejecutar de manera segura el malware y observar sus actividades, los analistas de seguridad necesitan un entorno de prueba cerrado (Sandbox de malware) donde el malware pueda ejecutarse sin infectar todo el sistema o la red.
  2. Es Más Completo y Preciso
    El análisis dinámico se considera más preciso y completo que el análisis estático porque implica un análisis profundo del comportamiento.

Al observar el archivo sospechoso ejecutar cada uno de sus comandos, los analistas pueden obtener una visión profunda de la lógica, funcionalidad e indicadores de compromiso del malware. En otras palabras, muestra cosas que son más difíciles de detectar desde un análisis estático, como para qué se programó el malware, cómo se comunica y su mecanismo de evasión.

  1. Se Basa en el Comportamiento
    Mientras que el análisis estático utiliza la detección basada en firmas, el análisis dinámico utiliza un enfoque de detección basado en el comportamiento. El malware en constante evolución o nuevos tipos de malware pueden ser difíciles de detectar utilizando el en

Fuente: Bitdefender Enterprise

Descubren instalador de Windows 10 con troyanos

Descubren instalador de Windows 10 con troyanos

Una nueva campaña de malware aprovechó versiones troyanizadas de los archivos de instalación de Windows 10 para realizar actividades posteriores a la explotación. Los archivos ISO maliciosos se distribuyeron a través de sitios web de Torrent.

Mandiant (firma estadounidense de ciberseguridad y una subsidiaria de Google), descubrió el ataque de «socially engineered supply chain» a mediados de julio de 2022.

«Tras la instalación del software comprometido, el malware recopila información sobre el sistema comprometido y lo extrae», dijo la compañía de ciberseguridad en un análisis técnico profundo que realizaron.

El archivo ISO, fue diseñado para deshabilitar la transmisión de datos de telemetría desde la computadora infectada a Microsoft, instalar puertas traseras de PowerShell, así como bloquear actualizaciones automáticas y verificación de licencia.

Las herramientas adicionales que se instalaban son: una herramienta proxy de código abierto, un backdoor liviano que permite al atacante ejecutar comandos, recopilar datos, capturar pulsaciones de teclas y capturas de pantalla, y exportar la información a un servidor remoto.

En algunos casos, el atacante intentó descargar el navegador TOR en el dispositivo de la víctima. Si bien la razón exacta de esta acción no está clara, se sospecha que pudo haber servido como una ruta de exfiltración alternativa.

Para prevenir este tipo de situación es importante aplicar el principio de seguridad informática de la Autenticidad, que nos indica que debemos verificar que la fuente y el archivo en cuestión son auténticos.

Zerobot: malware que explota cerca de 21 vulnerabilidades

Zerobot: malware que explota cerca de 21 vulnerabilidades

A mediados de noviembre se detectó un nuevo malware desarrollado en Go llamado ‘Zerobot’ que usa exploits para cerca de 21 vulnerabilidades en una variedad de dispositivos y software que incluyen phpMyAdmin, routers D-Link, cámaras Hikvisión, entre otros. Desde noviembre ha surgido una nueva versión con módulos adicionales y exploits para nuevas fallas, lo que indica que el malware está en desarrollo activo.

El objetivo del malware es capturar y agregar dispositivos comprometidos a una botnet de denegación de servicio distribuida (DDoS) para lanzar ataques masivos contra objetivos específicos.

Zerobot puede escanear la red y autopropagarse a dispositivos adyacentes, así como ejecutar comandos en Windows (CMD) o Linux (Bash).

El malware puede tener como objetivo una variedad de arquitecturas de sistemas y dispositivos, como ser: i386, AMD64, ARM, ARM64, MIPS, MIPS64, MIPS64le, MIPSle, PPC64, PPC64le, RISC64 y S390x.

Al momento de ser descubierto Zerobot incorporaba exploits para 21 vulnerabilidades y las usaba para obtener acceso al dispositivo. Luego descarga un script llamado «cero», que le permite propagarse a sí mismo.

Zerobot utiliza los siguientes exploits para vulnerar sus objetivos:

CVE-2014-8361: miniigd SOAP service in Realtek SDK
CVE-2017-17106: Zivif PR115-204-P-RS webcams
CVE-2017-17215: Huawei HG532 router
CVE-2018-12613: phpMyAdmin (v. 4.8.x antes de v. 4.8.2)
CVE-2020-10987: Tenda AC15 AC1900 router (v. 15.03.05.19)
CVE-2020-25506: D-Link DNS-320 FW
CVE-2021-35395: Realtek Jungle SDK (v2.x hasta v3.4.14B)
CVE-2021-36260: Alguno equipos Hikvision
CVE-2021-46422: Telesquare SDT-CW3B1 router
CVE-2022-1388: F5 BIG-IP
CVE-2022-22965: Spring MVC y Spring WebFlux (Spring4Shell)
CVE-2022-25075: TOTOLink A3000RU router
CVE-2022-26186: TOTOLink N600R router
CVE-2022-26210: TOTOLink A830R router
CVE-2022-30525: Zyxel USG Flex 100(W) firewall
CVE-2022-34538: MEGApix IP cameras
CVE-2022-37061: FLIX AX8 thermal sensor cameras

Además, la botnet utiliza cuatro exploits a los que no se les ha asignado un identificador (CVE). Dos de ellos apuntan a terminales GPON y enrutadores D-Link, los detalles sobre los otros dos no están claros al momento de redactar escribir este artículo.

¿Cómo funciona Zerobot?

Después de comprometer el dispositivo, Zerobot establece una conexión WebSocket al servidor de Command and Control (C2) y envía información básica sobre la víctima.

El C2 responde con uno de los siguientes comandos:

  • ping – Heartbeat, para verificar la conexión
  • attack – Lanza el ataque por protocolos diferentes: TCP, UDP, TLS, HTTP, ICMP
  • stop – Para el ataque
  • update – Instala, actuaiza y reinicia Zerobot
  • enable_scan – Escanea en busca de puertos abiertos y empieza a propagarse a través de exploits o SSH/Telnet crackers
  • disable_scan – Deshabilita el escaneo
  • command – Ejecuta comandos de S.O. usando CMD en Windows o Bash en Linux
  • kill – Elimina el programa de la botnet

El malware también utiliza un módulo «anti-kill» diseñado para evitar que finalice o elimine su proceso.

Desde su apareción por primera vez el 18 de noviembre, el desarrollador de Zerobot lo ha mejorado con ofuscación de cadenas, un módulo de copia de archivos, un módulo de autopropagación y varios exploits nuevos.

Carrito0
Aún no agregaste productos.
Continuar comprando
0