Telefónica

Movilforum
Programa de Partners de Soluciones de Telefónica

Estás en:Home BlogProyecto Kung-Fu Malware

Proyecto Kung-Fu Malware

Publicado el 16 noviembre 2016 por

Etiquetas: , ,

Categorías: ,

Proyecto Kung-Fu Malware

A primeros de agosto de 2016 se celebró el principal congreso de seguridad a nivel mundial, Black Hat. Este congreso se celebra todos los años en Las Vegas desde 1997 y en él se reúnen los principales especialistas de seguridad a nivel mundial. Junto a ellos también participan las principales compañías del sector y entre todos se ponen en común las últimas novedades e investigaciones que se han realizado.

Para la edición de este año, mi compañero Román Ramírez y yo presentamos una idea en la que hemos estado trabajando en 2016 y que resultó seleccionada para mostrarla en Las Vegas. Nuestra idea consiste en tratar de sacar partido de que el software malicioso, más conocido como malware, suele disponer de mecanismos que les permite esconderse y no ser detectados por parte de las soluciones de seguridad.

Malware es una abreviatura que proviene de “Malicious Software”, es decir software cuyo comportamiento es malicioso. Esta abreviatura contiene múltiples subcategorías como son Gusanos, Troyanos, Spyware, Rootkits, etc. Los primeros softwares maliciosos solían transmitirse a través de los disquetes e infectaban los ordenadores en los que eran utilizados. Hasta principios del siglo XXI el software malicioso se hacía principalmente como pruebas de concepto o muestras de ego en las que sus autores se sentían gratificados con demostrar de lo que eran capaces y los conocimientos que tenían. Este tipo de malware no solía disponer de técnicas que le permitieran permanecer ocultos en los sistemas infectados y a las casas de antivirus les resultaba fácil localizarlos y eliminarlos.

Proyecto-Kung-Fu-Malware

A principios del siglo XXI esta tendencia cambió, y los desarrolladores de malware cambiaron el objetivo por el cual desarrollaban este tipo de software. Su objetivo pasó a ser ganar dinero. El desarrollo de software malicioso se profesionalizó y pasó a ser más sofisticado. Se empezaron a emplear mecanismos para permanecer ocultos en los sistemas operativos y poder realizar sus actividades dañinas sin ser descubierto. Para las casas de antivirus comenzó a ser cada vez más difícil detectarlos y analizarlos.

Proyecto-Kung-Fu-Malware

En este entorno de profesionalización y sofisticación del malware, una tecnología se destapó como una gran ayuda para las compañías de seguridad para la detección y el análisis de malware. Esta tecnología es el sandboxing. Esta tecnología utiliza de entornos de pruebas controlados, que son infectados a propósito para poder estudiar el comportamiento de un malware. El sandboxing demostró ser una herramienta bastante efectiva, hasta que los desarrolladores de malware se dieron cuenta de ello y modificaron el malware que desarrollaban de tal forma que pudieran detectar dichas tecnologías y en caso de detectarlas no mostrar su comportamiento malicioso.

Desde ese momento comenzó un juego del gato y el ratón en el cual, cuando una técnica de detección de entornos de análisis implementada por un malware era detectada, los entornos de análisis de malware eran modificados de forma que no pudieran ser detectados mediante dicha técnica, y así sucesivamente.

Aquí es donde nuestro proyecto Kung-Fu Malware nace, con la idea de cambiar el punto de vista de este “juego”. Nuestra propuesta trata de aprovecharse de que el malware no ejecuta su código malicioso en entornos de análisis, para ello lo que perseguimos es que los ordenadores normales simulen ser entornos de análisis de malware. Con este objetivo realizamos varias tareas, entre otras, desplegamos herramientas que suelen ser utilizadas por analistas de malware y modificamos el ordenador para engañar al malware en sus detecciones.

En la imagen inferior podemos observar el comportamiento de pafish, herramienta que devuelve OK en verde cuando la máquina utilizada parece un ordenador normal y traced en rojo cuando se detecta un entorno de análisis. En la imagen de la izquierda pafish se ejecuta sin estar activado Kung-Fu Malware y a la derecha el resultado del mismo programa con Kung-Fu Malware activo.

Proyecto-Kung-Fu-Malware

Estas técnicas pueden ser incorporadas fácilmente en los antivirus actuales, de esta forma aumentarían el nivel de seguridad que brindan a los usuarios residenciales. En un plano más empresarial, este tipo de herramientas se pueden emplear junto con las tecnologías perimetrales y de sandboxing para reducir el nivel de exposición de las mismas. La utilización conjunta de estas tecnologías, hace que infectar los sistemas remotamente sea más complejo. El malware que quisiera entrar en una compañía debería superar tres barreras, la primera son las tecnologías perimetrales y de antivirus clásicas. Una vez superada esta barrera llegaría a la segunda, la sandbox, el malware se ejecutaría en un entorno de controlado donde el malware tiene dos opciones, mostrar su comportamiento malicioso o tratar de ocultarse al detectar que se está ejecutando en una sandbox. Si muestra su comportamiento no superará esta segunda barrera y si se oculta, al llegar al puesto de trabajo, no llegará a ejecutar su comportamiento malicioso ya que el puesto de trabajo simula ser un entorno de análisis.

Por último, un vídeo donde se explica la idea a grandes rasgos y lo que representa en lo que ataña a la seguridad de los usuarios / empresas:

Pablo San Emeterio from Movilforum

Autor -> Pablo San Emeterio (Experto en seguridad informática – Telefónica España)

Equipo Movilforum

Acerca de Equipo Movilforum

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Buscar

Síguenos en las redes sociales

Aviso legal | Política de Cookies | © 2010-2015 Telefónica S.A. Todos los derechos reservados

Telefónica