Métodos complejos de evasión sandbox

evasión sandbox

¿Quieres saber cuáles son los métodos complejos de evasión en sandbox? ¡Aquí te lo mostraremos!

Los métodos complejos de evasión de sandbox

Sleep: Existen muchos malwares que tienen, como estrategia primordial, dormir durante un tiempo, de modo que pueda evitar que los motores antivirus puedan detectar la actividad en el momento de análisis. A pesar del intento de 'eficacia', este método termino volviéndose contra los malware, debido que se convirtió en un indicativo demasiado evidente de que un programa resultaría en un fichero sospechosos de poseer actividad maliciosa, de modo que pudiese vigilar profundamente el proceso y el fichero en ejecución que le corresponde.

Delay: Es un prototipo de sleep con matices, debido que, en vez de mantener la estrategia de sleep, el malware procura lazar una actividad sin relevancia para propiciar constancia de que posee actividad y no es de carácter malicioso, con el objetivo evidente de ganar tiempo hasta que los sistemas de anti-malware logren confiar en él.

De igual forma, es común que durante el delay se pueda percibir si hay movimiento en el equipo y no consiste en una máquina virtual de valor irrelevante, aludiendo que realmente hay un usuario. Es importante recalcar que esta técnica se encuentra ya superada por el evidente hecho de que cualquier sandbox medianamente seria puede detectar los programas de actividad automática de usuario.

Anti-Hook attack: Los hooks se caracterizan por ser mecanismos de manejo de llamadas del sistema en el cual una aplicación tiene la facilidad de instalar una subrutina que ayudará a monitorizar las ordenes que se dirigen al sistema, llegando a procesarlas antes de que se sitúen en el procedimiento de destino.

Los malware, conocedores de este hecho, se enfocan en puntos que actúan como hooks para que se carguen, de manera que logren actuar a sus anchas en el sistema sin que ninguna persona se percate de que obtienen información o efectúan acciones a través de órdenes que le dan al sistema.

Software Detection: Hay una amplia variedad de softwares, tales como Sysinspector, SysAnlyzer, TCPView, Regmon, Process Monitor, Process Explorer, ProcessHacer, PETools, HookExplorer, etc., que son usados con el objetivo de detectar actividad en el sistema y, por lo tanto, malware. En pocas palabras, tienden a ser un problema, porque, o el malware los elimina, o no se ejecuta de la forma adecuada.

Anti-AV attack: Diversos malware conocen que existe una serie de firmas de antivirus que terminarían complicándole la vida, por lo que, lo primero que haría es introducirse en el sistema para buscar y cargar los clientes antivirus, evitando males mayores.

Ficheros no típicos: Hay una amplia variedad de malware que, con la finalidad de evitar ejecutarse en entornos virtuales, necesitan que se introduzca un argumento adicional. A pesar de todo, este comportamiento no suele ser habitual, a pesar de que es una excelente idea debido que para ejecutarse requiere de otro fichero. Ese código del argumento es usado como mejor le conviene, que tiende a dirigirse desde la selección del parámetro entero desde la percepción de entrada hasta al escoger 2 bytes.

Los métodos complejos de evasión en sandbox dentro de la categoría Time

Timing attack: Estos malware son ejecutables, lo que permite que despierten a ciertas horas o ciertos días para ejecutar sus actividades.

Lo que se acciona con el objetivo de contrarrestar estos malware, es, precisamente, cambiar la hora del sistema para lograr analizarla sin inconveniente. A través de esto se logrará que se despierten a la hora deseada, creyendo que es la correcta, de modo que efectúen la actividad y se puedan conocer sus intenciones reales.

Time acceleration: Desde hace mucho tiempo el sistema tiene la capacidad de modificar el valor propuesto por el RDTSC. Por lo que, en caso de enviar las órdenes a la CPU y tras lograr medir el tiempo de procesado de un malware es percatable que está siendo usado en una sandbox, terminará comportándose de una manera benigna en lugar de conectarse a la botnet para lograr enviar peticiones a sitios de internet que se encuentran 'limpios'. Esto podría ocasionar que se cargara su propio payload y no se pueda hacer nada para delatarlo.

Timing de la CPU: Es la velocidad bajo la cual el procesador puede procesar órdenes. Lo fundamental es que se pueda comprobar el timing a través del envío de órdenes a la CPU con la finalidad de verificar la velocidad.

Te puede interesar: https://ihackear.com/vulnerabilidades-webs-mas-evidentes/

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir