Continuando con algunas de las charlas y novedades que vimos en BlackHat USA 2014 la semana pasada, compartimos en este post una interesante y profunda investigación realizada por Rodrigo Branco y Gabriel Negreira Barbosa. En su charla “Prevalent Characteristics In Modern Malware”, estos investigadores mostraron los resultados del análisis de más de ocho millones de muestras de malware.
¿Qué fue lo que hicieron?
En pocas palabras, y sin mucho detalle, estos investigadores tomaron un gran recopilación de malware y automatizaron el análisis, estático y dinámico, para recolectar información. Luego estudiaron y catalogaron la información en busca de patrones, tendencias e información relevante sobre estas amenazas. Como se puede imaginar, necesitaron de grandes capacidades de procesamiento y memoria. Según comentaron durante la charla, contaron con más de 8 CPUs y 192 GB de memoria RAM.
¿Cuáles fueron los hallazgos más importantes?
El análisis de tales cantidades de malware permite la búsqueda de patrones y técnicas utilizadas por los cibercriminales. Entre los puntos destacables podemos comentar acerca de las técnicas de evasión y protección que se hallaron en el total de los códigos maliciosos estudiados, como por ejemplo, packers, técnicas de anti-debugging, anti-dissasembly y anti-vm.
En cuanto a los packers, quizás ya no sorprende, pero UPX continúa siendo el packer más utilizado por los cibercriminales, seguido por PECompact en segundo lugar. Si bien ya hemos hablado sobre cómo extraer malware empaquetado con estos packers, los creadores de códigos maliciosos continúan eligiéndolos cuando se trata de proteger sus creaciones.
Hablando sobre malware que se protege ante su ejecución en máquinas virtuales, los resultados revelaron las instrucciones anti-vm más utilizadas en los códigos maliciosos. Si bien este punto parece no tener mucha importancia, en el momento de analizarlo nos da un indicio de qué técnicas somos más propensos a buscar y de esa manera saber cómo enfocar un análisis.
No vamos a enumerar aquí todas las técnicas, pero para aquellos curiosos que quieran ver un poco más de contenido sobre anti-debugging y anti-vm les recomiendo que accedan a este artículo (en inglés), donde encontrarán una lista completa de las técnicas más comunes y su implementación.
Ya que mencionamos el tema de anti-debugging, una técnica utilizada para complicar el análisis dinámico de una amenaza con la ayuda de un debugger, el resultado del estudio mostró un cambio con respecto a la información que habían presentado en 2012. El 20,76% de las amenazas que se analizaron y que presentaban alguna función de anti-debugging detectaban hooks existentes en la aplicación y finalizaban en el caso de que lo encontraran. Esta técnica se encuentra presente en algunas familias de códigos maliciosos y desplazó al uso de la API de IsDebuggerPresent() de Win32.
¿Qué otros valores se tuvieron en cuenta?
Otro de los puntos bajo análisis está relacionado con el número de secciones con las que cuenta cada amenaza. Lo más habitual es que cada archivo cuente con un total de entre 3 y 5 secciones, donde el 61,9% de las amenazas tiene una sola sección ejecutable.
¿Por qué son útiles estudios como este?
Quizás es una pregunta que muchos se hagan en este momento, e incluso haya quien no le encuentre una lógica a este tipo de investigaciones. Sin embargo, estudios como el que realizaron estos dos investigadores permiten identificar ciertos tipos de patrones comunes a todas las amenazas. Una vez que se cuenta con los resultados, estos se pueden utilizar para encontrar patrones y similitudes entre el malware, lo que ayuda a identificar nuevas variantes, cambios en amenazas ya conocidas o definir nuevas reglas de detección de una manera proactiva.
Investigaciones futuras
En el futuro, y como un desafío, estudios similares sobre archivos maliciosos y programas benignos permitirán minimizar la cantidad de falsos positivos, identificar proactivamente campañas de distribución y, sobre todo, aumentar los conocimientos sobre las amenazas y como estas cambian con el paso del tiempo.
Este post nos llega de la mano de nuestro compañero Pablo Ramos de ESET Latinoamñerica.
Créditos imagen: ©Universitetssykehuset Nord-Norge (UNN)/Flickr