Una de las tecnologías de la vieja escuela para la identificación de malware es el emulador.
La emulación es un método para descubrir amenazas, en la cual se ejecuta un archivo de comportamiento sospechoso en un entorno “simulado” que imita a un equipo de cómputo real. Una vez allí, el antivirus* monitorea el comportamiento del archivo, si halla actividad peligrosa, lo aísla para una investigación adicional.
Pero en la actualidad, esta estrategia presenta una gran desventaja: el hecho de que el ambiente sea artificial. El emulador se esfuerza para que ese entorno artificial parezca un sistema operativo real, pero el malware, cada vez más «inteligente», consigue diferenciarlo de un entorno real. Cuando el emulador se percata de que el malware lo ha reconocido, se reagrupa y mejora su emulación, y así sucesivamente en un ciclo interminable que a menudo abre la ventana a una posible vulnerabilidad en un equipo protegido. El problema principal es que ningún emulador ha podido retratar la viva imagen de un sistema operativo real.
Existe otra opción para abordar el análisis de comportamiento de los objetos sospechosos: analizarlo (en un sistema operativo real) dentro de una máquina virtual.
Recientemente, Kaspersky obtuvo una patente estadounidense (US10339301) que comprende la creación de un ambiente adecuado para que una máquina virtual realice análisis rápidos y profundos de objetos sospechosos. Así es cómo funciona:
- Las máquinas virtuales se diseñaron (para diversos tipos de objetos) con ajustes que aseguran su ejecución óptima y una tasa de detección máxima.
- El hipervisor de la máquina virtual funciona junto con el registro del sistema de comportamiento de un objeto y del análisis del sistema de este, apoyado por las bases de datos actualizables de las plantillas de comportamiento sospechoso, la heurística y la lógica de reacciones frente a acciones, entre otros.
- Si se detectan acciones sospechosas, el sistema de análisis incorpora en la marcha cambios en el proceso de ejecución del objeto en una máquina virtual con el fin de estimular al objeto para que revele sus intenciones maliciosas. Por ejemplo, el sistema puede crear archivos, modificar el registro, acelerar el tiempo y demás.
Un ejemplo del tercer punto y su funcionamiento:
El sistema detecta que un archivo lanzado “se ha quedado dormido” y ya no da muestras de actividad. Eso se debe a que el objeto pudo haberse programado para permanecer inactivo durante varios minutos (o docenas de ellos; incluso horas) antes de comenzar su actividad maliciosa. Cuando empieza su falsa inactividad, aceleramos el tiempo en la marcha al interior de la máquina virtual, de modo que pasen uno, tres, cinco y hasta un millar de minutos por segundo. La funcionalidad del archivo sujeto a análisis no cambia, mientras que el tiempo de espera se reduce cientos (hasta miles) de veces. Y, si después de su “siesta,” el malware decide verificar el reloj del sistema, se le hará creer que éste ha seguido su curso, con lo cual seguirá con su misión maliciosa y, en consecuencia, se expondrá en el proceso.
El funcionamiento de esta tecnología, pronto se añadirá y comercializará como una solución independiente para empresas: Kaspersky Sandbox.
Le invitamos a ponerse en contacto con nosotros para proveerle más información respecto al apoyo que Adaptix Networks puede brindar a su empresa en software de seguridad y las herramientas corporativas de Kaspersky Lab.
Fuente https://www.kaspersky.es/blog/kaspersky-sandbox-patent/19141/