Evolución de Antivirus

Si navegamos un poco por los foros de hacking "underground" de la red y nos metemos en sus subforos de malware, vamos a encontrar numerosos crypters y modificaciones de los mismos para -supuestamente- indetectar cualquier código malicioso. Por si algún colgado en el tema no sabe lo que es un crypter, le comento: son herramientas que utilizan algoritmos simétricos para cifrar malware de forma que las firmas de los antivirus sobre ese código se rompan.

Es cierto que los crypters funcionaron muy bien hasta hace unos años atrás, luego los antivirus evolucionaron implementando otro tipo de detección, para no depender únicamente de las firmas... sobre eso les quiero compartir una investigación:

Antes los antivirus contaban con una sola proteccion, basada en firmas, conocida como reactiva. Que en muy resumidas cuentas funciona de la siguiente manera: una muestra de cada malware llega a los laboratorios de los antivirus, los analistas buscan una pequeña parte de ese malware que sea sencible dentro de su código, es decir, que si se llegara a modificar el malware deje de funcionar (al menos debería ser asi aunque a veces no pasa :p) y entonces marcan esa parte como firma para ese malware. A partir de ahí, cuando la base de datos de firmas de los usuarios se actualiza, el AV comienza a detectar ese código malicioso.

Entonces, existen numerosos métodos para acorralar esa firma, modificarla, evitar que el .exe se rompa, etc etc. Uno de los métodos mas sencillos de todos (si no es el mas sencillo) es cifrar el malware utilizando un crypter. ¿Que pasa cuando se cifra? todo el código cambia incluyendo la firma, entonces el antivirus deja de detectar ese malware.

Estas técnicas siguen funcionando para evadir la protección reactiva, ya que la misma no cambió su funcionamiento, peeero, las compañías de AV  implementaron otra protección para complementar a la reactiva, que se llama: Proactiva.

Esta "nueva" protección hace que indetectar un malware ya no sea tan fácil como simplemente utilizar un crypter fud. ¿Porqué? veamos cómo funciona...

Se basa en heurística, tiene algoritmos heurísticos que son en resumidas cuentas aquellos comportamientos que convierten a un ejecutable en potencial sospechoso de malware. Así es, la proactiva no tiene firmas, sino que analiza el comportamiento del .exe.

Existen tres tipos de heurísticas: genérica, pasiva y activa. La primera busca similitudes entre un malware que ya ha pasado por el laboratorio de la compañía y el ejecutable a analizar, si hay demasiadas coincidencias saltará el alerta. La pasiva explora el código del .exe tratando de determinar que acciones realizará y con ello darse cuenta si se trata de un malware o no. La activa, es el sandbox, una caja de arena que viene a ser un entorno virtualizado donde se ejecuta el malware y el AV puede realmente saber todo lo que el mismo va a hacer.

Obviamente esa última heurística es la mas difícil de evadir, y la tienen implementada todos los AV mas populares.

Entonces, a lo que vamos con todo esto, es que hoy en día por mas que cifremos un malware y logremos evadir la protección reactiva, el mismo ejecutará igualmente las acciones tipicas de un malware y será detectado por la segunda protección del AV: la proactiva.

Para respaldar un poco tanta teoría, me arme un mini laboratorio y utilicé el último crypter fud posteado en un popular foro underground. Allí podemos ver el resultado del scan online y efectivamente es un crypter que evade la reactiva de los antivirus. Los escaners online muestran el resultado de la protección reactiva y es lógico que sea así ya que para mostrar el resultado de la protección en tiempo real se deberia contar con una máquina para cada AV con todas sus funciones activas y ejecutar ahí mismo el malware, pero eso no pasa por una cuestión de consumo de recursos.

Bien, en mi lab instale AVG Free con la configuración por default (que cualquier usuario dejaría) donde vemos activa la protección en tiempo real (proactiva). Aquí dejo una captura:



Tome mi carpeta de malware  y cree servers funcionales con la configuracion MINIMA (para reducir comportamientos sospechosos) utilizando los siguientes troyanos: DarkComet, SpyNet 2.6 y uno mas que no me acuerdo indecision

Por supuesto el server así nomas es super detectado hasta por aquellos AVs que no los conoce ni el que lo hizo. Pero bueno, lo fuddie con el crypter y le hice un escaneo manual al .exe que es el mismo que hacen los AV onlines, el resultado fue este:



pero, al ejecutar el malware con el antivirus instalado y con sus funcionalidades a pleno, el resultado cambia:



con otro troyano:



Finalmente no se logró infectar con ninguno de los troyanos. Resultado esperado, al menos para mi. ¿Qué podemos concluir? Al menos a mi me gustaría concluir que hay que innovar en nuevos códigos, en nuevas técnicas de evasión teniendo en cuenta cómo funciona esta nueva protección. Los crypter es algo que se utiliza hace mucho y los AV ya los tienen muy cocinados, de hecho, el que el exe este todo cifrado hace que el AV ya lo mire con sospechas


Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Autor:Sheila A. Berta

Si no estoy mal este post ya se encuentra en el foro fue realizado por Turka que es Sheila

Regards,
Snifer