El mundo de antivirus

lunes, 14 de diciembre de 2020

Los sandbox frecuentemente se consideran panacea para la protección contra malware. Se supone que el software iniciado en el sandbox revelará su actividad maliciosa y de esta forma se podrá detectarlo. Es lógico que los desarrolladores de malware lo saben e intentan ocultar el verdadero propósito de sus inventos en caso de inciarlos en el sandbox. Así mismo, los creadores de virus suponen que, si alguien investiga sus programas, los iniciará en máquinas virtuales.

En ambos casos si los creadores de virus no desean que las acciones maliciosas de un programa sean detectadas al iniciarlo, deben entender que su software está iniciado en un entorno aislado. Cabe destacar que, al enterarse de eso, algunos usuarios en PCs ordinarios realizan manipulaciones para que la máquina parezca virtual para malware. Si alguien lo recuerda, parecen antiguas vacunas. En los años 90 del siglo pasado existían no solo los primeros antivirus, sino también los así llamados programas vacunas que imitan la infección de un archivo para que los virus, al comprobarlo, no lo infecten. ¿Puede un virus así sustituir un antivirus? Por supuesto que no, no todo el malware tiene funcionalidad de comprobación de lanzamiento en la máquina virtual. ¿Por qué? Por lo menos, porque en las empresas los servidores frecuentemente se implementan en las máquinas virtuales. Y a los usuarios remotos muchas veces se les recomienda trabajar con servicios de oficina desde la máquina virtual.

¿Cómo se puede detectar que un programa está iniciado en la máquina virtual? En caso de PCs reales se usa hardware de varios tipos, por ejemplo, los discos duros de varios productores, varias tarjetas de vídeo y equipamiento de red, el mismo BIOS de siempre. En caso de máquinas virtuales el equipamiento es del mismo tipo. Y, por supuesto, al saber con qué hardware funciona el sistema operativo, se puede sacar determinadas conclusiones.

Los sistemas operativos en las máquinas virtuales pueden tener servicios especiales, controladores y programas instalados (por ejemplo, en caso de VMware – VMware Tools). Y en caso de SO Windows los rastros del inicio en la máquina virtual pueden ser detectados también en el registro.

Por ejemplo, en caso de usar VMware Workstation para la comunicación del SO básico y el SO invitado sirve un puerto de número 0x5658. Si colocamos el número 0x564d5868 en EAX, y escribimos 0x0A en ECX, el comando devolverá la versión de VMware Workstation instalado.

Se puede saber si el usuario trabaja con la máquina virtual o real, por ejemplo, a través de la utilidad Pafish (Paranoid Fish). La misma comprueba:

• el tamaño del disco duro y de la memoria operativa;
• la resolución de la pantalla;
• los movimientos del ratón;
• temporizador TSC de la máquina virtual;
• existencia del software, ID de dispositivos y direcciones MAC de adaptadores de red en el sistema, característicos para analizadores y máquinas virtuales.

Un ejemplo de inicio de Pafish en la máquina virtual:

Pafish detectó correctamente el entorno virtual al comprobar Timestamp counters. Aunque para calibrar este temporizador está previsto un campo especial en la estructura usada en caso de virtualización hardware, es bastante complicado configurarlo correctamente. Esto se debe al problema de detección exacta del número de tic producidos en caso de vmexit y vmresume.

La empresa Doctor Web ofrece a sus clientes un servicio en la nube especial – Dr.Web vxCube, donde el usuario puede cargar un archivo que provoca sospechas. El mismo será iniciado en la máquina virtual especial que no permite a la muestra analizada detectar su propio inicio en el entorno virtual.

La experiencia de análisis de muchos tipos de malware permitió a los expertos de nuestra empresa detectar los métodos usados por los creadores de virus para detectar el inicio del software en las máquinas virtuales, y desarrollar las tecnologías que permiten engañar malware. Por ejemplo, los últimos no pueden usar para sus objetivos:

• la información sobre el cooler;
• la información sobre la existencia de zonas termales en ACPI de la placa madre;
• la información sobre la existencia de accesos directos, programas instalados y actualizaciones del SO;
• la información sobre el uso del procesador Xeon etc.

El control de los métodos de hackers permite añadir de forma oportuna al servicio las técnicas de neutralización de los mismos. En Dr.Web vxCube se usan más de 370 (a fecha de agosto de 2020) – el número récord – técnicas para afrontar los medios de análisis del malware.

Vamos a iniciar Pafish en el servicio Dr.Web vxCube:

Se inicia el escaneo. Cabe destacar que en este momento el usuario del servicio puede esperar que el escaneo finalice o, a través de VNC, entrar en la máquina virtual para realizar las acciones requeridas. En este caso, al entrar en la máquina virtual, verá el funcionamiento de Pafish:

Como vemos, todos los escaneos se realizan correctamente, no se detecta ninguna máquina virtual, Pero ¿el propio servicio detecta el hecho de ser analizado?

Una vez finalizado el análisis de funcionamiento del programa (se puede configurar el periodo de análisis antes de iniciar el programa) localizamos la sección Comportamiento del informe. Y vemos la entrada Detección Vm, y en la sección Descripción podemos ver más detalles:

#malware #tecnologías_en_la_nube #características_de_infección #tecnologías_Dr.Web