Desde hace tiempo venimos escuchando con frecuencia los nuevos
avances en el desarrollo y operación del Malware, hoy hablaremos de uno
de estos avances que puede ser la pesadilla para cualquier analista en
malware.
Y es que la mayoría de los análisis de malware se hacen
mediante algún tipo de sistema virtualizado o sandbox, y el avance
que hablaremos hoy es sobre esto, que un malware puede detectar si se
esta corriendo sobre un entorno virtualizado y así no realizar
ninguna acción para evitar su detección del mismo.
Hay un proyecto de Alberto Ortega de
una herramienta que su funcion es detectar varias caracteristicas de un
sistema con el fin de saber si es un entorno virtualizado o no.
Si ustedes corren esta herramienta sobre VirtualBox, la herramienta
detecta de manera exitosa y rapida mostrando de forma clara los
elementos que ha preguntado.
Imagen 1.- Detección de entornos virtualizados con Pafish
Aqui una muestra de una prueba hecha por el equipo de Securitybydefault que corre la herramienta de Pafish sobre VMDetectguard, esta aplicación entre otras funciones, intenta hacer creer a un Malware que se está ejecutando en otro entorno, mediante enmascaramiento de peticiones.
Imagen 2.- VMDetectGuard. Soporte a diferentes sistemas
A la hora de ejecutar ambas herramientas, se
puede comprobar cómo esta solución logra enmascarar ciertas peticiones,
pero por el contrario no llega a engañar a esta gran herramienta.
Imagen 3.- Ejecución de Pafish en un entorno enmascarado
Como se ve la herramienta de Pafish no puede ser engañada, por lo
cual nos deja pensando sobre las diferentes variantes de malware que
pueden aprovechar esta tecnología para evitar un analisis del mismo.
Descarga de Github: Pafish
Saludos