Malware Deception: nadie se escapa

Malware Deception: nadie se escapa

El malware es una amenaza que nos afecta a todos y que se está incrementando de forma exponencial. En los últimos años, el malware al que nos enfrentamos cada vez es más sofisticado, debido a que los cibercriminales quieren, primero, que no sepamos quien es el responsable de la creación de una muestra de malware y lo segundo, y primordial, que no sepamos cuales son las técnicas que utiliza el malware para adentrarse en nuestro sistema y conseguir su objetivo final.

Esto es lo que se conoce como malware evasivo, el cual, cuando se adentra en un sistema, lo primero que hace es reconocer el entorno para ver si puede ejecutar sin ningún peligro. Ese peligro es un una maquina virtual o una sandbox, en definitiva un entorno de análisis, en el que se puede ejecutar y analizar el malware sin riesgo.

Ante este malware evasivo, hemos creado una herramienta denominada Malware Deception, la cual simula un entorno de análisis para que la muestra no se ejecute y además, todas las llamadas que haga el malware al sistema para reconocer el entorno son registradas.

La herramienta entonces es capaz de detectar el malware evasivo y además conseguir que no lleve a cabo su objetivo final.

Malware Deception es una herramienta de protección en todo el sistema con manejo preciso que se implementa en segundos y es muy fácil de administrar. El consumo de recursos (CPU, memoria y disco) del sistema es muy bajo.

Además, no necesita de actualizaciones constantes, puede operar como una herramienta independiente, no necesita de privilegios especiales para ejecutarse, ya que funciona en modo de usuario y la tasa de falsos positivos baja a inexistente

Bien, ahora vamos a ver como funciona esta herramienta.

Lo primero que hacemos es bajarnos la herramienta Pafish, que es una herramienta de demostración que emplea varias técnicas para detectar entornos limitados y entornos de análisis de la misma manera que las familias de malware. Nos la descargamos del siguiente enlace (https://github.com/a0rtega/pafish/archive/v0.5.8.zip)

Descomprimimos el archivo descargado y ejecutamos el ejecutable llamado pafish.

Se comenzará a ejecutar y debería salir algo parecido a la imagen siguiente. La mayoría de las funciones deberían aparecer en verde significando que estamos en un entorno normal.

Lo que hemos hecho es simular las llamadas que haría el malware al sistema para reconocerlo y en este caso aparece como un entorno normal y no como un entorno de análisis.

Ahora vamos a explicar como instalar la herramienta de Malware Deception en un equipo Windows. Malware Deception es compatible con sistemas Windows 7 y posteriores tanto en versiones de 32 bits como de 64 bits.

Lo primero de todo nos descargamos la herramienta de la página web de Malware deception. La versión que nos vamos a descargar caduca a finales de 2019. A principios de año siguiente sacaremos una nueva versión.

A continuación solo debemos hacer doble click en el ejecutable que nos hemos descargado, he instalarlo. Una vez que los tenemos instalado, nos aparecerá un icono en la barra de Windows como el de la siguiente imagen.

Una vez instalada la herramienta, vamos a ejecutar Pafish otra vez, pero ahora con Malware Deception instalado y funcionando.

Como vemos los resultados son bastante diferentes a los conseguidos sin tener instalado Malware Deception. Ahora todas las llamadas a las funciones del sistema preguntado sobre el entorno parecen en rojo, por lo que parece que estamos en un entorno de análisis.

Además, cuando se estaba ejecutando pafish, cada vez que este hacía una consulta al sistema estaba una ventana alertando de que un programa estaba reconociendo el entorno.

Por tanto, se ha simulado correctamente el entorno de análisis, registrado todas las llamadas al sistema que realiza el ejecutable.

Para ver todas las llamadas al sistema que hay ido realizando el ejecutable debemos ir al visor de eventos de Windows. Para ello buscamos visor de eventos en el buscador de Windows y lo abrimos.

Después, seleccionamos el registro de eventos de PuffinSecurity como se muestra en la siguiente imagen y navegar por todos los diferentes eventos que se han ido generando en los que se muestran las diferentes llamadas que ha ido realizando el programa Pafish.

Y así es como se instala y funciona Malware Deception. En el siguiente post veremos como integrarlo con el MDR.

Referencias:

https://github.com/psaneme/Kung-Fu-Malware