Análisis dinámico de malwares

Autor: | Última modificación: 25 de agosto de 2022 | Tiempo de Lectura: 3 minutos

¿Qué es el análisis dinámico de malwares? ¿Cuál es su diferencia con el análisis estático y la ingeniería inversa? Los malwares o softwares maliciosos son programas que, actualmente, han sido diseñados cuidadosamente con el fin de ejecutar tareas dañinas para los sistemas infectados o sus usuarios.

Existen diferentes tipos de malwares y, además, múltiples técnicas que permiten que estos evadan las soluciones tradicionales de seguridad. Por eso, para entender cómo funciona un malware, es necesario realizar un análisis que, usualmente, se divide en tres fases diferentes:

¿Qué es el análisis dinámico de malwares?

El análisis dinámico de malwares es la segunda etapa de un proceso de estudio acerca de un programa malicioso en ciberseguridad. Los análisis dinámicos consisten en ejecutar malwares en máquinas virtuales, que son entornos preparados especialmente para hacerlo sin dañar el hardware o el software de la máquina real en el que se hace el estudio.

Las máquinas virtuales también son conocidas como sandboxes o cajas de arena y son programas que pueden simular ordenadores con diferentes características, como capacidad de memoria, sistema operativo, tamaño del disco duro, etc. Allí es posible ejecutar todo tipo de archivos, incluso los más peligrosos, con el fin de observar cómo se comportan realmente.

Algunos sandboxes que puedes utilizar para tus estudios dinámicos con malware son:

En un análisis dinámico de malwares, es posible identificar aspectos del funcionamiento que no hayamos visto en la fase estática. Sin embargo, esto no significa que todos los entornos virtuales nos mostrarán todas las funciones de un malware. La principal desventaja o la mayor dificultad de hacer análisis dinámicos es que los malwares pueden contener sistemas en su código para evitar que se ejecuten en un entorno virtual y a esto se le conoce, en el desarrollo de malware, como métodos antisandbox.

Métodos antisandbox

Antes de hacer análisis dinámicos de malwares, hay que revisar que estos no cuenten con métodos antisandbox y, en caso de tenerlos, será necesario quitárselos antes de ejecutarlos en un entorno virtual. Algunos de los métodos antisandbox más comunes son:

Métodos antisandbox comunes

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Estos métodos son sencillos y se basan en aprovechar errores de configuración comunes o descuidos de los usuarios. Les permiten a los malwares detectar cuándo se están ejecutando en una sandbox, pero a la vez son fáciles de detectar por analistas, ya que solamente se requiere una comprobación.

Algunos de los datos típicos de una sandbox que pueden detectar estos métodos son:

  • Número de cores del sistema operativo: 2, que es el mínimo. Por eso los usuarios de las sandboxes lo suelen escoger.
  • Tamaño del disco: 65 GB, que es lo mínimo también.
  • Nombre de carpetas compartidas en red.
  • Nombre de adaptadores virtuales en red.
  • Nombre de la pantalla del equipo.
  • Tamaño de la memoria RAM: 2 GB o 4 GB, que también son medidas mínimas.

Mediante la detección de algunos de estos valores, los atacantes pueden identificar y evitar un análisis dinámico de malwares. No obstante, existen más técnicas avanzadas, tanto para analistas como para ciberatacantes, que están implicadas en la realización y evasión de estos estudios. Por eso, en ciberseguridad, las herramientas deben utilizarse en conjunto y ninguna suele bastar por sí sola.

¿Cómo aprender más?

Ya sabes qué es el análisis dinámico de malwares y cuáles son las ventajas y desventajas de esta fase. Si quieres aprender más sobre análisis de malware, ingresa a nuestro Ciberseguridad Full Stack Bootcamp y podrás especializarte en solo 7 meses. ¡Inscríbete ya!

[email protected]

¿Sabías que hay más de 24.000 vacantes para especialistas en Ciberseguridad sin cubrir en España? 

En KeepCoding llevamos desde 2012 guiando personas como tú a áreas de alta empleabilidad y alto potencial de crecimiento en IT con formación de máxima calidad.

 

Porque creemos que un buen trabajo es fuente de libertad, independencia, crecimiento y eso ¡cambia historias de vida!


¡Da el primer paso!