¿Sabes qué es la función de delay en un malware y por qué se incluye esta técnica en el desarrollo de estos programas? Los malwares de la actualidad son softwares inteligentes, complejos y altamente elaborados. Además de ejecutar tareas altamente dañinas para los sistemas, son capaces de evadir los esquemas de ciberseguridad más utilizados. Entonces, los analistas de malware deben conocer las técnicas de desarrollo que utilizan los creadores de estos programas para evitar ser detectados, estudiados y eliminados.
Análisis de malware
El análisis de malware cuenta con tres etapas diferentes: el análisis estático, el análisis dinámico y la ingeniería inversa.
- El análisis estático se refiere al estudio del malware directamente desde el código fuente y sin ejecutarlo (para ello se necesita, de antemano, contar con el código).
- El análisis dinámico implica ejecutar el malware en un entorno virtual controlado y debidamente preparado para ello (en este tipo de análisis nos centraremos en este post).
- Finalmente, la ingeniería inversa es el proceso de ejecutar el malware con código ensamblado, con el fin de descubrir, paso a paso, cómo se ha elaborado.
Ahora bien, en este post nos concentraremos en un método que utilizan los desarrolladores de malware para evitar que sus programas sean sometidos a un análisis dinámico. Para realizar este tipo de análisis, los expertos utilizan entornos virtuales especiales llamados sandbox o cajas de arena. Por eso, la técnica de malware que explicaremos aquí se clasifica como un método antisandbox, ya que tiene la función de reconocer y evadir estos entornos.
A continuación, detallamos qué es la función de delay en un malware y cómo se puede contrarrestar este método de evasión de máquinas virtuales.
¿Qué es la función de delay en un malware?
La función de delay en un malware se refiere a una instrucción o una serie de instrucciones que tienen el fin de dilatar el comienzo de las tareas perjudiciales del software malicioso. No obstante, con la función de delay, el malware no se apaga totalmente y, por lo tanto, no deja de obrar. En cambio, con esta función, un malware tiende a ejecutar tareas y procesos neutrales o, incluso, beneficiosos para el sistema. Con este método, el programa busca obtener la confianza de los programas antivirus y antimalware.
Además de eso, la función de delay en un malware puede aprovechar que el virus no se encuentra, en teoría, inactivo para hacer indagaciones sobre su entorno de ejecución. En otras palabras, durante el proceso de delay o dilatación, el programa puede enviarle órdenes que no sean sospechosas al ordenador, con el fin de averiguar si está siendo ejecutado en una máquina virtual o no.
Puede ser común encontrar la función de delay en un malware, ya que es una técnica prácticamente indispensable para el desarrollo de programas maliciosos modernos. No obstante, no siempre se encontrará en todos los malwares y, además, puede ser fácil de detectar en el análisis. Para contrarrestar el efecto de la función de delay en un malware, los analistas de seguridad informática pueden adelantar el tiempo de la sandbox, con el fin de observar cómo se comporta un programa después de algún tiempo.
Funciones similares del malware
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaExisten funciones similares al delay que están relacionadas con el momento y el tiempo de ejecución de ciertos malwares. A continuación, te explicaremos dos de las técnicas más utilizadas, al margen del delay.
Función de sleep
La función de sleep en un malware, a diferencia del delay, consiste en apagar completamente el programa durante un tiempo, con el fin de evitar ser detectado por programas de antivirus y entornos virtuales. En ocasiones, alrededor de veinte minutos de inactividad pueden ser suficientes para superar muchos filtros de antivirus. Sin embargo, adelantar el tiempo de la caja de arena también es un antimétodo viable para combatir la función de sleep.
Timing attack
El timing attack es un método antisandbox más complejo, pues consiste en elegir con precisión qué días y a qué horas se ejecuta el malware. Un ejemplo de este tipo de ataques se puede encontrar en algunos ransomwares que roban información, como Conti y REvil. En este tipo de malwares, es común que se activen a altas horas de la noche o fines de semana, con el objetivo de evitar los horarios laborales de los empleados y actuar a sus anchas.
¿Cómo aprender más?
Aunque ya sabes qué es la función de delay en un malware, ¡aún queda mucho por aprender! Si quieres formarte hasta convertirte en un experto en seguridad informática, en KeepCoding tenemos la formación teórico-práctica perfecta para ti: el Ciberseguridad Full Stack Bootcamp. ¡Inscríbete ahora y destaca en el sector IT!
