¿Sabes qué es la función de sleep en un malware y por qué se utiliza en ciberataques? Los malwares de la actualidad son programas elaborados y complejos. Además de ejecutar tareas altamente perjudiciales para los sistemas, cuentan con métodos para evadir las medidas más comunes de ciberseguridad. Por eso, a la hora de analizar un malware es necesario conocer las técnicas avanzadas de desarrollo que se usan actualmente para crearlos.
¿Qué es la función de sleep en un malware?
La función de sleep en un malware consiste en desactivar su funcionamiento totalmente durante un tiempo, antes de ser ejecutado. Este método se utiliza para evadir el estudio del malware en entornos virtuales por varios motivos.
En primer lugar, algunos estudios de sandbox (principalmente aquellos que se hacen de forma automática) toman muy poco tiempo. De hecho, muchos de ellos duran apenas un par de minutos. Estos sistemas, por medio de la función de sleep en un malware, son realmente fáciles de evadir.
Ahora bien, no todos los análisis dinámicos se ejecutan de forma automática. En gran parte de los casos, se hacen de forma manual. Entonces, la función de sleep de un malware también debe durar lo suficiente como para evadir exámenes manuales en entornos virtuales.
¿Cómo contrarrestar la función de sleep en un malware?
La función de sleep en un malware es uno de los métodos antisandbox complejos más comunes. Se define como complejo, debido a que requiere de una serie de procesos de programación, pero a la vez es fácil de identificar, ya que es una característica usual en los malwares.
Para desactivar la función de sleep en un malware, los analistas pueden adelantar la hora y la fecha de la máquina virtual hasta encontrar el punto en el que el malware se despierta. Usualmente, este tiempo suele tener una duración de 20 minutos en promedio, que es suficiente para, en general, ganarse la confianza de los programas antivirus.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaA pesar de esto, también se pueden encontrar funciones de sleep que duren mucho más tiempo o, incluso, algunas variaciones de la técnica que le permiten al malware despertarse solo ciertos días y a ciertas horas. Esta dilatación del tiempo de análisis es útil para los ciberatacantes, pues retrasa el trabajo de quienes buscan soluciones de seguridad.
Variaciones de la función de sleep
La función de sleep en un malware es altamente común, pero por esa razón suele detectarse fácilmente en el análisis. No obstante, existen algunas variaciones que pueden ser más difíciles de identificar en un entorno virtual. A continuación, hablaremos sobre dos de ellas:
- Función de delay o dilatación: si bien con la función de sleep un malware queda totalmente desactivado por un tiempo, con la función de delay el programa ejecuta acciones neutrales o beneficiosas para el sistema, con el objetivo de pasar desapercibido ante los análisis en sandbox y con programas de antivirus.
- Timing attack: se trata de una función de sleep avanzada, pues le indica al malware qué días y a qué horas debe despertarse para ejecutar sus tareas maliciosas. Algunos malwares, para robar datos de organizaciones y usuarios, funcionan en altas horas de la noche o fines de semana, para actuar a sus anchas dentro de los sistemas.
Al mismo tiempo que realizan estas funciones antianálisis, es posible que los malwares realicen pruebas en el equipo con el fin de saber si el entorno de ejecución es una máquina virtual.
Ya has aprendido qué es la función de sleep en un malware y por qué se utiliza en el desarrollo de este tipo de software. Para continuar formándote y ser un experto seguridad informática, es el momento de echarle un vistazo a nuestro Bootcamp en Ciberseguridad. ¡Reserva tu plazza ahora y especialízate en solo 7 meses!