¿Por qué un malware prueba el acceso a internet?
Del mismo modo que los hackers éticos deben estar al tanto de las prácticas de los cibercriminales, los desarrolladores de malware también conocen las diferentes técnicas de ciberseguridad.
Por eso, no tardaron en notar que la mayoría de sandboxes no contaban con una salida a internet, sino que la emulaban. En consecuencia, hay programas maliciosos que lo primero que hacen al ingresar a un sistema es abrir un navegador e intentar ingresar a una página cualquiera.
De este modo, el malware prueba el acceso a internet del usuario y, si el ordenador no se encuentra conectado, entonces no despliega sus funciones.
De este modo, cuando le cortas la salida de internet a una máquina virtual para analizar un malware, corres el riesgo de que este jamás se ejecute, ya que requiere de esta función.
Por eso, es necesario dejarle una salida a internet que sea exclusiva para la máquina. Algunas de ellas ya vienen con la función incorporada, pero igualmente es importante que tengas presente esta característica del malware moderno.
Otros métodos antisandbox
Un ejemplo de cómo un malware prueba el acceso a internet de un usuario antes de ejecutarse suele observarse en los ransomwares online. Como su nombre indica, estos son un tipo de ransomwares que requieren de conexión a internet para funcionar.
No obstante, además de este método antisandbox, es necesario que conozcas otros que podrían impedir un análisis de malware correcto.
Los métodos antisandbox más simples consisten en identificar aquellas características que son típicas de la configuración de una máquina virtual. Por ejemplo:
- Nombre del usuario de la máquina virtual.
- Ficheros y directorios comunes de las máquinas virtuales.
- Drivers que contienen el nombre de la máquina virtual.
- Tamaño de disco duro mínimo (65 GB).
- Tamaño de RAM mínimo. (2 o 4 GB).
- Número de cores mínimo. (2 cores).
Para evitarlos, verifica que la configuración de tu máquina virtual no revele información sobre ella.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaLos métodos antisandbox más complejos, como probar el acceso a internet del usuario, emplean procesos más elaborados, que requieren más tiempo de programación y más líneas de código. Algunos de ellos son:
- Sleep: desactivar completamente el comportamiento del software malicioso, mientras pasa suficiente tiempo para evadir los esquemas de ciberseguridad.
- Delay: ejecutar tareas benignas o neutrales para el sistema, con el objetivo de “ganarse la confianza” de los esquemas de protección.
- Timing de la CPU: enviar órdenes a la CPU para identificar la velocidad a la que procesa datos y, así, compararla con ciertos estándares y saber si está siendo ejecutado en una sandbox.
- Timing attack: programar las funciones del malware para que actúen solo ciertos días y a ciertas horas, según lo que más les convenga a los ciberatacantes.
Ya sabes la razón por la cual un malware prueba el acceso a internet del sistema infectado. Si quieres saber más sobre análisis de malware, entra en nuestro Bootcamp Ciberseguridad y conviértete en un experto en tan solo 7 meses. ¡No sigas esperando e inscríbete ahora!