¿Por qué un malware prueba el acceso a internet?

Autor: | Última modificación: 31 de agosto de 2022 | Tiempo de Lectura: 3 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

¿Por qué un malware prueba el acceso a internet de un usuario? Los malwares son un tipo de programas informáticos, que existen desde hace casi tanto tiempo como la computación. Por eso, actualmente, se encuentran tan desarrollados como cualquier otro tipo de software y generan una industria ilegal con ingresos anuales multimillonarios. Así pues, en el análisis de malware, es importante conocer cuáles son las técnicas avanzadas que usan estos programas con el fin de evadir sistemas de ciberseguridad.

Métodos antisandbox

Algunas de las técnicas más comunes del desarrollo de malware son los métodos antisandbox, que se refieren a un conjunto de prácticas informáticas que utilizan los creadores de estos programas para evitar que los ejecuten en entornos virtuales controlados. Algunos de los malwares actuales pueden identificar si están siendo ejecutados en una máquina virtual, lo cual iría en contra de los intereses de los atacantes.

En este post hablaremos sobre un método antisandbox que ya no es igual de efectivo como antes, pero que vale la pena conocer para poder identificarlo a la hora de analizar un malware. En ocasiones, estas funciones pueden ser aprovechadas por los analistas para comprobar que un archivo es malicioso. A continuación, te explicaremos por qué un malware prueba el acceso a internet de un usuario. ¿Qué finalidad tiene esta función?

¿Por qué un malware prueba el acceso a internet?

Del mismo modo que los hackers éticos deben estar al tanto de las prácticas de los cibercriminales, los desarrolladores de malware también conocen las diferentes técnicas de ciberseguridad.

Por eso, no tardaron en notar que la mayoría de sandboxes no contaban con una salida a internet, sino que la emulaban. En consecuencia, hay programas maliciosos que lo primero que hacen al ingresar a un sistema es abrir un navegador e intentar ingresar a una página cualquiera. De este modo, el malware prueba el acceso a internet del usuario y, si el ordenador no se encuentra conectado, entonces no despliega sus funciones.

De este modo, cuando le cortas la salida de internet a una máquina virtual para analizar un malware, corres el riesgo de que este jamás se ejecute, ya que requiere de esta función. Por eso, es necesario dejarle una salida a internet que sea exclusiva para la máquina. Algunas de ellas ya vienen con la función incorporada, pero igualmente es importante que tengas presente esta característica del malware moderno.

Otros métodos antisandbox

Un ejemplo de cómo un malware prueba el acceso a internet de un usuario antes de ejecutarse suele observarse en los ransomwares online. Como su nombre indica, estos son un tipo de ransomwares que requieren de conexión a internet para funcionar. No obstante, además de este método antisandbox, es necesario que conozcas otros que podrían impedir un análisis de malware correcto.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Los métodos antisandbox más simples consisten en identificar aquellas características que son típicas de la configuración de una máquina virtual. Por ejemplo:

  • Nombre del usuario de la máquina virtual.
  • Ficheros y directorios comunes de las máquinas virtuales.
  • Drivers que contienen el nombre de la máquina virtual.
  • Tamaño de disco duro mínimo (65 GB).
  • Tamaño de RAM mínimo. (2 o 4 GB).
  • Número de cores mínimo. (2 cores).

Para evitarlos, verifica que la configuración de tu máquina virtual no revele información sobre ella.

Los métodos antisandbox más complejos, como probar el acceso a internet del usuario, emplean procesos más elaborados, que requieren más tiempo de programación y más líneas de código. Algunos de ellos son:

  • Sleep: desactivar completamente el comportamiento del software malicioso, mientras pasa suficiente tiempo para evadir los esquemas de ciberseguridad.
  • Delay: ejecutar tareas benignas o neutrales para el sistema, con el objetivo de «ganarse la confianza» de los esquemas de protección.
  • Timing de la CPU: enviar órdenes a la CPU para identificar la velocidad a la que procesa datos y, así, compararla con ciertos estándares y saber si está siendo ejecutado en una sandbox.
  • Timing attack: programar las funciones del malware para que actúen solo ciertos días y a ciertas horas, según lo que más les convenga a los ciberatacantes.

¿Cómo aprender más?

Ya sabes la razón por la cual un malware prueba el acceso a internet del sistema infectado. Si quieres saber más sobre análisis de malware, entra en nuestro Ciberseguridad Full Stack Bootcamp y conviértete en un experto en tan solo 7 meses. ¡No sigas esperando e inscríbete ahora!

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado