¿Sabes qué es el timing de la CPU en el malware y para qué sirve esta técnica? Los malwares actuales cuentan con funciones que van mucho más allá de sus tareas perjudiciales para el usuario y el sistema. Adicionalmente, los programas maliciosos más modernos cuentan con características que les permiten evadir los esquemas de ciberseguridad más utilizados. Por eso, a la hora de hacer análisis de este tipo de softwares, es necesario saber qué métodos utilizan para evitar ser detectados.
¿Qué son los métodos antisandbox?
Algunas de las técnicas más utilizadas por los malwares para evitar ser analizados se conocen como métodos antisandbox. Estos son un conjunto de herramientas y procesos, cuya función es detectar el momento en el que el malware se ejecuta en una máquina virtual. Esta estrategia de defensa busca impedirle a los investigadores de seguridad analizar el virus y encontrarle una solución a tiempo.
En este post, hablaremos sobre una técnica antisandbox muy común y cuál es el método apropiado para evadirla en ciberseguridad. A continuación, te explicaremos qué es el timing de la CPU en el malware, cómo funciona y cómo defenderte de esta función.
¿Qué es el timing de la CPU en el malware?
El timing de la CPU, también conocido como RDTSC, es un método que consiste en identificar cuál es la velocidad con la que un ordenador es capaz de procesar órdenes. La técnica para lograr esto es muy sencilla y se trata de enviarle instrucciones a la CPU, con la intención de comprobar su velocidad y, luego, compararla con ciertos estándares para determinar si se está ejecutando el programa en una máquina virtual.
La velocidad de procesamiento de la CPU de una máquina virtual suele ser significativamente menor a la de una máquina real. Adicionalmente, los desarrolladores de malware conocen cuáles son los tiempos de las CPU más comunes de encontrar en entornos virtuales. No obstante existe un método para engañar al malware y hacerle pensar que las velocidades de procesamiento son normales.
¿Qué es el time acceleration?
Ya sabes qué es el timing de la CPU en el malware y para qué lo utilizan los desarrolladores de estos programas. Ahora, hablaremos del método más eficaz para evadir esta técnica de desarrollo de malware.
En análisis de malware, el término time acceleration o acelerador de tiempo hace referencia al tiempo de la CPU. Es decir, no se refiere a adelantar la fecha o la hora del sistema, como podría suponerse por su nombre, sino que el time acceleration es una técnica que permite cambiar el valor devuelto por el RDTSC del malware.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaEl proceso de time acceleration permite «engañar» a los malwares que miden el tiempo de procesamiento de la CPU del ordenador infectado. De este modo, le arroja valores falsos al programa y le indica que la velocidad de procesamiento coincide con los valores normales de una máquina real.
Si no se añade una función de time acceleration a una sandbox, se corre el riesgo de que el virus informático identifique que alguien está intentando ejecutarlo en un entorno preparado para analizarlo. Como esto no le conviene a los ciberatacantes, algunos malwares están diseñados para que, al notarlo, su funcionamiento cambie por completo y se haga pasar por un programa favorable o neutral para el sistema.
Por eso, si queremos ver el despliegue real de las funciones maliciosas de un malware, en ocasiones será necesario implementar esta técnica dentro de la sandbox.
Otros métodos antisandbox
Si bien ya hemos visto qué es el timing de la CPU en el malware, existen otros métodos antisandbox que vale la pena conocer para analizar este tipo de programas con éxito. Los métodos antisandbox más simples, por ejemplo, consisten en reconocer características típicas de una sandbox en el sistema.
Para evitar esto, verifica que las configuraciones de tu entorno virtual no sean las más predecibles y que los ficheros y los directorios no revelen ningún tipo de información sobre la máquina. En otras palabras, debes hacerle creer al malware que se encuentra en un sistema común.
¿Cómo aprender más?
Ya has aprendido qué es el timing de la CPU en el malware y para qué se utiliza esta función. Ahora, para continuar aprendiendo y poder convertirte en un experto en esta rama del sector IT en menos de 7 meses, no te pierdas nuestra formación íntegra e intensiva de alta calidad: el Ciberseguridad Full Stack Bootcamp. ¡No sigas esperando y consigue tu plaza ahora!
