¿Qué es KVM?

¿Sabes qué es KVM y para qué se utiliza esta herramienta en ciberseguridad? Los malwares o programas maliciosos actuales pueden ser altamente peligrosos. Por eso, para ejecutarlos, es necesario contar con un entorno virtual preparado adecuadamente para hacerlo. A estas máquinas virtuales se les conoce como sandboxes o cajas de arena y se utilizan para realizar análisis dinámicos de malwares.

Diferencia entre una máquina virtual y una sandbox

Si te interesa saber qué es KVM, entonces seguramente ya has escuchado hablar sobre el análisis dinámico de malwares y las cajas de arena o sandboxes. Sin embargo, es necesario aclarar que no todas las máquinas virtuales son cajas de arena.

Una máquina virtual es simulada por medio de un programa especializado y, por lo tanto, permite ejecutar cajas de arena. Sin embargo, una sandbox es un entorno virtual que se utiliza específicamente para ejecutar malwares y evaluar su comportamiento. A continuación, veremos por qué KVM puede ser la caja de arena ideal para un investigador.

¿Qué es KVM?

KVM o Kernel-based Virtual Machine es un programa de Linux que se incorporó al sistema operativo desde el año 2007. Todas las versiones actuales de este sistema operativo, a partir del Kernel 2.6.20, tienen KVM incorporado.

KVM es una máquina virtual que permite simular diferentes ordenadores y correr procesos en ellos sin afectar a nuestras máquinas reales. Además, tiene la ventaja de que funciona con QEMU, el emulador del procesador del sistema necesario para traducir las órdenes del ejecutable al sistema operativo. Esto se traduce en una alta eficiencia y, por ende, buenas velocidades de procesamiento y funcionamiento.

Las velocidades que ofrece trabajar con KVM son un gran atractivo de este software. No obstante, hay una característica adicional que, por el momento, convierte a este programa en el ideal para ejecutar cajas de arena o sandbox. Uno de los atributos más positivos de KVM a la hora de hacer análisis de malware es que es menos utilizado por los investigadores y, por tanto, los malwares no tienden a identificar que están siendo ejecutados allí.

Métodos antisandbox

La resistencia a los métodos antisandbox (o más bien la ausencia de los mismos) es una de las características más atractivas de qué es KVM como sandbox. No obstante, ahora definiremos de qué se tratan estas técnicas y por qué afectan a otros entornos virtuales.

Métodos antisandbox simples

Al hablar de qué es KVM hemos mencionado que no es tan fácil que los malwares lo detecten, ya que no suele utilizarse tanto como otros programas para ejecutar malwares. Algunos de los programas más usados, como VirtualBox o VMware, pueden ser detectados por los malwares más avanzados (si no se configuran correctamente).

Los métodos antisandbox más simples consisten en detectar especificaciones típicas de una máquina virtual como, por ejemplo:

• Número de cores del sistema: 2.
• Tamaño del disco duro: 65 GB.
• Tamaño de la RAM: 4 GB.
• Nombre del usuario del sistema.
• Nombre de la pantalla de inicio.
• Directorios característicos de las máquinas virtuales.

Métodos antisandbox complejos

Por otra parte, hay métodos antisandbox más complejos, como, por ejemplo:

• Timing de la CPU.
• Sleep.
• Delay.
• Timing attack.

Estos consisten en despistar a la máquina virtual para hacer al analista creer que el programa ejecuta tareas benignas o neutrales.

¿Cómo aprender más?

Ya has aprendido qué es KVM y cuáles son sus ventajas frente a otros softwares similares. Si quieres saber más y convertirte en un analista de malware profesional, en KeepCoding tenemos el curso ideal para que comiences. Entra a nuestro Ciberseguridad Full Stack Bootcamp y especialízate en tan solo 7 meses. ¿Por qué sigues esperando? ¡Inscríbete y conviértete en un experto!