¿Sabes qué es Pafish o Paranoid Fish y por qué se utiliza para el análisis de malware? Los malwares de la actualidad cuentan con funciones avanzadas que van más allá de sus tareas maliciosas. Además de eso, un malware moderno es capaz de reconocer el entorno de ejecución en el que está siendo activado. En otras palabras, un malware complejo puede detectar cuándo está siendo ejecutado en una sandbox.
En este post, hablaremos sobre una herramienta que nos permite evitar que esto suceda. Es decir, que este programa nos ayuda a que, a la hora de analizar malware, este no identifique que su entorno de ejecución es, en realidad, una máquina virtual. A continuación, te explicaremos qué es Pafish y cómo usar esta herramienta para el análisis de malware.
¿Qué es Pafish?
Pafish (Paranoid Fish) es un programa de código abierto que replica los comportamientos de un malware para detectar si se está ejecutando en una máquina virtual. Paranoid Fish reúne diferentes técnicas, que son características de los malwares modernos, con el fin de detectar entornos de análisis e indicarle a los investigadores si una sandbox está bien o mal configurada. Además, Pafish señala exactamente qué aspectos deben corregirse para que el entorno virtual no sea reconocido por el malware.
¿Qué elementos revisa Pafish?
Pafish realiza una serie de pruebas que replican los principales métodos antisandbox de los malwares. Los principales elementos que revisa Pafish son:
- Procesos de debugging: los malwares contienen métodos antidebugging para evitar los procesos de análisis y depuración del programa.
- CPU Timing: algunos programas maliciosos prueban la velocidad de la CPU y la comparan con los estándares comunes de las sandbox.
- Información sobre proveedores: en ocasiones, el nombre de los proveedores de servicios de las sandbox queda registrado por descuido en algún fichero, directorio o driver del sistema.
- Movimiento del ratón: para comprobar que haya actividad en el ordenador.
- Tamaño de la memoria y del disco: los valores mínimos suelen indicar el uso de una máquina virtual.
En otras palabras, podemos definir qué es Pafish como un programa de demostración que pone a prueba todas las configuraciones típicas de una sandbox, al igual que lo haría cualquier malware moderno. Por medio de este programa, se puede verificar que un entorno virtual sea adecuado para el análisis dinámico de malwares.
Para cerciorarte de que tu máquina virtual no contenga ningún tipo de información que le revele al malware el tipo de entorno de ejecución en el que está, es recomendable que selecciones características realistas para tu sandbox. Asimismo, descarga e instala Pafish directamente en el entorno virtual para corregir cualquier error de configuración.
¿Cómo aprender más?
Ya has aprendido qué es Pafish y para qué se utiliza en el análisis dinámico de malware. Si quieres ir más allá y convertirte en un experto en ciberseguridad, ha llegado el momento de echarle un vistazo a nuestro Ciberseguridad Full Stack Bootcamp, con el que te especializarás en este sector en menos de 7 meses. ¡No esperes más para reservar tu plaza!
