¿Qué es un thread environment block en un malware?

Autor: | Última modificación: 30 de agosto de 2022 | Tiempo de Lectura: 2 minutos

¿Sabes qué es un thread environment block y para qué se utiliza como técnica en el desarrollo de malwares? Los programas maliciosos de la actualidad cuentan con técnicas de desarrollo avanzadas que les permiten defenderse de los sistemas de ciberseguridad. En este post, hablaremos sobre uno de los métodos de antidebugging que utilizan los desarrolladores de malware para detectar cuándo sus programas están siendo analizados y, por ende, evitarlo.

¿Qué es el antidebugging?

El debugging o depuración de programas consiste en un conjunto de técnicas y herramientas informáticas para detectar y eliminar errores en un software. El antidebugging es un tipo de prácticas que utilizan los ciberatacantes en el desarrollo de malware, con el fin de que el programa detecte cuándo está siendo depurado o, en otras palabras, analizado por alguien.

Los métodos de antidebugging se basan, principalmente, en dos tipos de estructuras de datos:

  • Métodos para detectar la depuración al nivel de los hilos.
  • Métodos para detectarla al nivel de los procesos del sistema.

Ahora, nos concentraremos en el primer tipo de método de antidebugging. A continuación, te explicamos qué es un thread environment block y qué ventajas les ofrece para el desarrollo de malware.

¿Qué es un thread environment block en un malware?

Un thread environment block (TEB) es una estructura de datos de Win32, concretamente de la arquitectura x86, que sirve para almacenar información sobre el hilo que se está ejecutando en el sistema. La principal ventaja de un TEB para un malware es que se puede recurrir a este sin necesidad de llamar a la API de Windows. La estructura TEB está disponible en modo de usuario, es decir, la usan los módulos como Kernel 32 o NTDLL y no necesita depurar el kernel para conseguir información.

Uno de los métodos más frecuentes de thread environment block consiste en buscar algunas librerías mediante importaciones:

  • Kernel.dll.
  • KernelBase.dll.
  • Ntdll.dll.

Con el fin de cargar funciones como:

  • LoadLibrary.
  • GetProcAddress.

¿Por qué se utiliza para el malware?

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Ya hemos visto de manera muy breve qué es un thread environment block. Ahora, para concluir, hablaremos sobre otras utilidades del uso de la estructura TEB. Además de servir para saber si los hilos están siendo depurados, este proceso también le ofrece información a los atacantes sobre los hilos que se están ejecutando en el sistema. Estos datos pueden utilizarse para inyectar código o detener procesos, entre otras acciones malintencionadas.

¿Cómo aprender más?

Ya has aprendido qué es un thread environment block y en qué consiste esta técnica de desarrollo de malware. Si quieres saber más sobre análisis de malware y especializarte en ciberseguridad, entra a nuestro Ciberseguridad Full Stack Bootcamp y conviértete en experto en tan solo 7 meses. ¡No sigas esperando e inscríbete ahora!

[email protected]

¿Sabías que hay más de 24.000 vacantes para especialistas en Ciberseguridad sin cubrir en España? 

En KeepCoding llevamos desde 2012 guiando personas como tú a áreas de alta empleabilidad y alto potencial de crecimiento en IT con formación de máxima calidad.

 

Porque creemos que un buen trabajo es fuente de libertad, independencia, crecimiento y eso ¡cambia historias de vida!


¡Da el primer paso!