Novedosas técnicas de evasión empleadas por malware

Los investigadores han descubierto una nueva cepa de malware macro basada en documentos que evade el descubrimiento por que había permanecido inactivo cuando detecta entorno de prueba de un investigador de seguridad.

El malware, según el investigador Caleb Fenton con la firma de seguridad SentinelOne, evasión de detección simplemente contando el número de documentos – o la falta de ella – que residen en un PC y no se ejecuta si un cierto número no están presentes.

Fenton, quien descubrió el malware después de varios intentos fallidos para desencadenar la muestra en la actuación maliciosa, dijo que la típica falta de documentos en una máquina virtual y entorno de prueba recinto de seguridad hacen que sea fácil, en este caso, los autores de malware para volar bajo el radar.

“Si el malware puede ser lo suficientemente inteligente para saber cuando está siendo probado en una máquina virtual, se puede evitar haciendo algo sospechoso o malicioso y por lo tanto aumentar el tiempo que toma para ser detectados por este tipo de herramientas”, dijo Fenton.

Un entorno de prueba típica consiste en una imagen fresca equipo con Windows cargado en un entorno de máquina virtual de. La imagen del sistema operativo por lo general carece de documentos y otros signos reveladores de uso del mundo real, dijo Fenton. La muestra de malware que se encuentra dentro de Fenton ( “Intelligent doc Software Solutions Inc [.]”) Es de documentos existentes en equipos de destino. Si no se encuentran documentos de Microsoft Word, la ejecución de código VBA macro termina, protegiendo el malware de análisis automático y detección.

Alternativamente, si hay más de dos documentos de Word se encuentran en el sistema de destino, la macro descargar e instalar la carga útil de malware. El documento de malware-atado se distribuye a través de campañas de spam o phishing, según SentinelOne. El documento de Word malicioso busca y se aprovecha de una característica de Windows llamado RecentFiles.

La característica, como su nombre indica, listas y proporciona un fácil acceso a los documentos vistos o creados. Cuando se detectan documentos a través de RecentFiles, el malware supone que el sistema es un objetivo válido y entra en acción provocando un script de PowerShell que une la PC de la víctima a un servidor de comando y control para descargar un keylogger sistema de bajo nivel. En otra técnica de ofuscación, el malware utiliza un servicio web detección de IP (Maxmind) para determinar la red utilizada por el sistema de destino. La dirección IP es una referencia cruzada con una lista de direcciones IP en la lista negra atados a las empresas de seguridad tales como BlueCoat, Palo Alto y otros. Esas IPs son la bandera roja y detener el malware de ejecución, de acuerdo con Fenton. Controles anti-caja de arena por el malware o anti-VM no son nuevos.

Fenton observa a principios de este año, los investigadores de Proofpoint observaron una macro que busque la dirección IP pública de la PC específica y  no descargar la carga útil si comprueba que la dirección IP se asocia con un proveedor de seguridad, ciertos servicios en la nube o un entorno de pruebas. En junio, los investigadores encontraron Zscaler código de ataque macro basada en documentos utilizando múltiples técnicas para detectar y evadir los entornos virtuales y los sistemas de análisis automatizados.

Una macro analizan en busca de cadenas de entorno virtual estándar y otro buscó la presencia de herramientas de análisis conocidos en el sistema. Fenton dice que estos ejemplos de código de macro capaces de detectar los entornos de prueba imitan lo que los investigadores han estado viendo con el malware más sofisticado desde hace años. “Estas muestras de detección de documentos representan una nueva tendencia para el malware basado en VBA.

Esperamos que este tipo de técnicas de evasión en el malware más sofisticado – no con malware macro menos formidable “, dijo Fenton Threatpost. Los autores de malware, dijo Fenton, están dando cuenta de la adición de ofuscación de código al malware puede extender la vida de sus malware y aumentar los beneficios. “Todo se reduce a la simple economía. El malware ya puede pasar desapercibido, mayor será el daño que puede hacer en la naturaleza.

Fuente:  https://threatpost.com

Follow me:
Twitter
Visit Us
Facebook
Facebook
Instagram
RSS
Follow by Email

También te puede interesar

Deja un comentario

error: Content is protected !!