Kaspersky Lab ha preparado un artículo analítico de uno de sus expertos más importantes, Alisa Shevchenko, llamado “Evolución de las tecnologías de autodefensa de los programas nocivos”.
A medida que evolucionan los sistemas de defensa antivirus, los autores de los programas nocivos se ven obligados a buscar nuevas formas para defender a sus criaturas. La principal tarea de los programas nocivos consiste en dificultar: la detección de los programas nocivos por los antivirus, el análisis del código a los especialistas y poner trabas al software de protección (antivirus, cortafuegos). Cada uno de los métodos de autodefensa del programa nocivo resuelve una o varias tareas.
En su artículo Alisa Shevchenko hace un repaso de la aparición del “instinto de autoprotección” de los programas nocivos, la evolución de las tecnologías que usan para defenderse en las cada vez más crudas circunstancias de la lucha contra los antivirus y hace un pronóstico de las perspectivas de desarrollo de estas tecnologías.
Hasta estos últimos años el funcionamiento de los antivirus se basaba sólo en el análisis del código del fichero, por eso la autodefensa de los programas nocivos empezó con la tecnología de la modificación del código. Por este motivo aparecieron tecnologías como el polimorfismo y el metamorfismo, que permiten al programa nocivo mutar completamente con cada nueva copia sin perder sus funciones, lo que dificulta sobremanera su detección. En el artículo también se relata sobre otras tecnologías, en particular el cifrado y la ofuscación, que están dirigidos sobre todo a dificultar el análisis del código, pero realizados de determinada manera, pueden resultar ser diversas modalidades de polimorfismo.
Una forma más de dificultar la detección de los programas nocivos es el uso de programas empaquetadores, que funcionan de forma similar a los programas de compresión. Los empaquetadores se usan bastante, y su variedad y refinamiento siguen en crecimiento. Muchos empaquetadores modernos, aparte de la compresión del fichero original, le brindan funciones adicionales de autodefensa destinadas a dificultar la descompresión del fichero y su análisis por medio de depuradores.
Existen también tecnologías de autodefensa que evitan la detección usando el truco de “camuflarse” o hacerse invisibles en el sistema. Esta innovación se usó por primera ven en 1990 en el sistema operativo DOS y se llamaba “tecnología stealth”. A principio del siglo XXI reaparecieron en un nuevo nivel en el SO Windows bajo el nombre de tecnologías rootkit. Los más frecuentes son los rootkits cuyo mecanismo de funcionamiento se basa en una cadena de llamadas del sistema y por eso se denominan Execution Path Modification. Estos son los rootkits que alteran los datos del sistema. La tendencia de los rootkits modernos apunta a la virtualización y uso de las funciones de los equipos, es decir, a una penetración más profunda en el sistema.
Con el tiempo el polimorfismo y las tecnologías adyacentes perderán su vigencia. Y esto sucederá porque a medida que los métodos de detección de conductas nocivas desplacen a los métodos basados en firmas, los métodos de modificación del código irán perdiendo su capacidad para evitar la detección. Para la mayoría de los troyanos modernos, que no tienen mecanismos de reproducción, el polimorfismo no es un modo efectivo de defensa.
Por esto, a los programas nocivos no les queda más que hacer de francotiradores contra alguna de las manifestaciones o funciones del "enemigo". “Si no fuera por su extrema necesidad, este método de autodefensa no sería tan popular, ya que es demasiado desventajoso desde el punto de vista de una defensa más amplia”, remarca el autor del artículo.
Al mismo tiempo, las tecnologías que dificultan el análisis del código a los especialistas (en particular la ofuscación), a diferencia del polimorfismo, no pierden su actualidad.
Sin embargo, la vulnerabilidad de los programas nocivos ante los analizadores de conductas de los antivirus determina el probable vector de la evolución de estos fenómenos. Shevchenko considera que ahora los autores de virus tratarán de aprender a engañar al analizador de conductas y a elevar la “autoconciencia” del virus.
El autor pronostica cuales de las tendencias de la autodefensa de los programas nocivos se desarrollarán con más intensidad que las demás:
1. Rootkits. La invisibilidad en el sistema siempre da ventaja, aunque no evite la detección. Lo más probable es que aparezcan nuevos tipos de programas nocivos sin cuerpo y un poco más tarde, se use la tecnología de virtualización.
2. Ofuscación y cifrado. La introducción de técnicas que dificulten el análisis del código seguirán estando vigentes.
3. Oposición a los medios de protección basados en el análisis de conducta. Aquí podemos esperar la aparición de nuevas tecnologías, ya que las que se usan ahora (ataques directos a los antivirus) no son efectivos. Es posible que sean métodos de detección del entorno virtual o algún tipo de cifrado de los patrones de conducta.
El enfrentamiento de los delincuentes cibernéticos y la industria antivirus es una especie de "carrera armamentista”, dónde los logros de una parte inevitablemente provocan la reacción de la otra. En los últimos años se han multiplicado los casos de publicación de programas conceptuales capaces de evadir los medios modernos de defensa. Y se lo ha hecho con supuestas buenas intenciones. Alisa Shevchenko considera que la aparición de estos programas conceptuales arroja más aceite al fuego: los usuarios empiezan a pensar más en su seguridad y los productores de antivirus se ven obligados a usar más recursos en la lucha contra estos códigos “indetectables”.
Para terminar, Alisa Shevchenko saca la conclusión de que es inútil esperar el cese total de las hostilidades entre los autores de virus y las compañías antivirus, pero es posible impedir su aceleración.
Fuente: HispaMp3.
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario