{"id":15234,"date":"2019-08-27T08:00:50","date_gmt":"2019-08-27T14:00:50","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=15234"},"modified":"2022-03-27T04:55:58","modified_gmt":"2022-03-27T10:55:58","slug":"kaspersky-sandbox-patent","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/kaspersky-sandbox-patent\/15234\/","title":{"rendered":"Una trampa irresistible para el malware"},"content":{"rendered":"

No he visto la sexta entrega de la pel\u00edcula Mission Impossible<\/a><\/em>, ni creo verla. Vi la quinta entrega (en un estado zombi durante un largo vuelo a casa, despu\u00e9s de una semana dif\u00edcil de negocios) solamente porque una escena se film\u00f3 en nuestra nueva, flamante y moderna oficina en Londres<\/a>. Se trataba de entrega m\u00e1s de Mission Impossible<\/em> de las muchas que hay. No es para m\u00ed. Bofetadas, disparos, golpes, choques, explosiones, conmoci\u00f3n. Uf. Yo prefiero algo<\/a> m\u00e1s desafiante, intelectualmente estimulante y sencillamente interesante. Despu\u00e9s de todo, mi tiempo es escaso y valioso.<\/p>\n

Pareciera que estoy despotricando contra Tom Cruise y compa\u00f1\u00eda, \u00bfverdad? Pero esperen. Tengo que darle cr\u00e9dito al menos a una escena muy bien realizada (es decir, intelectualmente estimulante y sencillamente interesante). Se trata de la parte donde los buenos necesitan que uno de los villanos delate a sus secuaces, o algo parecido. As\u00ed que instalaron un ambiente falso en un \u201chospital\u201d donde \u201cCNN\u201d transmit\u00eda por \u201cTV\u201d un informe noticioso sobre el apocalipsis nuclear. Una vez satisfecho con la transmisi\u00f3n mundial de su manifiesto apocal\u00edptico, el villano entrega a sus secuaces (\u00bfo acaso era un c\u00f3digo de inicio de sesi\u00f3n?) como parte del trato realizado con sus interrogadores. Uy. He aqu\u00ed la secuencia<\/u><\/a>.<\/p>\n

\u00bfPor qu\u00e9 me gusta tanto esta escena? \u00a1Pues porque ilustra muy bien uno de los m\u00e9todos para detectar ciberamenazas anteriormente desapercibidas! De hecho, existe muchos m\u00e9todos, que var\u00edan de acuerdo con el \u00e1rea de aplicaci\u00f3n, efectividad, uso de recursos y otros par\u00e1metros (aqu\u00ed escribo<\/u><\/a> sobre ellos con regularidad). Pero hay uno que siempre destaca: la emulaci\u00f3n<\/u><\/a> (sobre la cual he escrito bastante<\/u><\/a> anteriormente).<\/p>\n

Al igual que en la pel\u00edcula MI<\/em>, un emulador inicia el objeto investigado en un ambiente artificial aislado, lo cual lo estimula para que revele su car\u00e1cter malicioso.<\/p>\n

<\/strong><\/p>\n

Pero hay una gran desventaja en dicha estrategia: el propio hecho de que el ambiente sea artificial. El emulador se esfuerza en que ese ambiente artificial parezca un sistema operativo verdadero; sin embargo, el malware<\/em>, que cada vez es m\u00e1s inteligente, a\u00fan logra distinguirlo de un ambiente real. Y cuando el emulador nota que el malware<\/em> lo ha reconocido, se reorganiza y mejora la emulaci\u00f3n. Y as\u00ed sucesivamente, en un ciclo sin fin que normalmente abre una ventana de vulnerabilidad en una computadora protegida. El problema fundamental es que ning\u00fan emulador ha logrado ser la r\u00e9plica viva de un sistema operativo real.<\/p>\n

Por otra parte, existe otra opci\u00f3n para abordar el an\u00e1lisis de comportamiento de los objetos sospechosos: analizarlo (en un sistema operativo real) dentro de una m\u00e1quina virtual. Y bueno, \u00bfpor qu\u00e9 no? Si el emulador no lo detiene por completo, \u00a1deja que lo intente una m\u00e1quina (real) virtual! Se tratar\u00eda del \u201cinterrogatorio\u201d ideal: se lleva a cabo en un ambiente real, no artificial, pero sin las consecuencias negativas.<\/p>\n

Algunos, apenas se enteren de este concepto, se apresurar\u00e1n a preguntar por qu\u00e9 nadie lo pens\u00f3 antes. Despu\u00e9s de todo, la virtualizaci\u00f3n ha estado en las tendencias dominantes de la tecnolog\u00eda desde 1992. Resulta, sin embargo, que las cosas no son tan simples.<\/p>\n

Primero, el an\u00e1lisis de los objetos sospechosos en una m\u00e1quina virtual es un proceso que consume muchos recursos, lo cual es id\u00f3neo solamente para las soluciones de seguridad de empresas de gran tama\u00f1o, donde el an\u00e1lisis necesita ser sumamente intenso de modo que absolutamente ning\u00fan objeto malicioso penetre las defensas. Por desgracia, esta tecnolog\u00eda no es adecuada para las computadoras dom\u00e9sticas, ya no digamos los smartphones<\/em>\u2026 por ahora.<\/p>\n

En segundo lugar, estas cosas existen realmente. De hecho, nosotros ya utilizamos esta tecnolog\u00eda (de modo interno, en la K<\/em>ompa\u00f1\u00eda) para investigaciones internas. Pero en t\u00e9rminos de productos aptos para el mercado, pocos est\u00e1n disponibles. La competencia ha lanzado productos similares, pero su eficacia a\u00fan deja mucho que desear. En general, dichos productos se limitan a recopilar registros y an\u00e1lisis b\u00e1sicos.<\/p>\n

Tercero, iniciar un archivo en una m\u00e1quina virtual es apenas el principio de un proceso muy largo y dif\u00edcil. Despu\u00e9s de todo, el objetivo del ejercicio es hacer que el car\u00e1cter malicioso de un objeto se revele; para esto, necesitas un hipervisor inteligente, el an\u00e1lisis y el registro de comportamiento, el ajuste cuidadoso de las plantillas de acciones peligrosas, la protecci\u00f3n contra trucos antiemulaci\u00f3n, la optimizaci\u00f3n de ejecuci\u00f3n, entre muchos otros.<\/p>\n

\u00a1Puedo afirmar sin falsa modestia que estamos muy adelantados con respecto al resto del mundo!<\/p>\n

Recientemente, obtuvimos una patente estadounidense (US10339301<\/u><\/a>) que comprende la creaci\u00f3n de un ambiente adecuado para que una m\u00e1quina virtual realice an\u00e1lisis r\u00e1pidos y profundos de objetos sospechosos. As\u00ed es como funciona:<\/p>\n