sábado, 22 de febrero de 2014

Antivirus - Métodos de detección de Malware



Hoy vamos a hablar de los métodos que utilizan los Antivirus para detectar malware.

Básicamente se utilizan tres métodos para detectar malware:
  • Detección mediante firmas.
  • Detección mediante Heurística.
  • Detección mediante string signatures.

La detección mediante firmas es la más extendida. Este método calcula el hash del fichero y contrasta dicho hash con una base de datos para ver si coincide con otro que ya haya sido detectado como malware.
Evidentemente este método no es muy efectivo, ya que con sólo modificar 1 bit del fichero cambiará su hash y por tanto ya no será detectado.

El siguiente método, el método de heurística, es bastante más efectivo y se basa en el comportamiento del ejecutable.
Es decir, según las acciones que realice en el sistema se identificará como malware o no.
 Pero ¿que pasaría si modificamos el binario y por ejemplo le añadimos unos cuantos saltos (JMP) en el código?
Obviamente estaríamos cambiando su comportamiento...

El último método, string signatures, se basa en identificar cadenas de texto o cadenas binarias de un fichero para identificarlo como malware.
Es decir, si por ejemplo el codigo de un virus contiene la palabra "3st@m0s_Pr0b@nd0", se utilizará dicha cadena de texto como firma para su detección.
Pero claro, también podríamos probar a encodear (ofuscar) dicho código para que el Antivirus no pueda reconocer la cadena. Para esto se suelen utilizar los crypters.

Como podéis ver todo tiene su vuelta de hoja... aunque en la práctica es bastante más complejo de lo que parece.

Para realizar estas tareas necesitaremos editores en hexadecimal, depuradores de codigo y desensambladores, así que os dejo algunos para que os vayáis familiarizando:

- Ollydbg (Depurador)
- IDA Pro (Desensamblador)
- HxD (Editor Hexadecimal)

Para terminar os dejo con un video, disfrutarlo!!!



Saludos.


Referencias
http://moisesrbb.tripod.com/unidad5.htm#u511
http://www.mkit.com.ar/blog/bypassing-av/
http://www.securitybydefault.com/2013/07/funcionamiento-de-los-crypters.html


 **No me hago responsable del mal uso que se de a la información presentada. Esta información es de carácter didáctico.**

No hay comentarios:

Publicar un comentario