Contacto
Volver

Técnicas de evasión o elusión de los antivirus

Imagen del slider

22 de junio de 2021

Por Adrien C., experto en ciberseguridad

Avast Antivirus, Kaspersky, McAfee… Herramienta indispensable para cualquier internauta prudente, el antivirus es una de las defensas de las que disponemos para protegernos de los diversos peligros que acechan en Internet. Pero, ¿hasta qué punto es eficaz? ¿Existen formas de eludir las protecciones que establece? Hoy me gustaría que analicemos esta cuestión a través de este artículo.

¿Es el antivirus un programa de protección?

Como su nombre indica, se trata de un programa diseñado inicialmente para identificar, neutralizar y eliminar el software malicioso (del que los virus informáticos son solo una categoría entre muchas otras).

Estos pueden aprovechar vulnerabilidades de seguridad para lograr su objetivo, pero también pueden ser programas que modifican o eliminan archivos, ya sean documentos del usuario almacenados en el ordenador infectado o archivos esenciales para el correcto funcionamiento del ordenador (normalmente los del sistema operativo). Cabe mencionar también el ransomware, que cifra carpetas y archivos para secuestrar sus datos.

En general, un antivirus analiza periódicamente los archivos y los correos electrónicos, los sectores de arranque ( para detectar virus que afectan al arranque), así como la memoria RAM del ordenador, los soportes extraíbles (memorias USB, CD, DVD, etc.), los datos que circulan por las redes (incluido Internet), etc.

Tres métodos de detección...

Se distinguen tres métodos posibles para detectar malware:

  • El método principal, y sin duda el más habitual, es la identificación de la firma viral, que se encuentra en un archivo infectado. Cuando aparece un nuevo malware, su firma viral (definida por una parte de su código) se aísla y se integra en una base de datos. A continuación, se compara periódicamente con el código de los archivos presentes en el ordenador.
  • El método heurístico, conocido por su relativa eficacia, analiza un posible código malicioso a través de su comportamiento. El antivirus ejecuta el código o el script del archivo que se va a analizar en un entorno «sandbox», al tiempo que analiza en paralelo las instrucciones del programa para conocer su comportamiento, aislando así el código del archivo sospechoso del equipo real.
    Si el antivirus detecta instrucciones sospechosas, como la eliminación de archivos o el inicio de múltiples procesos, el archivo en cuestión se identificará como un virus y se alertará al usuario. Sin embargo, en ocasiones el método heurístico genera falsos positivos.
  • Por último, existe el método de análisis de forma, que se basa en un filtrado mediante reglas de expresiones regulares u otras, almacenadas en un archivo de correo basura. Este último método es reconocido por su eficacia en determinados ámbitos específicos, como los servidores de correo electrónico compatibles con expresiones regulares de tipo Postfix, ya que no se basa en un archivo de firmas.

En cuanto al ámbito que deben supervisar, los antivirus pueden analizar el contenido de un disco duro, pero también la memoria RAM del ordenador.
En las versiones más modernas, actúan en la entrada del sistema, analizando el intercambio de archivos con el exterior, tanto en el flujo descendente (descarga) como en el ascendente (carga o upload).

En un mundo ideal, podríamos pensar que los métodos mencionados anteriormente son 100 % fiables y nos garantizan una buena protección en cualquier circunstancia…

« Pero eso sería olvidar el primer mandamiento de la ciberseguridad:
¡El riesgo cero no existe!».

... ¡Limitadas!

Con el tiempo, los ciberdelincuentes han desarrollado una serie de técnicas para eludir las protecciones que ofrecen los antivirus; a continuación se incluye una lista no exhaustiva de ellas:

Compresión/cifrado del código
La mayoría de los programas maliciosos modernos están comprimidos y cifrados. Dado que el código malicioso se modifica profundamente sin que ello altere su comportamiento, este elude la identificación de su firma viral. Por lo tanto, los antivirus se ven obligados a añadir nuevos métodos de descompresión/descifrado o nuevas firmas para cada muestra de programa malicioso identificada.

Rootkits
Las tecnologías de ocultación, o «rootkits», son programas que pueden interceptar y sustituir funciones del sistema operativo con el fin de hacer que el archivo infectado resulte invisible para el sistema operativo y los programas antivirus. Además, también pueden ocultarse las entradas del Registro en las que se almacenan el troyano y otros archivos del sistema.

Bloqueo de programas antivirus y actualizaciones de bases de datos antivirus
En lugar de actuar con discreción, algunos atacantes prefieren desactivar directamente el antivirus de su víctima antes de comprometer su equipo.
Muchos programas maliciosos que infectan las redes buscan activamente programas antivirus en la lista de procesos activos del ordenador afectado.

A continuación, el programa malicioso intenta llevar a cabo una serie de acciones, tales como:

  • Desactivar el programa antivirus
  • Modificar el genoma viral para volverse invisible
  • Interferir en el correcto funcionamiento de los procesos de actualización del software antivirus

Para protegerse contra esta técnica, el antivirus debe defenderse comprobando periódicamente la integridad de sus bases de datos y ocultando sus procesos.

En conclusión, no podemos sino reconocer el ingenio de ambas partes (los creadores de antivirus y los atacantes) a la hora de desarrollar métodos de detección y formas de eludirlos.

Para leer ⤵

https://theexpert.squad.fr/theexpert/digital/la-steganographie-une-technique-souvent-oubliee/
https://theexpert.squad.fr/theexpert/security/splunk-la-meilleure-solution-siem-adrien-c-fait-son-retour-dexperience/