Kaspersky ha recibido una patente (US10339301) de la Oficina de Patentes y Marcas de los Estados Unidos por una tecnología diseñada para simplificar la detección de funcionalidades maliciosas en una máquina virtual.

La tecnología crea las condiciones exactas que desencadenan la ejecución de malware, por lo que permite a los investigadores analizar un archivo sospechoso en un solo intento, en lugar de tener que intentarlo varias veces. Está previsto que, una vez implementada, la tecnología aumente la tasa de detección de sandboxing y automatice el trabajo que los analistas tendrían que hacer manualmente.

Uno de los métodos de análisis de comportamiento malicioso de un archivo es ejecutarlo en una máquina virtual aislada, también conocida como sandbox. Este método activa, de forma automática, el análisis del malware, aunque, todavía requiere de trabajo manual para generar un entorno adecuado en el que el malware revele su «verdadera naturaleza». Además, los ciberdelincuentes a menudo implementan técnicas de evasión de sandbox: para evitar la detección, un archivo malicioso puede comprobar antes de su ejecución si se encuentra en una máquina virtual o permanecer inactivo durante mucho tiempo hasta que el sandbox deje de funcionar.

La patente, denominada “Sistema y método de análisis de archivos para detectar elementos maliciosos en una máquina virtual”, describe una tecnología que activa automáticamente la ejecución de un archivo y las condiciones adecuadas para cada uno de ellos.

Estas condiciones pueden variar. Es posible que el malware no muestre su comportamiento malicioso si se dirige a una aplicación específica como, por ejemplo, un cliente de correo electrónico que no ha sido incluido en el sandbox. Para hacer frente a este desafío, el investigador debe revisar los registros, comprender lo que falta, añadirlo al entorno de la máquina virtual y ejecutar el proceso de nuevo. 

Ahora, cuando el malware intenta acceder ya sea una aplicación, un directorio o un archivo, el sistema patentado intercepta este intento. Sin embargo, no espera a que finalice la ejecución del archivo, sino que detiene el proceso y crea la aplicación requerida, así como el contenido (por ejemplo, las contraseñas del navegador). Después, el proceso continúa.

La nueva tecnología patentada por Kaspersky también puede ayudar a superar técnicas de evasión cuando el malware “duerme” durante un cierto tiempo antes de ejecutarse para evitar la detección, ya que permanece inactivo durante un período más largo del que funciona el sandbox. En esos casos, la nueva tecnología patentada acelera el flujo de tiempo dentro de la máquina virtual, por lo que el código malicioso se ve obligado a ejecutarse antes. Como dentro de la sandbox se encuentran todos los temporizadores y relojes, el malware no puede distinguir esta “trampa”.

Las reglas de detección que describen cómo reaccionar ante un evento específico no están preinstaladas o implementadas dentro del motor, pero pueden actualizarse y añadirse fácilmente; por lo que, cualquier nueva lógica que aparezca no implica tener que cambiar todo el motor, sino que sólo supone ampliar los escenarios de comportamiento malicioso disponibles.

Vladislav Pintiysky, director del Grupo de Tecnologías de Emulación de Kaspersky, y uno de los inventores de la tecnología, ha comentado: «Dado que los ciberdelincuentes están constantemente creando nuevas técnicas de evasión, tenemos que hacer que nuestras tecnologías sean más sofisticadas para detectar comportamientos maliciosos. Por ejemplo, los temporizadores de reposo se están extendiendo cada vez más – según los analistas de malware de Kaspersky, casi la mitad de las muestras que son ignoradas por las herramientas automáticas utilizan retardos en la ejecución-. La nueva tecnología patentada gestiona de forma inteligente el flujo de archivos en sandbox, lo que le permite recibir todo lo que necesita».

«Como resultado, el veredicto se puede realizar después de la primera solicitud. Teniendo en cuenta el alto rendimiento que requieren los sandboxes, esta nueva tecnología ahorrará recursos a las empresas, a la vez que aumentará la precisión en la detección de malware«, ha añadido Denis Kobychev, director del Grupo de Pruebas de Kaspersky y co-inventor de la tecnología.

La tecnología se utilizará internamente para analizar el malware y será implementada en soluciones que incluyan sandboxes.

Kaspersky Lab continúa desarrollando y patentando nuevas tecnologías de protección. A principios de agosto de 2019, la empresa tenía 814 patentes en Rusia, EE.UU., China y Europa, y tiene presentadas 407 solicitudes de patentes más.