Los investigadores de ESET arrojan luz sobre estas técnicas de ofuscación para ayudar a que la industria de la ciberseguridad mejore la protección frente a amenazas avanzadas
ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha desvelado diferentes técnicas de ofuscación que llevan a cabo los ciberdelincuentes con el objetivo de evitar la detección de sus amenazas y frustrar las estrategias de los responsables de seguridad. Las técnicas mostradas por ESET han sido descubiertas por los investigadores de la compañía en el transcurso de sus investigaciones sobre la botnet Stantinko.
“Las técnicas de protección que encontramos en nuestros análisis son más avanzadas incluso que el malware al que protegen y algunas de ellas no se habían descrito públicamente hasta ahora”, comenta Vladislav Hrčka, analista de ESET que ha liderado la investigación.
Entre las técnicas de protección que utilizan los ciberdelincuentes destacan dos especialmente: la ofuscación de cadenas de código y la ofuscación del flujo de control. En la ofuscación de las cadenas entran en juego aquellas cadenas que se construyen y solo están presentes en la memoria cuando se van a utilizar. En el caso de la ofuscación del flujo de control, este se transforma de manera que se hace complicado de leer, ya que el orden de ejecución de bloques básicos se convierte en impredecible sin un análisis extensivo.
“Hemos analizado profundamente estas técnicas para describir las medidas que se pueden tomar contra ellas”, añade Hrčka.
Además de estas dos técnicas, los ciberdelincuentes también utilizan otras, como código muerto, código que no hace nada o recursos y cadenas de código sin una función aparente. Todas estas técnicas buscan prevenir la detección, haciendo creer a las herramientas de ciberseguridad que se trata de archivos legítimos. Es más, algunas de ellas, además, han sido diseñadas específicamente para saltarse las detecciones por comportamiento.
Para más información sobre las técnicas de ofuscación analizadas por el laboratorio de ESET se puede leer el blog de la compañía.