Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

¿Cómo puede GravityRAT comprobar los entornos sandbox antimalware?

Los investigadores de Cisco Talos descubrieron un troyano de acceso remoto llamado GravityRAT que busca cajas de arena antimalware en sistemas específicos mediante controles de temperatura. ¿Cómo funciona esta técnica? ¿Cómo se puede mitigar GravityRAT?

Los creadores de malware y la comunidad antimalware se han involucrado en un proceso continuo y Juego constante del gato y el ratón: los creadores de malware quieren minimizar la posibilidad de que se detecte su malware y, si se detecta, quieren que sea más difícil de analizar.

El análisis de malware ha evolucionado significativamente a medida que las amenazas de malware continúan creciendo en amplitud, profundidad y volumen. Los sistemas automatizados utilizan honeypots, sandboxes y sistemas virtuales para buscar conexiones de red, llamadas al sistema de archivos, lecturas de memoria y comportamientos para ayudar a priorizar el tiempo de un analista.

Los sistemas automatizados no son perfectos y, en ocasiones, pueden ser identificados por malware. Esto permite que el malware evite la detección al no ejecutarse en absoluto o al cambiar la forma en que se ejecuta para que sea más difícil de analizar.

Para determinar si un sistema es real y si un humano real lo está usando, los autores de malware observan la dirección IP y las características del hardware del sistema. Esto también puede ayudarlos a evaluar si hay una cantidad suficiente de archivos reales en el sistema, una cantidad suficiente de aplicaciones instaladas y movimientos del mouse que son característicos de un sistema físico en lugar de una máquina virtual que se ejecuta en una caja de arena.

Los creadores de malware saben que las empresas de antimalware tienen recursos limitados y no pueden profundizar en cada pieza de malware reportada; sin embargo, es posible que no sepan cómo se analiza el malware. En respuesta, los creadores de malware han agregado comprobaciones para ver si el host que ejecuta el malware se está ejecutando en un sistema virtual o en un sistema de análisis de malware.

Los investigadores de Cisco Talos descubrieron recientemente un troyano de acceso remoto, denominado GravityRAT, que consulta la temperatura de la CPU del sistema para determinar la presencia de entornos sandbox antimalware en sistemas específicos. GravityRAT realiza llamadas al sistema para consultar el hardware, que no todos los sistemas virtuales o sandboxes admiten, y los resultados se pueden usar para identificar si el malware se está ejecutando en un sistema de análisis automatizado.

Si la llamada de control de temperatura falla, el malware asume que se está ejecutando en un sistema virtual. Sin embargo, debe tenerse en cuenta que no todas las computadoras reales admiten estas llamadas al sistema; es una compensación que los autores de malware hicieron para agregar esta verificación. Los autores de malware incluso parecen haber subido varias copias a VirusTotal al ajustar su evasión de detección.

En su análisis, los investigadores de Cisco Talos observaron indicadores de compromiso que deberían incluirse en las herramientas de seguridad para identificar los sistemas afectados y las herramientas que se pueden utilizar para bloquear ataques.

Pregunte al experto:
¿Tiene alguna pregunta sobre las amenazas empresariales? Envíalo por correo electrónico hoy dia. (Todas las preguntas son anónimas).

También te puede interesar...

Las empresas se alejan del WCM tradicional

Con más de 20 años de esfuerzos de gestión de contenido web a sus espaldas, algunas organizaciones mantienen múltiples sistemas, con activos y metadatos repartidos en muchos repositorios y bases de datos. Esta difícil distribución

Arquitectura de datos de salud para la nube

A pesar de que el cambio hacia los registros médicos electrónicos ha hecho que los procesos médicos existentes sean más eficientes, hasta ahora ha hecho poco por aportar una innovación real a la atención médica

¿Qué es Bitcoin Cash (BCH)?

Bitcoin Cash (BCH) es una versión alternativa de la popular criptomoneda Bitcoin. Bitcoin Cash es el resultado de una bifurcación dura en la tecnología blockchain. Uno de los cambios más significativos de Bitcoin a Bitcoin

Cómo definirlos y usarlos

El estado de una empresa puede ser poderoso. Un área donde las métricas son extremadamente importantes es en el centro de operaciones de seguridad (SOC). Sin embargo, a pesar de su importancia, muchos equipos de

Comparación de la IA de Salesforce Einstein en las nubes

Dentro de Salesforce, existe una capa de IA llamada Einstein para predecir y recomendar respuestas y acciones automatizadas … basado en ventas específicas y necesidades del cliente. Impulsado por el aprendizaje automático y el procesamiento

Cómo reconstruir el árbol SYSVOL usando DFSR

Active Directory tiene varios componentes diferentes para realizar un seguimiento de la información de los usuarios y los recursos en una organización … Si una pieza comienza a fallar y un esfuerzo de recuperación falla,

Cómo identificar sistemas de telemedicina eficaces

Cada vez más, los hospitales y médicos que tratan a pacientes en áreas remotas y rurales están descubriendo que los sistemas de telemedicina son formas convenientes para brindarles a los pacientes una atención de calidad.

Diferencias entre virtualización de escritorio y servidor

Las diferencias entre la virtualización de escritorios y servidores pueden ser confusas. Los dos términos suenan similares, pero son tecnologías diferentes con usos muy diferentes, y las distinciones son importantes. El término «virtualización de escritorio»

4 beneficios de la automatización de procesos comerciales

La automatización de procesos comerciales, que utiliza tecnología para completar un conjunto de tareas con una mínima intervención humana, representa la nueva frontera para el trabajo digital. Al combinar servicios en la nube con conexiones

Conozca los elementos de Secure Access Service Edge

Los casos de uso de los servicios en la nube continúan expandiéndose rápidamente y los escenarios de acceso están cambiando. Las organizaciones están aumentando el uso de software como servicio, las implementaciones de infraestructura de

NBA – ServiceNow – Historia del cliente

Para proteger a los jugadores de la NBA y la WNBA de la pandemia de COVID-19, la organización monitorea a los jugadores, el personal, las familias, los socios de los medios de comunicación y el

Muévase a la nube, sin gastar mucho dinero

Las empresas no se trasladan a la nube porque quieran gastar más dinero. Entonces, ¿cómo debería abordar una organización inteligente la migración a la nube? Cualquier desafío técnico puede superarse si le dedica suficiente dinero,

Destacado en SQL Server Xpert Edition

Spotlight de Quest en SQL Server Xpert Edition está diseñado para detectar y diagnosticar problemas de rendimiento en su entorno de Microsoft SQL Server proporcionando una descripción general del rendimiento empresarial. Con Spotlight en SQL

¿Qué es la función VMware Blast en Horizon 6?

La entrega de instancias de escritorio y aplicaciones virtualizadas a puntos finales remotos depende de redes rápidas y seguras…. La latencia de la red y los protocolos de red conversacionales, como TCP, pueden ralentizar el

Solución de problemas de errores de Windows 7

A medida que más clientes comiencen a actualizar a Windows 7, la resolución de problemas de errores de Windows 7 se convertirá en un proceso de rutina durante y después de las implementaciones. Aunque el

¿Existe un modelo de migración?

todo lo posible – Fotolia Dependiendo de a qué esté migrando, sí, existe un modelo de migración para una empresa que abandona su plataforma actual de software como servicio (SaaS). Muchos productos SaaS de la

Gestión de recursos del procesador de CPU a vCPU

Cuando se virtualiza un sistema informático, un hipervisor abstrae los componentes de hardware subyacentes en contrapartes virtuales. El hipervisor en realidad administra y mantiene la relación entre los componentes virtuales y físicos, al tiempo que

Instalación y activación de BitLocker

Para llevar del proveedor de servicios:Esta sección del extracto del capítulo titulado «Microsoft Windows Server 2008: Protección de datos» está extraído del libro Protección de Windows Server 2008: Prevención de ataques desde fuera y desde

¿Qué es la última milla de las finanzas (LMOF)?

La última milla de las finanzas se compone de los procesos de gestión que realizan los ejecutivos de finanzas después del cierre mensual, trimestral o anual para prepararse para la presentación de informes financieros y

¿Qué son los Principios de Ciberseguridad Internacional?

En respuesta a lo que dicen es la falta de pautas internacionales de ciberseguridad, varias organizaciones financieras globales se han unido para impulsar políticas de ciberseguridad global sincronizadas. Para comenzar la iniciativa, los grupos han

Avature CRM impulsa la contratación mundial de Monster

Monster Worldwide utiliza el software de gestión de contratación de Avature y una variedad de otras herramientas para mejorar drásticamente su capacidad de atraer y retener talentos. La empresa de contratación de empleados, que es

Lo que debe saber sobre los requisitos de HIPAA

Fuente: dane_mark / iStock Diseñador: Anita Koury para Krypton Solid Puede parecer fácil enumerar qué entidades están obligadas a cumplir con la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA): hospitales, proveedores de

Deja un comentario