Krypton Solid

Krypton Solid
Krypton Solid

La última tecnología en raciones de 5 minutos

Los investigadores utilizan PyInstaller para crear malware sigiloso

Una popular herramienta de desarrollo de Python también podría convertirse en un potente accesorio de malware, según una nueva investigación.

Un grupo de investigadores de la Universidad del Pireo en Grecia dijo que PyInstaller, una herramienta destinada a convertir el código de Python en aplicaciones independientes, es capaz de crear cargas útiles de malware que pueden pasar por alto muchos de los programas antivirus más utilizados y obtener su software malicioso. código en funcionamiento antes de ser marcado y terminado.

Esto significa que, en lugar de gastar el tiempo y el dinero necesarios para ofuscar el código y crear un empaquetador de malware imposible de rastrear desde cero, los ciberdelincuentes podrían aprovechar el generador de aplicaciones Python más popular para crear empaquetadores que no quedan atrapados en los escaneos.

«Curiosamente, nuestro enfoque para generar ejecutables maliciosos no se basa en la introducción de un nuevo empaquetador, sino en el aumento de las capacidades de una herramienta existente y ampliamente utilizada para empaquetar Python, PyInstaller, pero que puede usarse para todas las herramientas de empaquetado similares», escribió Vasilios. Koutsokostas y Constantinos Patsakis en el artículo de investigación, que se publicó esta semana. «Como demostramos, el problema es más profundo e inherente a casi todos los motores antivirus y no es específico de PyInstaller».

Patsakis dijo a SearchSecurity que el equipo se dedicó a la investigación sabiendo que los motores antivirus ya tienen un problema al manejar correctamente las aplicaciones Python. En muchos casos, las aplicaciones basadas en Python producen falsos positivos. Sin embargo, nunca se entendió realmente el alcance del problema.

«Desde el principio supimos que algo bastante mal estaba sucediendo ya que todas las aplicaciones estaban marcadas como maliciosas», explicó Patsakis. «Este tipo de sesgo implica que los AV no estaban analizando los paquetes que PyInstaller produce correctamente, pero debido al amplio uso de Python, no esperábamos que la razón fuera el código de bytes de Python».

CONTENIDO RELACIONADO  Compare los precios de EKS con otros servicios administrados de Kubernetes

El problema radica en cómo PyInstaller convierte el código Python en ejecutables. Debido a que Python es un lenguaje de programación, PyInstaller no compila el código en el sentido tradicional. Más bien, agrupa todas las bibliotecas y otros componentes que requiere el código Python en archivos .pyc y archivos comprimidos. Cuando se inicia la aplicación incluida, se activa un gestor de arranque y esas dependencias se desempaquetan en una carpeta temporal y se llaman según sea necesario.

Resulta que esos archivos .pyc son extremadamente difíciles de escanear de manera efectiva para la mayoría de las herramientas antimalware modernas. En muchos casos, el dúo de la Universidad del Pireo descubrió que cuando se analizaba un archivo .pyc individual a través del paquete de análisis VirusTotal, no se analizaba correctamente y, en muchos casos, se pasaba el código que normalmente se marcaría como malicioso.

En un ejemplo, la pareja introdujo el código de un shell inverso en un archivo .pyc a través de PyInstaller e insertó el mismo código en un archivo JavaScript y una secuencia de comandos de Python sin comprimir. El archivo JavaScript se detectó cuatro veces más a menudo que el código Python. Más importante aún, el código de shell inverso en el archivo .pyc no fue detectado por el conjunto completo de herramientas antivirus en Virus total. Todo esto se hizo al aire libre, sin ofuscación de código.

«Hay muchas formas de evitar el análisis estático, por lo que, en este sentido, no fue sorprendente encontrar una nueva derivación AV», explicó Patsakis.

«La parte sorprendente fue que no tuvimos que ocultar la carga útil, lo que para un lenguaje de programación como Python era bastante inesperado».

CONTENIDO RELACIONADO  NortonLifeLock y Avast unen fuerzas en una fusión de $ 8 mil millones

Lo que es más preocupante, dijeron los investigadores, es que este problema no es simplemente una peculiaridad de PyInstaller, sino que refleja un problema mayor entre las herramientas de seguridad. Parece que hay un punto ciego en muchas herramientas antimalware comerciales cuando se trata de la forma en que se maneja y escanea el código de bytes de Python.

Afortunadamente, solucionar el problema no es particularmente difícil. Los investigadores creen que la mayoría de los proveedores de AV comerciales están bien equipados para agregar soporte para el código de bytes Python en sus herramientas de detección antimalware y de escaneo. Una vez que se agreguen esas características, sería factible detener constantemente el malware basado en Python.

«La solución para los AV no es algo difícil de aplicar, ya que .pyc no es difícil de procesar y se pueden agregar nuevas reglas a su arsenal», dijo Patsakis. «Por lo tanto, esperamos que pronto se apliquen las correcciones de todos los AV».

¡Haz clic para puntuar esta entrada!
(Votos: Promedio: )

También te puede interesar...

Navy navega los sistemas SAP ERP a AWS GovCloud

La Marina de los EE. UU. Ha trasladado varios sistemas SAP y otros sistemas ERP de las instalaciones a AWS GovCloud, un servicio de nube pública diseñado para cumplir con los requisitos normativos y de

Computación en memoria generalizada en camino

Fuente: alphaspirit / Fotolia La computación en memoria es un tipo de almacenamiento en caché que mueve datos desde un almacenamiento en disco relativamente lento a la memoria del servidor, donde está más cerca de

Su empresa necesita aprovechar su big data ahora

Big data está en todas partes. Desde automóviles conectados a la nube hasta fábricas inteligentes y simulaciones de respuesta a emergencias, se ha convertido en una herramienta esencial para gobiernos y empresas. Según IBM, cada

5G es el Y2K de la próxima década

La prensa que rodea a los anuncios 5G de CES 2019 y Mobile World Congress 2019, junto con los procedimientos de quiebra de Sears / Kmart que se han producido recientemente, me ha llevado a

IoT en logística: barreras a la colaboración

¿Cuáles son las barreras para la colaboración? Esta pregunta fue una respuesta del Sr. Jim Katzenberger a mi blog anterior sobre IoT en logística. Teniendo en cuenta que el contexto es IoT en logística, estas

Cómo administrar Windows con Puppet

Los profesionales de TI se han alineado durante mucho tiempo con Linux o Windows, pero cada vez es más común que las organizaciones busquen lo mejor de ambos mundos. Para las tiendas tradicionales solo de

Cómo usar Azure Site Recovery Deployment Planner

de una interrupción, cuánto tiempo llevará ponerlos en línea y cuánta pérdida de datos es aceptable. Para cumplir con ese plan, las empresas deben realizar inversiones adicionales en infraestructura de servidores, capacidad del centro de

Evaluar Spinnaker frente a Jenkins para CI / CD

Las herramientas de CI / CD como Jenkins y Spinnaker agregan valor a los canales de entrega de aplicaciones. Y aunque comparten algunas funciones, también tienen muchas diferencias. Antes de sumergirse en cada herramienta y

¿Cómo audito un entorno de Kubernetes?

Para implementar aplicaciones en Kubernetes, los administradores deben escribir archivos de configuración relativamente extensos que definan cómo Kubernetes debe administrar las aplicaciones. Los administradores de Kubernetes a menudo escriben archivos de configuración adicionales para administrar

Embotelladora Coca-Cola cambia Oracle por DB2

En el proceso de actualización de sus sistemas SAP ERP a principios de este año, Tom DeJuneas, gerente de sistemas de Coca-Cola Bottling Co. Consolidated, sabía que enfrentaba otro importante proyecto de actualización relacionado con

SAP expande las ofertas de datos geoespaciales con Esri

Las tres claves para el éxito de las propiedades inmobiliarias son la ubicación, la ubicación y la ubicación. SAP ahora ofrece funciones y asociaciones que, según dice, facilitarán la incorporación de la ubicación a las

Plan de prueba y estrategia de prueba

¿Cuál es la diferencia entre un plan de prueba y una estrategia de prueba? ¿Qué viene primero? Como de costumbre, la respuesta a esta pregunta depende de a quién le pregunte. Creo que James Bach

Desde la selección de proveedores hasta el mantenimiento

Los historiales médicos electrónicos (HCE) están a la vanguardia de la tecnología de la información sanitaria. Aunque la considerable infraestructura … Los cambios necesarios para la implementación de registros de salud electrónicos pueden ser estresantes

¿Qué es Google Project Zero?

Google Project Zero es una unidad de investigación de seguridad dentro de Google Inc. La función del equipo de Project Zero es encontrar vulnerabilidades en productos de software populares, incluidos los creados por el propio

¿Cuáles son los principales casos de uso de SIEM?

santiago silver – Fotolia Los sistemas de gestión de eventos e información de seguridad funcionan recopilando, analizando y actuando sobre los datos de un entorno de TI de forma automática. Los casos de uso tradicionales

¿Qué es una red de sensores inalámbricos?

¿Qué es una red de sensores inalámbricos? Una red de sensores inalámbricos es un grupo de transductores especializados con una infraestructura de comunicaciones para monitorear y registrar las condiciones en diversas ubicaciones. Los parámetros comúnmente

¿Qué es Opera? – Definición de Krypton Solid

Opera es un navegador web que ofrece algunas ventajas sobre otros navegadores de Mozilla o Microsoft. Opera, mucho más pequeño en tamaño, es conocido por ser rápido y estable. Opera está disponible para varios sistemas

Tutorial de copia de seguridad del servidor virtual

La virtualización puede aumentar la eficiencia. Pero si utiliza métodos de copia de seguridad tradicionales en lugar de estrategias de copia de seguridad de servidor virtual, es posible que su infraestructura no alcance todo su

¿Qué es el hardware como servicio (HaaS)?

El hardware como servicio (HaaS) es un modelo de prestación de servicios para hardware que se define de manera diferente en los contextos de servicios administrados y de computación en red. En los servicios gestionados,

Por qué el reclutamiento móvil es el futuro

Para los nativos digitales y otras personas que buscan empleo con un teléfono inteligente, el correo electrónico y las llamadas telefónicas pueden ser demasiado anticuados. El reclutamiento móvil puede ayudar. En términos más amplios, la

Cinco beneficios para sus clientes

La virtualización del almacenamiento está recibiendo mucha atención en estos días, pero no es nueva. Los administradores de volumen basados ​​en host han permitido durante mucho tiempo la extensión, reducción y migración sin interrupciones de

Comprender NTUser.dat en Windows 10

Vi una pregunta fascinante en TenForums esta mañana, mientras hacía mi «recorrido matutino» a través de los nuevos hilos allí. Apareció en un hilo llamado «ntuser.dat» y decía «¿Por qué tengo tantos archivos ntuser.dat?» Siendo

Deja un comentario