fbpx
Wikipedia

Metamorfismo (malware)

Febrero 10, 2022

No debe confundirse con Metamorfismo.

El metaforfismo es una técnica empleada por malware para evitar su detección, dando lugar al llamado malware metamórfico. Consiste en usar un motor metamórfico, embebido dentro del mismo malware, que muta su código. Este motor cambia por completo el cuerpo del malware, incluido el propio motor de mutación. El malware metamórfico no tiene parte cifrada y, por lo tanto, no necesita descifrador. Se trata de malware polimórfico que emplea un motor de mutación para mutar todo su cuerpo.[1]

De esta forma cada vez que se propaga un malware metamórfico bien construido, se crea una nueva versión que mantendrá el mismo efecto y comportamiento general. Se supone que un buen motor metamórfico crea un número infinito de versiones sin patrones de cadena identificables comunes, lo que hace que su detección mediante firmas sea prácticamente imposible.[2]​ Para detectar este tipo de malware se han de emplear técnicas basadas en el análisis de comportamiento y herurísticas.[1]

Motor metamórfico

Algunos malware metamórficos llevan su propio motor metamórfico. Por ejemplo, Zperm lleva su propio motor metamórfico al que llama Real Permuting Engine (RPME). Otros usan generadores metamórficos que son independientes del malware sobre el que se usa. [3]​Por ejemplo, los toolkits polimórficos, como CLET o ADMmutate, permiten realizar metamorfismo.[4]​ Algunas herramientas de construcción de malware como NGVCK, VCL32, MPCGEN o G2 incluyen motores metamórficos.[5]

Funcionamiento

El motor metamórfico realiza las siguientes actividades:[2][6]

  1. Localización. En esta etapa se localiza así mismo y al código que transformará.
  2. Desensamblado. El motor descompila para obtener el código fuente.
  3. Análisis de código. El analizador de código recaba información sobre la estructura y flujo de programa, subrutinas, variables y registros, entre otros. El analizador lógico adquiere una compresión lógica del código.
  4. Transformación de código. La información recabada por el analizador de código es utilizada por el transformador y se encarga de ofuscar el código además de cambiar la secuencia de dicho malware.
  5. Ensamblado. El compilador transforma de nuevo el código mutado a código máquina para que pueda ser interpretado por la misma. Generalmente este paso lo hace un compilador legítimo instalado en el sistema víctima.
  6. Embebe el código dentro del malware. Consiste en incrustarlo el código máquina en un archivo host.

De esta forma cada nueva copia puede tener diferente estructura, secuencia de código, tamaño y propiedades sintácticas, pero el comportamiento del malware no cambia.[1]

Ejemplos

Como ejemplos reseñables de malware metamórfico podemos destacar:[2]

  • Win95/Regswap. Fue el primer malware metamórfico y apareció en 1998
  • Win95/Zmist. Detectado en 2001. Introdujo la técnica de integración de código que consiste en descompilar archivos ejecutables portátiles (PE) en elementos lógicos, insertar partes de su código en el archivo y vincularlos mediante instrucciones JMP. Después de hacerlo, regenera el código y reconstruye el PE.
  • W32/Simile. Detectado en 2002. Este virus utiliza varias técnicas avanzadas, como el oscurecimiento del punto de entrada, el metamorfismo y el descifrado polimórfico.

Podemos clasificar el malware metamórfico en dos subcategorías:[1]

  • Los que se comunican con otros sitios en Internet y pueda descargar actualizaciones. Un ejemplo es el gusano Conficker.
  • Lo que no realizan comunicación alguna con el exterior durante la mutación. El primer virus que uso esta técnica fue Win32/Apparition.

Referencias

  1. Sistema de ofuscacion de malware para la evasion de NIDS. Roberto Carrasco de la Fuente et ali. Universidad Complutense de Madrid. Junio de 2013
  2. Malware vs. Antivirus: the never-ending story (Part I). Eva Chen. blueliv.com/. 25 de diciembre de 2019
  3. Code Obfuscation and Virus Detection. Ashwini Venkatesan. San Jose State University. 2008
  4. ERES: an extended regular expression signature for polymorphic worm detection. Razieh Eskandari. Incluido en Springer Nature 2019
  5. Hunting for metamorphic engines. Wing Wong. Springer-Verlag France 2006
  6. CLASIFICADOR Y PREDICTOR DE DAÑOS MALWARE BASADO EN EL APRENDIZAJE AUTOMÁTICO SOBRE UN ESPACIO VECTORIAL ACOTADO. Alex Gonzalo Rodríguez. Trabajo de Fin de Grado. Universitat Pompeu Fabra
  •   Datos: Q6823026

Febrero 10, 2022
metamorfismo, malware, debe, confundirse, metamorfismo, metaforfismo, técnica, empleada, malware, para, evitar, detección, dando, lugar, llamado, malware, metamórfico, consiste, usar, motor, metamórfico, embebido, dentro, mismo, malware, muta, código, este, mo. No debe confundirse con Metamorfismo El metaforfismo es una tecnica empleada por malware para evitar su deteccion dando lugar al llamado malware metamorfico Consiste en usar un motor metamorfico embebido dentro del mismo malware que muta su codigo Este motor cambia por completo el cuerpo del malware incluido el propio motor de mutacion El malware metamorfico no tiene parte cifrada y por lo tanto no necesita descifrador Se trata de malware polimorfico que emplea un motor de mutacion para mutar todo su cuerpo 1 De esta forma cada vez que se propaga un malware metamorfico bien construido se crea una nueva version que mantendra el mismo efecto y comportamiento general Se supone que un buen motor metamorfico crea un numero infinito de versiones sin patrones de cadena identificables comunes lo que hace que su deteccion mediante firmas sea practicamente imposible 2 Para detectar este tipo de malware se han de emplear tecnicas basadas en el analisis de comportamiento y heruristicas 1 Indice 1 Motor metamorfico 1 1 Funcionamiento 2 Ejemplos 3 ReferenciasMotor metamorfico EditarAlgunos malware metamorficos llevan su propio motor metamorfico Por ejemplo Zperm lleva su propio motor metamorfico al que llama Real Permuting Engine RPME Otros usan generadores metamorficos que son independientes del malware sobre el que se usa 3 Por ejemplo los toolkits polimorficos como CLET o ADMmutate permiten realizar metamorfismo 4 Algunas herramientas de construccion de malware como NGVCK VCL32 MPCGEN o G2 incluyen motores metamorficos 5 Funcionamiento Editar El motor metamorfico realiza las siguientes actividades 2 6 Localizacion En esta etapa se localiza asi mismo y al codigo que transformara Desensamblado El motor descompila para obtener el codigo fuente Analisis de codigo El analizador de codigo recaba informacion sobre la estructura y flujo de programa subrutinas variables y registros entre otros El analizador logico adquiere una compresion logica del codigo Transformacion de codigo La informacion recabada por el analizador de codigo es utilizada por el transformador y se encarga de ofuscar el codigo ademas de cambiar la secuencia de dicho malware Ensamblado El compilador transforma de nuevo el codigo mutado a codigo maquina para que pueda ser interpretado por la misma Generalmente este paso lo hace un compilador legitimo instalado en el sistema victima Embebe el codigo dentro del malware Consiste en incrustarlo el codigo maquina en un archivo host De esta forma cada nueva copia puede tener diferente estructura secuencia de codigo tamano y propiedades sintacticas pero el comportamiento del malware no cambia 1 Ejemplos EditarComo ejemplos resenables de malware metamorfico podemos destacar 2 Win95 Regswap Fue el primer malware metamorfico y aparecio en 1998 Win95 Zmist Detectado en 2001 Introdujo la tecnica de integracion de codigo que consiste en descompilar archivos ejecutables portatiles PE en elementos logicos insertar partes de su codigo en el archivo y vincularlos mediante instrucciones JMP Despues de hacerlo regenera el codigo y reconstruye el PE W32 Simile Detectado en 2002 Este virus utiliza varias tecnicas avanzadas como el oscurecimiento del punto de entrada el metamorfismo y el descifrado polimorfico Podemos clasificar el malware metamorfico en dos subcategorias 1 Los que se comunican con otros sitios en Internet y pueda descargar actualizaciones Un ejemplo es el gusano Conficker Lo que no realizan comunicacion alguna con el exterior durante la mutacion El primer virus que uso esta tecnica fue Win32 Apparition Referencias Editar a b c d Sistema de ofuscacion de malware para la evasion de NIDS Roberto Carrasco de la Fuente et ali Universidad Complutense de Madrid Junio de 2013 a b c Malware vs Antivirus the never ending story Part I Eva Chen blueliv com 25 de diciembre de 2019 Code Obfuscation and Virus Detection Ashwini Venkatesan San Jose State University 2008 ERES an extended regular expression signature for polymorphic worm detection Razieh Eskandari Incluido en Springer Nature 2019 Hunting for metamorphic engines Wing Wong Springer Verlag France 2006 CLASIFICADOR Y PREDICTOR DE DANOS MALWARE BASADO EN EL APRENDIZAJE AUTOMATICO SOBRE UN ESPACIO VECTORIAL ACOTADO Alex Gonzalo Rodriguez Trabajo de Fin de Grado Universitat Pompeu Fabra Datos Q6823026 Obtenido de https es wikipedia org w index php title Metamorfismo malware amp oldid 135376425, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos