Detection of anti-analysis malware techniques: Anti-VM and Anti-Sandbox

Abstract

Auditoria de seguretat d'una infrastructura heliportuària

In the ever-changing field of cybersecurity, malicious programs are persistent threats to computer systems, and their damages extend from important information disclosures of organizations to critical infrastructure attacks. Malware analysis provides useful information for forensic procedures and countermeasures developments. However, cybercriminals are constantly applying anti-analysis malware techniques in order to elude its detection and thus, prevent or difficult its analysis. Since detecting evasion attempts is an important step of any successful investigative procedure, this project provides a detailed explanation and comprehensive understanding of prevalent anti-analysis techniques employed by malware as well as their detection counterparts. This research explores the use of YARA rules as a detection method since it is a robust cybersecurity tool used in real-world scenarios to detect and mitigate malware threats.

En el cambiante campo de la ciberseguridad, los programas maliciosos son amenazas persistentes para los sistemas informáticos, y sus daños abarcan desde importantes revelaciones de información de las organizaciones hasta ataques a infraestructuras críticas. El análisis de programas maliciosos proporciona información útil para los procedimientos forenses y el desarrollo de contramedidas. Sin embargo, los ciberdelincuentes aplican constantemente técnicas de antianálisis de malware para eludir su detección y, así, impedir o dificultar su análisis. Dado que detectar los intentos de evasión es un paso importante para el éxito de cualquier procedimiento de investigación, este proyecto ofrece una explicación detallada y una comprensión exhaustiva de las técnicas antianálisis más utilizadas por el malware, así como de sus contrapartidas de detección. Esta investigación explora el uso de reglas YARA como método de detección, ya que se trata de una robusta herramienta de ciberseguridad utilizada en escenarios reales para detectar y mitigar amenazas de malware.

En el camp canviant de la ciberseguretat, els programes maliciosos són amenaces persistents per als sistemes informàtics, i els seus danys abasten des d’importants revelacions d’informació de les organitzacions fins a atacs a infraestructures crítiques. L’anàlisi de programes maliciosos proporciona informació útil per als procediments forenses i el desenvolupament de contramesures. Tanmateix, els ciberdelinqüents apliquen constantment tècniques d’antianàlisi de malware per eludir-ne la detecció i, així, impedir-ne o dificultar-ne l’anàlisi. Atès que detectar els intents d’evasió és un pas important per a l’èxit de qualsevol procediment de recerca, aquest projecte ofereix una explicació detallada i una comprensió exhaustiva de les tècniques antianàlisi més utilitzades pel malware, així com de les seves contrapartides de detecció. Aquesta investigació explora l’ús de regles YARA com a mètode de detecció, ja que és una robusta eina de ciberseguretat utilitzada en escenaris reals per detectar i mitigar amenaces de malware.