Agosto 27, 2019
Una trampa irresistible para el malware
No he visto la sexta entrega de la película Misión Imposible, ni creo que la vea. Vi la quinta entrega (en estado zombi durante un largo vuelo a casa después de una semana dura de trabajo) solamente porque una escena se había filmado en nuestra nueva y flamante oficina de Londres. Se trataba de otra entrega más de Misión Imposible, una película que no es para nada de mi estilo. Bofetadas, disparos, golpes, choques, explosiones, conmoción. Uf. Yo prefiero algo más desafiante, intelectualmente estimulante y sencillamente interesante. Después de todo, mi tiempo es escaso y valioso.
Parece que estoy despotricando contra Tom Cruise y compañía, ¿verdad? Pero no es así. De hecho, tengo que reconocer el mérito de al menos una escena que está muy bien hecha (es decir, que resulta intelectualmente estimulante y sencillamente interesante). Se trata de la parte en la que los buenos necesitan que uno de los malos delate a sus secuaces, o algo parecido. Para ello, instalaron un ambiente falso en un “hospital” con la “CNN” en la “televisión” informando sobre el Armagedón nuclear. Satisfecho por la transmisión mundial de su manifiesto apocalíptico, el villano entrega a sus secuaces (¿o era un código de inicio de sesión?) como parte del trato realizado con sus interrogadores. Disculpad, aquí está la secuencia.
¿Por qué me gusta tanto esta escena? ¡Pues porque ilustra muy bien uno de los métodos para detectar ciberamenazas desconocidas! De hecho, existen muchos métodos, que varían según el área de aplicación, la efectividad, el uso de recursos y otros parámetros (escribo mucho sobre esto aquí). Pero hay uno que siempre destaca: la emulación (también he hablado mucho de ella aquí).
Al igual que en la película MI, un emulador inicia el objeto investigado en un ambiente artificial aislado, de esta forma lo anima a revelar su carácter malicioso.
Pero esta estrategia presenta una gran desventaja: el hecho de que el ambiente sea artificial. El emulador se esfuerza para que ese entorno artificial parezca un sistema operativo real, pero el malware, cada vez más inteligente, consigue diferenciarlo de un entorno real. Cuando el emulador se percata de que el malware lo ha reconocido, se reagrupa y mejora su emulación, y así sucesivamente en un ciclo interminable que a menudo abre la ventana a una posible vulnerabilidad en un ordenador protegido. El problema principal es que ningún emulador ha podido retratar la viva imagen de un sistema operativo real.
Por otra parte, existe otra opción para abordar el análisis de comportamiento de los objetos sospechosos: analizarlo (en un sistema operativo real) dentro de una máquina virtual. Y bueno, ¿por qué no? Si el emulador no lo detiene por completo, ¡deja que lo intente una máquina (real) virtual! Sería el “interrogatorio” ideal: se lleva a cabo en un ambiente real, no artificial, pero sin las consecuencias negativas.