Los piratas informáticos abusan de un cambio de un solo bit en el registro del procesador Intel para evitar ser detectados

Los investigadores de seguridad han descubierto un bit específico (Trap Flag) en el registro del procesador Intel que el malware puede abusar para evitar detectar el sandbox.

Según los investigadores En el grupo de investigación de amenazas de la Unidad 42 de Palo Alto Networks, el malware puede detectar si se está ejecutando en una máquina física o virtual (VM) al monitorear la respuesta del procesador después de configurar este bit único.

El malware generalmente evita la detección verificando que se estén ejecutando en un entorno de «caja de arena» virtualizado configurado para analizar de forma segura el malware potencial. Cuando el malware descubre que se está ejecutando en una máquina virtual, finalizará su ejecución o proporcionará resultados falsos para ocultar sus verdaderas intenciones.

En este caso, para detectar el uso de VM en un sandbox, el malware podría verificar el comportamiento del procesador luego de activar la señal trap. Este es el octavo bit único en el registro EFLAG de la arquitectura del procesador Intel x86.

Si el indicador de trampa se activa antes de ejecutar una sola instrucción, la CPU generará una excepción (modo de un paso) después de que se complete la instrucción. Esta excepción detiene la ejecución del procesador para permitir que el administrador de la excepción examine el contenido de los registros y la ubicación de la memoria. Antes de permitir que continúe la ejecución del código, el procesador también debe borrar la señal de captura.

«Para determinar si se usa una máquina virtual, el malware puede verificar si la excepción de un paso se entregó a la instrucción correcta de la CPU después de ejecutar instrucciones específicas (por ejemplo, CPUID, RDTSC, IN) que hacen que la máquina virtual salga con TF activado. Durante las salidas de VM, el hipervisor, también conocido como Virtual Machine Monitor (VMM), emulará los efectos del procesador físico que encuentre «, dijeron los investigadores.

Los investigadores también dijeron que hubo un juego de ratón-ratón entre los autores de malware que desarrollan técnicas de evasión para evitar un análisis eficaz y los autores de sandbox que están investigando nuevas formas de derrotar estas evasiones.

«Este es uno de los principales factores que nos llevó en Palo Alto Networks a construir nuestro propio hipervisor personalizado para el análisis de malware. Debido a que tenemos un control total sobre la pila de software, incluido el nivel de virtualización, podemos reaccionar ante amenazas nuevas y emergentes ”, dijeron los investigadores.

«En este caso, una vez que identificamos el problema con la emulación incorrecta del indicador de trampa, nuestro equipo de hipervisores pudo probar e implementar una solución».

Desde entonces, los investigadores han podido solucionar este problema de evasión para cualquier muestra de malware mediante la implementación de esta técnica.

Rate this post

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio