Análisis de técnicas de evasión de antivirus y soluciones para su detección

Toribio González, Héctor

Por favor, use este identificador para citar o enlazar este ítem:https://uvadoc.uva.es/handle/10324/71420

Título

Análisis de técnicas de evasión de antivirus y soluciones para su detección

Autor

Toribio González, Héctor

Director o Tutor

Cardeñoso Payo, Valentín

Editor

Universidad de Valladolid. Escuela de Ingeniería Informática de Valladolid

Año del Documento

2024

Titulación

Grado en Ingeniería Informática

Resumen

En los últimos años, en especial tras la pandemia, se está viendo un gran incremento de amenazas informáticas Zero-Day. Las amenazas Zero-Day son amenazas que no han sido vistas hasta ahora y, por lo tanto, que pueden evadir los sistemas de protección por el uso de nuevas técnicas de ataque y evasión. Gran parte de estas amenazas son archivos maliciosos que consiguen entrar en los equipos incluso cuando tienen un sistema de protección instalado. La motivación de este trabajo es comprender y analizar las técnicas que usan los atacantes para conseguir evadir estos sistemas de protección contra amenazas, con el objetivo de encontrar indicadores, comportamientos y patrones que nos permitan identificar los archivos maliciosos incluso cuando se usan estas técnicas. Para esto vamos a realizar una profunda investigación, introduciéndonos poco a poco en el mundo de la ofuscación, cifrado, inyección y demás técnicas que permiten al atacante colarse en nuestros dispositivos sin siquiera hacer saltar una firma de nuestro motor antivirus “preferido” en el cual depositamos toda nuestra confianza. Tras la investigación, se realizarán numerosos casos prácticos en un entorno controlado con muestras de software sospechoso y se analizará su comportamiento en el equipo con el objetivo de aportar nuevos Indicadores de Compromiso que nos permitan detectar estas técnicas. El objetivo de este trabajo no es el de aprender a evadir y llevarlo a la práctica, sino el de aprender a proteger de una mejor manera nuestros equipos de los hackers.

In recent years, especially after the pandemic, there has been a significant increase in ZeroDay computer threats. Zero-Day threats are threats that have not been seen before and, therefore, can evade protection systems through the use of new attack and evasion techniques. Many of these threats are malicious files that manage to enter systems even when they have a protection system installed. The motivation of this work is to understand and analyze the techniques used by attackers to evade these threat protection systems, with the goal of finding indicators, behaviors, and patterns that allow us to identify malicious files even when these techniques are used. To this end, we will conduct an in-depth investigation, gradually delving into the world of obfuscation, encryption, injection, and other techniques that allow the attacker to sneak into our devices without even triggering a signature from our “preferred” antivirus engine in which we place all our trust. After the investigation, numerous practical cases will be carried out in a controlled environment with samples of suspicious software, and their behavior on the system will be analyzed with the aim of providing new Indicators of Compromise that allow us to detect these techniques. The goal of this work is not to learn how to evade and put it into practice, but to learn how to better protect our equipment from hackers.

Palabras Clave

Ciberseguridad

Evasión

Comportamiento

Antivirus

Departamento

Departamento de Informática (Arquitectura y Tecnología de Computadores, Ciencias de la Computación e Inteligencia Artificial, Lenguajes y Sistemas Informáticos)