Polimorfismo.
Cada archivo digital (por ejemplo, PDF, DOC, JPEG, PHP, EXE u otros) tiene intrínsecamente su propia firma única, incluidos los archivos maliciosos (malware).
Cuando las compañías de seguridad se encuentran con una nueva pieza de malware, calcularán un hash MD5 (y más recientemente un hash SHA256) a partir de ese archivo malicioso (básicamente analizando su firma única) y agregarán esos hash a su base de datos de firmas de malware. La lista luego crece en uno.
- Cómo arreglar el cuello de botella de la CPU
- Cómo decidir qué PC es la adecuada para usted
- ¿Por qué las computadoras empeoran a medida que envejecen?
- ¿Cuál es la mejor manera de limpiar una PC vieja y lenta y hacerla rápida nuevamente?
- ¿Cómo se correlacionan las computadoras y las matemáticas entre sí?
El software antivirus que instala en su computadora luego descarga esa base de datos de hashes de malware y escanea todos los archivos en su computadora para buscar una coincidencia. Lo hace calculando un hash MD5 y SHA256 para cada uno de los archivos en su computadora y comparándolos con la lista.
Esos fueron los viejos tiempos.
Ahora, para evadir la detección mediante el método anterior, los desarrolladores maliciosos crean malware que es polimórfico. En otras palabras, escriben una pieza de malware que realiza un exploit particular y luego producen múltiples versiones únicas de ese archivo reorganizando algorítmicamente los caracteres, insertando espacios en blanco u ofuscando su código. Todos estos archivos ‘diferentes’ todavía realizan el mismo exploit. Si cambia un carácter en un archivo, tendrá un hash completamente diferente. Entonces, si una compañía de seguridad se encuentra con una versión particular de ese malware, la firma que obtenga solo capturará una fracción del malware real.
En respuesta a esto, existen herramientas y scripts que desofuscan el código, normalizan varios aspectos del archivo antes de verificar su firma o buscan específicamente funciones sospechosas dentro de un tipo de archivo (por ejemplo, código de macro VBA en documentos de Microsoft Word). Sea extremadamente escéptico ante cualquier documento de Microsoft Office que requiera que se habiliten macros. Más información sobre documentos y herramientas maliciosas.
Luego, hay otros factores que contribuyen a esa cifra de casi 1 millón de nuevas amenazas al día , como los desarrolladores que reutilizan el código en nuevos tipos de malware, compran software malicioso en la web oscura, etc., pero en mi opinión, el polimorfismo es lo que contribuye a la mayoría de las amenazas. ‘nuevo’ malware que se lanza (a través de campañas de spam y otros medios) todos los días.
Sin embargo, en última instancia, las compañías de seguridad a menudo publican comunicados de prensa con titulares pegadizos como “Casi 1 millón de nuevas amenazas de malware lanzadas cada día” para motivar a las personas a invertir en productos de seguridad. Un obsequio común es la mención de la compañía de seguridad o sus esfuerzos de investigación en el artículo.
–
Descargo de responsabilidad: de ninguna manera soy un experto en esto. Esta respuesta se basa en lo que aprendí al relacionarme con varios colegas, mentores y VC mientras participaba en el acelerador de seguridad cibernética CyLon.