Anti-anti: Detectando Anti-VM, Anti-Disassembly e Anti-Debugger em Malwares (via @qualys)

Rodrigo Branco (BSDaemon), Diretor de Pesquisas de Vulnerabilidade e Malware da Qualys, participou semana passada na Black Hat USA 2012 (a maior conferência estadunidense sobre Segurança da Informação), publicando os primeiros resultados de seu projeto de pesquisa no painel “Um científico (mas não-acadêmico) estudo de como os Malwares empregam tecnologias anti-debugging, anti-disassembly e anti-virtualização”, o Dissect || PE. O objetivo do estudo era estudar que tipos de tecnologias os malwares empregavam para evadir tentativas de detecção.

As técnicas foram agrupadas em: detecção de máquinas virtuais (por exemplo, não rodar dentro de uma VM), técnicas para evitar o disassembly (dificultando pesquisadores de segurança empregarem técnicas de engenharia reversa), métodos de prevenção de debugging e métodos de ofuscação gerais. O estudo encontrou que cerca de 90% dos malwares usam pelo menos um desses tipos de tecnologias, sendo a mais comum a anti-VM com 81,40%.

O autor do estudo palestrará na próxima edição do Workshop Seginfo, no sábado à tarde dando mais detalhes sobre este estudo. Não deixe de conferir a grade de palestras do evento.

Via How Malware Employs Anti-Debugging, Anti-Disassembly and Anti-Virtualization Technologies | Qualys Security Labs | Qualys Community.