Empaquetadores sospechosos

Empaquetadores sospechosos

Concepto:	El malware suele comprimirse (o empaquetarse) utilizando diversas técnicas combinadas con el cifrado de archivos para eludir las técnicas de ingeniería inversa y dificultar el análisis del comportamiento mediante los métodos usados con ese fin.

Empaquetadores sospechosos. Son aquellas herramientas y comprimidos, portadores de códigos malignos de difícil detección por su estado de comprensión.

Comprimidos, portadores de códigos malignos.

Sumario

1 Concepto
2 Característica del empaquetador
3 Ejemplos
4 Enlaces externos
5 Fuentes

Concepto

Normalmente los programas antivirus detectan los resultados del comportamiento sospechoso de los empaquetadores, pero hay formas de evitar que los códigos malignos se descubran en los archivos comprimidos. Por ejemplo, los empaquetadores pueden optar por no descifrar todo el código, sino sólo la extensión a ejecutar, o pueden descifrar el archivo por completo y lanzar el programa malicioso sólo en determinados días específicos.

Comprimidos, portadores de códigos malignos.

Característica del empaquetador

La principal característica distintiva de la subclase "empaquetador" es el tipo y el número de empaquetadores utilizados en el proceso de compresión. Incluyen los siguientes tipos.

Empaquetador múltiple (MultiPacked)

La clasificación Multi Packed incluye archivos que han sido comprimidos varias veces utilizando diferentes empaquetadores. Los antivirus detectan los archivos ejecutables como Multi Packed si están comprimidos con tres o más compresores conocidos.

Empaquetador raro o poco usual (RarePacker)

Esta clasificación incluye archivos comprimidos por compresores raramente vistos o usados. Por ejemplo, empaquetadores que se han detectado por pruebas de concepto.

Empaquetadores sospechosos

Aquellos que no se conocen. Son paquetes de códigos malignos comprimidos; pero no se conoce el compresor.

Ejemplos

Los desarrolladores de software maliciosos pueden crear kits de exploits o una colección de ellos, comprimidos en otro software.
Se han detectado casos en los que se ocultan archivos maliciosos (tanto scripts como ejecutables) dentro de archivos .msi. Se han utilizado herramientas como 7zip y Super ORCA MSI Editor, para descomprimir y observar la configuración y la información interna del instalador .msi.
Los kits de phishing son otro ejemplo de paquetes de archivos que contienen todo el código maligno, los gráficos y los archivos de configuración necesarios para implementar un sitio web de phishing. Suelen empaquetarse y venderse en archivos Zip y pueden implementarse rápidamente sin necesidad de grandes conocimientos.

Enlaces externos

cointelegraph.com citado 18 de enero de 2024.
wordpress.com. citado 18 de enero de 2024.
kaspersky.es citado 18 de enero de 2024 .

Fuentes

RarePacker. (s.f.). En Kaspersky Encyclopedia. Recuperado el 31 de enero de 2025, de [1]
Empaquetadores sospechosos. (s.f.). En Kaspersky Encyclopedia. Recuperado el 31 de enero de 2025, de [2]
MultiPacked. (s.f.). En Kaspersky Encyclopedia. Recuperado el 31 de enero de 2025, de [3]
Kaspersky. (2023). ¿Qué son los empaquetadores sospechosos? Recuperado el 31 de enero de 2025, de [4]
El Hacker Ético. (2022). ¿Qué es un kit de Phishing? Recuperado el 31 de enero de 2025, de [5]
WeLiveSecurity. (2020, 27 de enero). Archivos MSI: un instalador utilizado para ocultar o descargar malware. Recuperado el 31 de enero de 2025, de [6]
Avast. (s.f.). ¿Qué es un exploit de ordenador? Definición de exploit. Recuperado el 31 de enero de 2025, de [7]
Egele, M., Scholte, T., Kirda, E., & Kruegel, C. (2012). A survey on automated dynamic malware-analysis techniques and tools. ACM Computing Surveys (CSUR), 44(2), 1-42. [8]. Recuperado el 31 de enero de 2025.
Ugarte-Pedrero, X., Balzarotti, D., Santos, I., & Bringas, P. G. (2015). SoK: Deep packer inspection: A longitudinal study of the complexity of run-time packers. IEEE Symposium on Security and Privacy (SP), 659-673. [9]. Recuperado el 31 de enero de 2025.
Shacham, H. (2007). The geometry of innocent flesh on the bone: Return-into-libc without function calls (on the x86). Proceedings of the 14th ACM Conference on Computer and Communications Security (CCS), 552-561. [10]. Recuperado el 31 de enero de 2025.
Cowan, C., Pu, C., Maier, D., Hinton, H., Walpole, J., Bakke, P., ... & Zhang, Q. (1998). StackGuard: Automatic adaptive detection and prevention of buffer-overflow attacks. USENIX Security Symposium, 63-78. Recuperado el 31 de enero de 2025.
Abad, C. (2005). The economy of phishing: A survey of the operations of the phishing market. First Workshop on the Economics of Information Security (WEIS). Recuperado el 31 de enero de 2025.
Jakobsson, M., & Myers, S. (2006). Phishing and countermeasures: Understanding the increasing problem of electronic identity theft. Wiley-Interscience. ISBN: 978-0-471-78245-2. Recuperado el 31 de enero de 2025.
Christodorescu, M., & Jha, S. (2004). Testing malware detectors. ACM SIGSOFT Software Engineering Notes, 29(4), 34-44. [11]. Recuperado el 31 de enero de 2025.
Sikorski, M., & Honig, A. (2012). Practical malware analysis: The hands-on guide to dissecting malicious software. No Starch Press. ISBN: 978-1-59327-290-6. Recuperado el 31 de enero de 2025.
Rieck, K., Trinius, P., Willems, C., & Holz, T. (2011). Automatic analysis of malware behavior using machine learning. Journal of Computer Security, 19(4), 639-668. [12]. Recuperado el 31 de enero de 2025.

Obtenido de «https://www.ecured.cu/index.php?title=Empaquetadores_sospechosos&oldid=4537293»