Metodología para la Evaluación de Software Antivirus

Hola y bienvenido al foro, muy bien organizado. Creo que para este proyecto necesitarás de más usuarios que aporten sus conocimientos.

Citar

En la actualidad, muchos de los administradores de sites y redes, e incluso usuarios de computadoras comunes terminan decepcionados al percatarse de la poca protección de sus sistemas, aun después de aplicar los parches de seguridad publicados por los desarrolladores de software, la instalación de firewalls, antimalware, así como removedores de troyanos presentes en una selva tecnológica de herramientas de seguridad, las cuales tienden a crear cierto grado de confusión a la hora de decantarse por una en particular.

De la misma forma que hay muchas personas creando tools para intentar "controlar" y evadir las acciones creadas por el malware, también tienes el bando opuesto que por supuesto esta llegando a ser mucho más lucrativo, en cuanto a formas de evadir los controles de proteccion de los diferentes sistemas existentes, sean paltaformas Win, Linux, Mac, dispositivos móviles y las nuevas tabletas.
Diría yo éstas últimas más vulnerables, visto lo visto. Es el nuevo mercado >:D

Citar

Además el software malicioso suele ocultarse mediante la cifrado y ofuscación de datos, razón por la cual, los detectores simplemente fallan al realizar su trabajo. La continua aparición de los mismos y la contaminación de los equipos de computo, aun contando con la versión más reciente de un software de estas características, demuestra que la mejor manera de protegerse es adquiriendo conocimientos de administración de sistemas para evitar dejar sin protección el equipo.

Son fallas de momento no solucionables al 100%, una casa antivirus puede quitarse un código cifrado de hasta 768 bits, pero siempre partiendo de una muestra. Ya sabiendo esto, el creador del malware aumentará considerablemente el código para que por fuerza bruta sea casi imposible o se tarde lo máximo posible en descifrar. --< 2048-4096 :-X

Citar

2.2 Objetivos Específicos

* Comprender el funcionamiento de los sistemas operativos basados en las plataformas Windows y Linux, así como las virtudes, debilidades e instrucciones de seguridad que emplean.

* Estudiar las diferentes formas evolutivas del malware de acuerdo a las categorías seleccionadas, con miras a aumentar el nivel cognoscitivo sobre el tema.

* Analizar los mecanismos de carga-activación-defensa empleados por el malware en las plataformas Linux y Windows.

* Describir los métodos de detección por firmas, comportamiento y heurística empleados por el software antimalware para la eliminación y control de código malicioso.

*Determinar la eficacia y eficiencia del software antimalware en estudio, mediante la metodología de evaluación dinámica propuesta por la Organización de Estándares para la Evaluación de Programas Antimalware (AMTSO).

*Identificar estrategias útiles para el control del malware y emitir resultados concretos con relación al estudio realizado.

Nosotros por norma general cuando estudiamos una muestra de malware, analizamos que cambios esta haciendo o prevée hacer en un sistema en concreto. Los datos que desea extraer y a donde los envia, analizar las trazas de las conexiones si por ejemplo descarga nuevos archivos o envío de información. La heurística cumple bien su faena pero también es evadible, y más aún con los hábitos de navegación actual, intalacion de nuevos plugins de terceros en los instaladores tipo softonic y demás, aunque esos los caza rápido. En muchísimas ocasiones el malware se instala y aunque el AV lo detecte en memória no puede deshacerse de él, salvo en un reinicio y ni así a veces.
La solución que se plantea sobre los antivirus es que deben instalarse entre comillas como lo hiciera un rootkit o bootkit, controlando las acciones de los anillos más cercanos al núcleo (ring-0).
Aún así se ha demostrado que se puede evadir un malware utilizando las mismas técnicas de ocultación al sistema.
Estuve un tiempo bajando muestras infectadas y analizandolas estáticamente con varios AV y ninguno decia nada, en algunos casos algún módulo que utilice code quemado y ya firmado por el AV.
La cifrado de código dificulta que el AV detecte código malicioso aunque luego en ejecución su heurística lo cace. No por ende tiene que poder eliminarlo, depende hasta donde esté anclado en el sistema, esa es la guasa.
En los enlaces de correo también fallan, al incorporar acortadores de url o redirecciones varias hasta llegar a la acción.

Saludos, a ver si alguien más se anima a comentar.