De este análisis obtuvieron resultados muy interesantes. En total hubo 21.043 muestras sin importaciones mientras que 527.992 por lo menos importaron una API. Es decir, sólo el 3,8% de las muestras no tenía ninguna importación. Eso significa que menos del 5% de los archivos se empaquetaron bien sin importaciones estáticamente incluyendo sus dlls, o estaban usando sus propios métodos para la búsqueda e importación de APIs fuera de la tabla de importación del propio PE.
Del resto, de los que si hacían importaciones, hubo un total de 120.126 API importadas de forma exclusiva, un número mucho más grande de lo imaginado.
Las 10 APIs más utilizadas, con un gran escalón respecto al resto, son las siguientes:
#1 GetProcAddress 394546
#2 LoadLibraryA 344607
#3 GetModuleHandleA 305054
#4 ExitProcess 301073
#5 VirtualAlloc 244900
#6 WriteFile 223855
#7 GetModuleFileNameA 221006
#8 CloseHandle 220358
#9 RegCloseKey 213748
#10 VirtualFree 211790
También que quedó claro es que una serie de APIs estaban siendo importados por 3 ª partes de dll.
Por ejemplo av_dup_packet fue importada desde una dll de audio (http://ffmpeg.org/doxygen/0.6/avpacket_8c.html).
Es probable que estas API se utilizan para romper el sandbox de los AntiVirus (y sandboxes de herramientas par aanalizar malware como Cuckoo).
Además hay una serie de importaciones que son igual a los alias de Windows API como vlc_memset (alias a memset).
Estos son dos técnicas interesantes que trabajarían grande para evadir un producto AV basado heurística o firma que está examinando las importaciones.
Para ver algunas otras conclusiones interesantes y obtener el PDF detallado con los resultados visita:
https://www.bnxnet.com/top-maliciously-used-apis/
Fuente:
http://www.hackplayers.com/2015/05/las-apis-mas-utilizadas-por-malware.html
No hay comentarios:
Publicar un comentario