He estado escribiendo malware para pruebas de seguridad profesional durante más de 20 años. La evasión de la detección de AV es uno de los requisitos comunes de nuestros clientes. El enfoque depende de qué mecanismo de exploración se debe evadir.
La detección basada en patrones es muy simple en el entorno AV. Esto es como una expresión regular que intenta identificar una parte común del malware específico. Si el malware cambia con respecto a esta firma de identificación, la detección no funcionará más. El cambio de los fragmentos de código (por ejemplo, cadenas, nombres internos) o la ubicación del bloque de código en el binario se realiza rápidamente y tendrá éxito.
Una detección basada en heurística hace algo similar pero no con bloques de código sino con "acciones". Una acción sería abrir un archivo, escribir una cadena y cerrar el archivo nuevamente. Una secuencia sospechosa en un sistema de archivos de Windows puede estar creando un archivo y agregándole el indicador oculto de inmediato. La mayoría de los productos de AV declaran este malicioso. Y en la mayoría de los casos lo es (¿cuántas aplicaciones legítimas hacen esto?). Pero si espera unos segundos entre estas dos tareas o hace algo más (como abrir otro archivo mientras tanto), la heurística perderá la conexión original entre las tareas iniciales.
La división de las tareas en varios archivos binarios que se ejecutan como instancias de subprocesos múltiples podría causar un efecto similar. Esto se debe a que el software AV no puede correlacionar tantas acciones de múltiples procesos. El desafío podría ser que tenga que implementar todos sus archivos binarios en el host de destino para establecer su marco. Pero esto podría levantar algunas banderas durante el análisis heurístico (múltiples descargas, descargar otro binario después de la ejecución o extraer múltiples ejecutables desde un solo binario). Normalmente estoy descargando partes adicionales y abandono el "descargador" original. Esto funciona bien, genera pequeños binarios y es eficiente. La detección de AV funciona bastante mal con archivos ultra pequeños y simples.
Nunca he tenido un caso en el que no fuera posible evitar la detección de AV. Podría llevar más tiempo de lo habitual. Esta podría ser la razón por la que algunas personas llaman aceite de serpiente AV.