Dado
¿cómo las personas que desarrollan malware evitan destruir los sistemas que utilizan para desarrollar dicho malware?
Desarrollar malware y destruir entornos es lo mismo que investigar malware para revertirlo.
Tu suposición de que los desarrolladores no pueden usar sistemas diferentes es incorrecta. La siguiente información le permite a un desarrollador alojar múltiples máquinas virtuales para probar contra diferentes imágenes de plataforma.
La virutalización permite que las máquinas se desarmen y vuelvan a girar después de implementar el malware y ejecutarlo. Así es como los investigadores forenses invierten el malware ejecutándolo en un entorno aislado donde pueden ver cómo interactúa con el sistema; el proceso es el mismo para desarrollarlo.
Comprar una máquina de segunda mano es barato y se haría si desea que el malware se dirija a máquinas físicas y detecte entornos virtuales. Toma algunas imágenes de disco y listo.
El malware moderno a menudo se compone de diferentes etapas o módulos. El desarrollo modular hace que sea más difícil realizar ingeniería inversa, ya que también permite la prueba de los módulos por separado. De esta manera no se ejecuta una carga útil destructiva por prueba.
No soy un desarrollador de malware, pero esto es lo que sospecho que es el caso y lo que he escuchado en otros seminarios.
En primer lugar, hay una gran cantidad de kits disponibles en la web oscura donde puede comprar malware y kits de desarrollo de malware como servicio. Alguien ya construyó los componentes; Ahora solo ensambla los componentes y suelta!
Tenga en cuenta que el crimen cibernético organizado hace gran cantidad de dinero. Está fuera de las manos de los niños y en manos de verdaderos profesionales. Dado esto, sospecho que tienen laboratorios, etc., donde pueden realizar pruebas y desarrollarse. La mayoría de las grandes empresas de seguridad hablan de que existen, a falta de un término mejor, empresas de malware profesional que hacen su trabajo en edificios de oficinas.
Incluso si se trata de alguien que trabaja en un sótano en algún lugar, estas personas son delincuentes. El robo de recursos no es un gran problema para ellos. Tal vez ellos roben hardware. Tal vez roben la capacidad de cómputo de víctimas confiadas. Si fuera yo, tendría copias de VMWare y las construiría y probaría en máquinas virtuales. Esos se pueden restablecer a una configuración original con bastante facilidad.
Ten en cuenta lo que es el malware ahora. Solía estar centrado en la destrucción. Ahora se centra en la ganancia financiera, y filtra los datos a un host conocido en algún otro lugar de Internet. Así que los riesgos para el desarrollador, aunque son altos, ya no son la pérdida de su hardware. Lo más probable es que los desarrolladores también sepan cómo evitar que sus datos se filtren. Si lo hiciera, me aseguraría de saber cómo cerrar esa puerta en particular.
Lea otras preguntas en las etiquetas malware exploit-development