Frankenstein: malware que se crea a sí mismo con partes de códigos benignos
Un equipo de investigadores de la Universidad de Texas está desarrollando un programa malicioso que es capaz de componerse a sí mismo sólo con partes de códigos de aplicaciones legítimas instaladas en los equipos comprometidos.
Vishwath Mohan y Kevin Hamlen presentaron su investigación en el taller de tecnologías ofensivas de USENIX y la publicaron en Internet [paper PDF] para ponerla a disposición del público.
Los investigadores llamaron a su creación “Frankenstein”, haciendo referencia al monstruo creado por el Doctor Frankenstein con partes de personas muertas en la novela de Mary Shelley.
El programa busca gadgets específicos en programas conocidos, como Internet Explorer, que le sirvan para llevar a cabo tareas concretas. Después, combina los códigos de los gadgets que encuentra en el ordenador infectado para construir un código de malware funcional.
"Aplicamos la idea de recolectar instrucciones para ofuscar el código malicioso. Pero en vez de utilizar un motor metafórico para hacer las mutaciones, unimos las secuencias de códigos que conseguimos en los archivos benignos del sistema afectado para crear un binario con una semántica equivalente", explicaron los investigadores.
Esto también hace que el malware no tenga una forma específica, sino que varía dependiendo de los programas que tiene instalado el equipo afectado y los gadgets que consigue. Por esta razón, la selección de gadgets es muy importante y los hackers deben ser muy cuidadosos para no dar instrucciones muy vagas ni muy específicas que limiten las posibilidades del malware.
“Al componer el nuevo binario sólo con secuencias de bytes comunes en los binarios que se clasifican como benignos, es mucho menos probable que los mutantes resultantes concuerden con las firmas de las características binarias incluidas en las listas blancas y negras [de los programas de seguridad]”, agregaron. En otras palabras, el hecho de que el malware esté compuesto por programas que las soluciones antivirus ya detectan como de confianza hace que esta amenaza sea más difícil de detectar y le permite camuflarse en el sistema.
Fuente: Viruslist
Vishwath Mohan y Kevin Hamlen presentaron su investigación en el taller de tecnologías ofensivas de USENIX y la publicaron en Internet [paper PDF] para ponerla a disposición del público.
Los investigadores llamaron a su creación “Frankenstein”, haciendo referencia al monstruo creado por el Doctor Frankenstein con partes de personas muertas en la novela de Mary Shelley.
El programa busca gadgets específicos en programas conocidos, como Internet Explorer, que le sirvan para llevar a cabo tareas concretas. Después, combina los códigos de los gadgets que encuentra en el ordenador infectado para construir un código de malware funcional.
"Aplicamos la idea de recolectar instrucciones para ofuscar el código malicioso. Pero en vez de utilizar un motor metafórico para hacer las mutaciones, unimos las secuencias de códigos que conseguimos en los archivos benignos del sistema afectado para crear un binario con una semántica equivalente", explicaron los investigadores.
Esto también hace que el malware no tenga una forma específica, sino que varía dependiendo de los programas que tiene instalado el equipo afectado y los gadgets que consigue. Por esta razón, la selección de gadgets es muy importante y los hackers deben ser muy cuidadosos para no dar instrucciones muy vagas ni muy específicas que limiten las posibilidades del malware.
“Al componer el nuevo binario sólo con secuencias de bytes comunes en los binarios que se clasifican como benignos, es mucho menos probable que los mutantes resultantes concuerden con las firmas de las características binarias incluidas en las listas blancas y negras [de los programas de seguridad]”, agregaron. En otras palabras, el hecho de que el malware esté compuesto por programas que las soluciones antivirus ya detectan como de confianza hace que esta amenaza sea más difícil de detectar y le permite camuflarse en el sistema.
Fuente: Viruslist
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!