Frankenstein: Malware “roba código” para crear variante


Frankenstein: Malware “roba código” para crear variante

codigo malicioso

Frankenstein: Malware que “roba código” para crear variantes

ciberguerra


VIRUS MALWARE


tecnologias ofensivas



La mutación de código no es algo nuevo dentro del mundo del malware. Algunas creaciones buscan variar su estructura para complicar la vida de los sistemas de defensa, pero sus patrones de comportamiento pueden ser detectados, exponiendo su presencia.


Sin embargo, el malware conocido como Frankenstein procede de forma diferente. Frankenstein roba código de otros programas completamente legítimos para crear mutantes que en teoría siempre tendrán una apariencia “diferente” ante un antivirus u otra herramienta de defensa, incrementando drásticamente su capacidad de evasión.


En comparación con la enorme cantidad de malware que hay flotando en la red, los llamados “virus primordiales” son relativamente pocos.


Es más fácil para un desarrollador tomar código malicioso ya existente, alterar algunas funciones y evadir las bases de datos de los antivirus por un tiempo, que crear una nueva forma de malware desde cero.


Algunos de nuestros lectores probablemente también recuerden el concepto de "Caballo de Troya", o sea, código malicioso haciéndose pasar por algo benigno. Pero esa técnica también puede ser detectada eventualmente. ¿Ahora, qué pasaría si en vez de camuflarse, un malware está compuesto por elementos legítimos que un antivirus no consideraría como una amenaza?


vishwath mohan

La arquitectura de Frankenstein expuesta en un diagrama



Eso es lo que han propuesto Vishwath Mohan y Kevin Hamlen de la Universidad de Texas con su nueva creación, adecuadamente bautizada “Frankenstein”. Una vez en el ordenador, Frankenstein busca diferentes porciones de código (“gadgets”) en programas reconocidos y de uso cotidiano, como puede ser el Bloc de Notas o algún navegador web.


Con la suficiente cantidad de gadgets a su alcance (unos 90 mil en menos de un minuto), Frankenstein puede “armar” un malware completamente diferente, engañando a cualquier escáner o detector que utilice secuencia de bytes para reconocer y eliminar amenazas. En la prueba, los “engendros” creados por Frankenstein fueron dos algoritmos sencillos, pero esto demuestra que podría construirse algo mucho más complejo y peligroso.


kevin hamlen


La investigación y el desarrollo de Frankenstein recibió financiación de la Fuerza Aérea de los Estados Unidos, y fue presentado en el USENIX Workshop sobre “Tecnologías Ofensivas”.


Sus creadores reconocen el potencial del malware para ser utilizado en maniobras de ciberguerra, infiltrando sistemas enemigos. Ahora, como ya sabemos muy bien, esto es un duelo constante. Frankenstein no está libre de defectos, ya que requiere de ciertos “planos” para utilizar los gadgets en sus creaciones.


Si los planos son pocos, harían a Frankenstein muy específico, mientras que planos más relajados no pueden ser utilizados. Al mismo tiempo, Microsoft anunció que su paquete EMET de seguridad puede detectar e impedir el robo de código al que recurre Frankenstein... aunque un investigador iraní declaró hace algunas semanas que logró crackearlo.


“Los algoritmos de prueba que elegimos son más simples que un malware completo, pero representan el tipo de lógica central que malware real usa para desempacarse. Consideramos que este es un fuerte indicador de que esto podría escalar a un malware completo”, indicó Hamlen.


El malware actual ya intenta mutar su código en cierto grado, sin embargo, los antivirus pueden reconocer que se trata de algo maligno. Como Frankenstein es diferente en todo su código, puede adaptarse para lucir como un software común y corriente, haciéndolo difícil de detectar.


Frankenstein necesita de las instrucciones primarias para saber cómo armar sus gadgets. Si esa instrucción es demasiado específica, el virus no tiene muchas opciones respecto a qué gadgets usar, lo que le rebajaría la variabilidad, haciéndolo más fácil de detectar. Por el momento, el virus no puede usar instrucciones que sean demasiado amplias, que sólo especifiquen los efectos del malware.


Sin duda, si Frankenstein se convierte en una amenaza fuera del laboratorio, será muy difícil de detectar por el software de antivirus que existe hoy. Quizás una posibilidad sería que el antivirus observara el comportamiento de un programa, y no sólo buscara código específico.

Frankenstein: Malware “roba código” para crear variante

codigo malicioso

2 comentarios - Frankenstein: Malware “roba código” para crear variante