RECICLANDO MALWARE
Neste último mês tive oportunidade de ver com mais cuidado algumas conferências de segurança on-line que normalmente só consigo ver de relance. Entre todas as apresentações, uma despertou particularmente a minha atenção, pela sua simplicidade e genialidade de conceito. Patrick Wardle, chefe de investigação de segurança da JAMF, falou sobre o conceito de reciclar código malicioso produzido por outros atacantes e todas as vantagens por detrás disso.
Desenvolver código malicioso eficiente e não detectável pelos actuais sistemas de segurança é, felizmente, uma tarefa tão complexa e dispendiosa que muitas das vezes apenas só está acessível a agências governamentais e grupos de hackers de elite. Esses blocos de código demoram, geralmente, muito tempo a ser concebidos e, geralmente, tiram proveito de falhas de segurança que não são ainda públicas. A investigação de Patrick elabora a hipótese de, em vez de procurar por essas falhas, optar por reaproveitar soluções que funcionam e apenas modificá-las para tirar partido das mesmas. Ou seja, estamos a falar da possibilidade de utilizar o mais avançado armamento bélico de combate cibernético, sem ter de fazer todo o investimento necessário para o criar. Armas avançadas, com muitas funcionalidades e provas dadas no terreno por grupos de grande renome e recursos. Estas armas podem, assim, pela magia da reprodução digital, serem convertidas para uso de qualquer propósito de um utilizador avançado e com uma grande vantagem acrescida, proveniente da reciclagem do código produzido por outros: ao manter a “assinatura digital” do criador original, dificultamos imensamente qualquer tentativa de identificar a origem real do ataque.
Além disso, a reciclagem de código malicioso não está limitada à utilização de um único sistema de ataque na sua integridade. Podemos, por exemplo, usar o processo de infecção de um malware, misturá-lo com a carga maliciosa, o sistema de ofuscação e controlo remoto de outros. Com esta “manta de retalhos” é possível criar uma ameaça de segurança completamente nova, com uma origem mais difícil de rastrear e de uma forma muito mais económica e tirando partido do melhor de vários “mundos”. Felizmente, o processo de engenharia inversa necessário para reciclar estes elementos de malware é bastante complexo, formando barreiras apenas transponíveis por hackers de elite. No entanto, a tendência natural é que este tipo de capacidades se alargue a um grupo maior de pessoas e sejam usados para causas pouco nobres. Fica o aviso de prudência no momento de acusar uma fonte de um ataque, pois o facto de esta ter desenvolvido a ferramenta já não é sinónimo de que ela seja a única a utilizá-la.