La mutación de código no es algo nuevo dentro del mundo del malware. Algunas creaciones buscan variar su estructura para complicar la vida de los sistemas de defensa, pero sus patrones de comportamiento pueden ser detectados, exponiendo su presencia. Sin embargo, el malware conocido como Frankenstein procede de forma diferente. Frankenstein roba código de otros programas completamente legítimos para crear mutantes que en teoría siempre tendrán una apariencia “diferente” ante un antivirus u otra herramienta de defensa, incrementando drásticamente su capacidad de evasión.
En comparación con la enorme cantidad de malware que hay flotando en la red, los llamados “virus primordiales” son relativamente pocos. Es más fácil para un desarrollador tomar código malicioso ya existente, alterar algunas funciones y evadir las bases de datos de los antivirus por un tiempo, que crear una nueva forma de malware desde cero. Algunos de nuestros lectores probablemente también recuerden el concepto de “Caballo de Troya”, o sea, código malicioso haciéndose pasar por algo benigno. Pero esa técnica también puede ser detectada eventualmente. ¿Ahora, qué pasaría si en vez de camuflarse, un malware está compuesto por elementos legítimos que un antivirus no consideraría como una amenaza?
Eso es lo que han propuesto Vishwath Mohan y Kevin Hamlen de la Universidad de Texas con su nueva creación, adecuadamente bautizada “Frankenstein”. Una vez en el ordenador, Frankenstein busca diferentes porciones de código (“gadgets”) en programas reconocidos y de uso cotidiano, como puede ser el Bloc de Notas o algún navegador web. Con la suficiente cantidad de gadgets a su alcance (unos 90 mil en menos de un minuto), Frankenstein puede “armar” un malware completamente diferente, engañando a cualquier escáner o detector que utilice secuencia de bytes para reconocer y eliminar amenazas. En la prueba, los “engendros” creados por Frankenstein fueron dos algoritmos sencillos, pero esto demuestra que podría construirse algo mucho más complejo y peligroso.
La investigación y el desarrollo de Frankenstein recibió financiación de la Fuerza Aérea de los Estados Unidos, y fue presentado en el USENIX Workshop sobre “Tecnologías Ofensivas”. Sus creadores reconocen el potencial del malware para ser utilizado en maniobras de ciberguerra, infiltrando sistemas enemigos. Ahora, como ya sabemos muy bien, esto es un duelo constante. Frankenstein no está libre de defectos, ya que requiere de ciertos “planos” para utilizar los gadgets en sus creaciones. Si los planos son pocos, harían a Frankenstein muy específico, mientras que planos más relajados no pueden ser utilizados. Al mismo tiempo, Microsoft anunció que su paquete EMET de seguridad puede detectar e impedir el robo de código al que recurre Frankenstein… aunque un investigador iraní declaró hace algunas semanas que logró crackearlo. El gato y el ratón…
