Los desarrolladores de software aman volver a utilizar el código siempre que sea posible, y los hackers no son una excepción. Si bien a menudo pensamos en diferentes cepas de malware como entidades separadas, la realidad es que la mayoría de los nuevos programas maliciosos reciclan grandes fragmentos de código fuente del malware existente con algunos cambios y adiciones (posiblemente tomados de otras vulnerabilidades y herramientas expuestas públicamente).
Este enfoque tiene sentido. ¿Por qué reinventar la rueda cuando otro autor ya creó una solución de trabajo? Si bien la reutilización de código en malware puede hacer que los métodos de detección basados en firmas sean más efectivos en ciertos casos, con frecuencia libera tiempo para que los atacantes realicen trabajo adicional de prevención de detección y eficacia de ataque, lo que puede crear un producto final más peligroso.
Existen múltiples razones por las cuales los hackers reutilizan el código cuando desarrollan su propio malware. Primero, ahorra tiempo. Al copiar el código siempre que sea posible, los autores de malware tienen más tiempo para centrarse en otras áreas, como la prevención de detección y el enmascaramiento de atribución. En algunos casos, puede haber una sola forma de lograr una tarea con éxito, como explotar una vulnerabilidad. En estos casos, la reutilización de código es una obviedad.
Los hackers también tienden a reutilizar tácticas efectivas como ingeniería social , macros maliciosas y spear phishing siempre que sea posible simplemente porque tienen un alto índice de éxito.
Ejemplos de piratas informáticos que reutilizan y mejoran el malware existente
El Reaper (o botnet IoT Troop), descubierto por primera vez en octubre por investigadores de Check Point, es un excelente ejemplo de los piratas informáticos que reutilizan y mejoran el malware existente. Toma prestado el código básico de la botnet Mirai increíblemente eficaz. El autor de Reaper parece haber utilizado Mirai como una plataforma, en la que construyeron métodos mucho más efectivos para la explotación y el lanzamiento de ataques. Las adiciones de Reaper al código fuente de Mirai incluyen la explotación activa de vulnerabilidades de IoT conocidas y el uso del lenguaje de programación LUA, permitiendo ataques más sofisticados que DDoS simples.
Aquí hay otro ejemplo. A principios de este año, un grupo de hacktivistas conocido como Shadow Brokers publicó públicamente código fuente explotado robado de la NSA. Entre el código fuente se encuentran varias vulnerabilidades de día cero dirigidas al servicio de intercambio de archivos SMB de Microsoft Windows. En un mes, los atacantes reutilizaron el código fuente filtrado para convertir el ransomware
en ransomworms en las campañas de ataque WannaCry y NotPetya . Estas nuevas variantes de ransomware nos mostraron cómo los atacantes pueden reciclar rápidamente nuevos métodos de ataque y exploits con resultados devastadores.
El año pasado, un investigador de seguridad turco publicó dos variantes de ransomware de código abierto, EDA2 y Hidden-Tear, con fines educativos. Como era de esperar, los atacantes utilizaron rápidamente el código fuente para crear sus propias variantes de ransomware unas semanas después de su lanzamiento inicial, incluidos RANSOM_CRYPTEAR, Magic Ransomware y KaoTear. Estas variantes utilizan principalmente el mismo proceso de cifrado básico, cambiando solo la nota de rescate, la conexión de comando y control y, en algunos casos, las rutinas de propagación. Esto ilustra cuán rápido los hackers pueden reutilizar el código público para su propio beneficio.
Reutilizando métodos de ataque generales
El código de malware no es el único lugar donde los piratas informáticos reutilizan el código. También reutilizan métodos de ataque generales siempre que sea posible. Los hackers principiantes, o «kiddies de guiones», como suelen denominarse, se basan en herramientas preconstruidas y métodos de ataque para compensar su propia falta de conocimiento. Herramientas como el framework Metasploit de Rapid7 son geniales para los investigadores de seguridad legítimos que realizan pruebas de penetración para clientes, pero también son amados por hackers novatos que no sirven para nada. Rapid7 no es el único fabricante que enfrenta este enigma; toda la industria de pruebas de penetración se basa en herramientas desarrolladas para profesionales, pero utilizadas por igual por delincuentes. En última instancia, existe una necesidad legítima de herramientas de prueba de penetración por parte de los profesionales de seguridad, lo que significa que están aquí para quedarse.
Los métodos de ataque también se reutilizan cuando el método es altamente efectivo. Las macros de documento de Office maliciosas han existido desde el comienzo del tiempo y todavía están en uso hoy en día, a pesar de los esfuerzos de Microsoft para hacerlas menos efectivas. Los atacantes continúan utilizando macros maliciosas como método para la entrega de malware principalmente porque es fácil convencer a la víctima para que deje que se ejecuten las macros.
La reutilización de códigos es una tendencia que no se detendrá en el corto plazo, si es que alguna vez lo hace. Los autores de código de malware y ataque citan muchas razones por las que abren su trabajo. El desarrollador del EDA2 ransomware afirma que lanzó su código para ayudar a enseñar cómo funciona el ransomware, mientras que el autor de la botnet Mirai lanzó su código en un «último hurra» cuando salieron de la industria de botnets después de que sus ataques les valieran demasiada notoriedad .
Los atacantes continuarán construyendo sobre los éxitos pasados de otros para crear ataques más efectivos y devastadores. La reutilización de vulnerabilidades, como lo que vimos con WannaCry y los días cero de la NSA Eternal Blue, seguirá siendo popular para los atacantes siempre que el código de explotación se haga público continuamente.
Fuente: https://www.helpnetsecurity.com/2017/11/16/motivates-bug-hunters/