Engenharia reversa começa a desvendar codificação de malwares

Quando uma nova ameaça de software é descoberta, a engenharia reversa se aprofunda no código para descobrir maneiras de detectar o ataque, identificar o código e seus autores e descobrir o motivo por trás do malware. No jogo de gato e rato, os engenheiros reversos podem facilmente encontrar cópias do software para analisar e os invasores respondem deixando uma série de obstáculos para desacelerar os esforços dos analistas. Entre os principais obstáculos, estão a codificação e a ofuscação.

Num passado não tão distante, a codificação era um sinal de um esforço ambicioso por parte do autor do programa. Hoje, quase todos os malwares usam codificação e talvez dois terços dos botnets se comunicam de maneira codificada para ofuscar suas atividades, afirmou Jeff Edwards, um analista de pesquisa na empresa de segurança de rede Arbor Networks.

Com a queda dos botnets de Rustock e Kelihos, que contavam com dez mil computadores comprometidos em seus nodes, os operadores maliciosos que controlam os botnets devem se sentir pressionados a esconder suas atividades em uma extensão maior ainda. Além disso, conforme o desenvolvedor de software malicioso ganha mais experiência, frequentemente adiciona codificação mais complexa e melhor implementada em seus produtos.

Em uma série de postagens recentes, Arbor Networks analisou a codificação de quatro grandes programas bot usados para denial-of-service. Os analistas descobriram uma grande variedade de métodos de codificação, desde substituição personalizada de algoritmos até fluxo de cifra RC4, um método de codificação popular usado em Secure Sockets Layer, entre outros protocolos. Em uma análise, Arbor pesquisou o acesso remoto troia Dark Comet, que usa RC4 para codificar suas comunicações e outras técnicas interessantes para ofuscar as senhas de codificação.

A codificação nos botnets evolui de forma mais lenta. Há cinco anos, o troia Sinowal ou Torpig eram usados para modificar versões do chipher block XTEA para codificar seus dados de configurações, afirmou Kurt Baumgartner, pesquisador sênior de segurança da Kaspersky Lab. Desde 2008, os botnets Waledac e Kelihos ou Hlux, suam implementações customizadas da advanced encryption standard (AES) misturada com outras codificações e compressões para ofuscar seus códigos e comunicações.

Estranhamente, os programas que os pesquisadores esperam que usem codificação algumas vezes usam ofuscação simples. Apesar de malwares vindos da Russia e Europa usarem gradualmente melhores métodos de codificação, os cibercriminosos chineses se valem de métodos simples e algumas vezes nem mesmo usam a ofuscação. Muitos ataques que são considerados advanced persistente threats (APT) evitam a codificação e usam outros tipos de ofuscação.

A situação revela um conflito no uso de codificação de malware. Dados codificados são geralmente fáceis de detectar, mas não de descodificar. Codificação personalizada ou ofuscação podem não esconder dados de forma segura, mas passam facilmente por ferramentas de segurança, como detecção de antivírus.

Tradução: Alba Milena, especial  para o IT Web | Revisão: Adriele Marchesini

Saiba mais:

Novo malware dá acesso remoto ao PC da vítima

Ameaças virtuais APT: o que são e por que tão perigosas

Redes sociais ultrapassam sites pornográficos em ameaças de malware

Dez previsões de segurança para 2012

APT: 4 dicas para rastrear ameaças persistentes em sua rede