La reutilización de código
entre distintas familias de malware, ha
permitido identificar una nueva variante compuesta por código de Mirage y
Reaver, APT's viejas conocidas y asociadas a la organización APT15,
presuntamente vinculada al gobierno chino.
Reutilizar código es
lo más natural del mundo. De hecho, es lo que debes hacer si quieres escribir
buen código, ya que escribir código reutilizable no tiene como única ventaja
que sea reutilizable. Al tener la reutilización como meta final, debes
esforzarte en que el código sea modular y legible, por lo que básicamente
tienes que escribir código reutilizable aunque no tengas pensado utilizarlo de
nuevo en otro sitio. Para empezar, porque te puedes equivocar y quizá termines
reusándolo, y por supuesto por las ventajas adicionales ya comentadas que
acarrean esta buena práctica.
No es de extrañar que
sea una práctica extendida entre los programadores de malware. Al fin y al
cabo, la creciente complejidad del malware ha hecho que el esfuerzo estimado
para producir un único malware se incremente, aproximadamente, en un orden de
magnitud cada década. Por tanto, la creación de código reutilizable es
imperativa a estas alturas. El término malware no significa otra cosa que
"software malicioso", que únicamente hace referencia a la intención del
software. No nos pueden sorprender por tanto cosas como que el malware comparte
con el goodware (software benigno) un nivel de calidad del código similar, o el
tamaño de los equipos dedicados a la programación de éstos.
Y reutilizar código
es lo que parece que ha hecho APT15, un grupo conocido por sus acciones de
espionaje informático contra compañías y organizaciones de distintos países,
atacando a diversos sectores como la industria del petróleo, contratistas de
gobiernos, los militares... Una empresa israelí llamada Intezer, que basa su
modelo de negocio en la identificación de reutilización de código en malware,
ha sido la que ha reconocido esta evolución de Mirage que ha bautizado como
MirageFox.
En resumen, las
características técnicas de esta nueva versión no son algo a destacar. Es una
herramienta de administración remota (RAT) que recopila información del equipo
infectado y espera órdenes de un servidor central (C&C). Lo que llama la
atención de esta versión es que las muestras encontradas hacen referencia a un
servidor central en la misma red local del equipo infectado. Basándose en el
modus operandi de APT15 en un ataque anterior, los investigadores de Intezer
han concluido que probablemente esta muestra fue configurada especialmente para
ejecutarse en una red ya comprometida, concretamente una VPN (red virtual
privada) cuya clave privada fue robada previamente por APT15.
Probablemente lo más
interesante de esta noticia es que pone el foco de atención sobre métodos
alternativos de detección de malware, por contraposición a las clásicas firmas
que identifican muestras de familias concretas. Detectar nuevas muestras que
han reutilizado código de malware anterior precisamente por detectar la
reutilización de código parece una aproximación bastante buena, debido a la
tendencia a reutilizar código por parte de los programadores de malware.
Más
información:
·
MirageFox:
APT15 Resurfaces With New Tools Based On Old Ones https://www.intezer.com/miragefox-apt15-resurfaces-with-new-tools-based-on-old-ones/
·
A
Look into 30 Years of Malware Development from a Software Metrics Perspective https://cosec.inf.uc3m.es/~juan-tapiador/papers/2016raid.pdf
Fuente: Hispasec