Os criadores de malware estão usando números do produto original do Windows para gerar valores mutex para fugir pesquisadores, diz SANS boffin segurança Lenny Zeltser.
Mutex valores são usados como uma referência precisa para determinar se vários processos idênticos estão em execução. Malware incluindo o infame BackOff cartão de crédito ladrão usou mutex para os últimos anos, oferecendo aos pesquisadores com um meio de determinar infecção do sistema.
Agora, um novo trojan chamado "TreasureHunter" surgiu e usa dinâmica ao invés de valores mutex estáticos para evitar bods de segurança usando os números como indicadores de compromisso.
Zeltser diz que o uso de identificações de produtos Windows para gerar os valores é único.
"Os autores de malware que desejam empregar objetos mutex precisa de uma maneira previsível de nomear os objetos, de modo que as várias instâncias do código malicioso em execução no hospedeiro infectado pode se referir à mesma exclusão mútua", diz Zeltser em um diário pós SANs .
"Uma maneira típica de realizar este tem sido o de codificar o nome do mutex. O autor da TreasureHunter decidiu utilizar uma abordagem mais sofisticada de derivar o nome do mutex com base no sistema de identificação do produto.
"Isso ajudou a amostra de evitar a detecção em situações onde respondedores incidente ou ferramentas anti-malware tentou usar um nome de objeto estático como o indicador de compromisso."
Zeltser diz TreasureHunter usa código para ler locais de registro, incluindo HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ DigitalProductId para encontrar o ID do Windows.
Ele refez o ID em um formato que utiliza para gerar um nome mutex usando um algoritmo determinista que Zeltser diz que ele tinha "nem paciência, nem razão para fazer engenharia reversa".
O pesquisador ressalta que a maioria dos malwares não usa valores mutex codificados estáticos que limitavam seu uso como um marcador de infecção.
"A tentativa de imunizar sistemas [usando mutex] é demasiado simplista para a maioria das situações. Muitas amostras de malware não use marcadores de infecção em todos ou gerar seus valores de forma dinâmica, em vez de codificá-los no programa malicioso", diz ele.
Mutex poderia, contudo, ser útil como uma camada adicional de detecção de malware, nomeadamente na atribuição de marcadores gerados aos programas antes da execução. Esses marcadores podem ser verificadas em relação a uma base de dados no caso em que antivírus não poderia determinar se um programa é maliciosa. ®
Nenhum comentário:
Postar um comentário