Pesquisador oferece ferramentas para ocultar malware em .Net

Um pesquisador de segurança de computadores lançou uma ferramenta atualizada que pode simplificar o posicionamento de softwares mal-intencionados difíceis de detectar na estrutura.Net da Microsoft em computadores Windows.

A ferramenta, chamada.Net-Sploit 1.0, permite para a modificação do.Net, um software instalado na maioria das máquinas Windows que permite que os computadores executem determinados tipos de aplicativos.

A Microsoft cria um conjunto de ferramentas de desenvolvedor para que os programadores criem aplicativos compatíveis com a estrutura. Ele oferece aos desenvolvedores a vantagem de escrever programas em diversas linguagens de alto nível que serão executadas em um PC.

[Leitura adicional: Como remover malware do seu PC com Windows]

.Net-Sploit permite que um hacker modifique a estrutura.Net em máquinas específicas, inserindo softwares maliciosos no estilo rootkit em um lugar intocado pelo software de segurança e onde poucos seguranças pensariam em procurar, disse Erez Metula, engenheiro de segurança de software da 2BSecure que escreveu a ferramenta.

"Você ficará surpreso com a facilidade de planejar um ataque", disse Metula durante uma apresentação na conferência de segurança Black Hat em Amsterdã, na sexta-feira.

.Net-Sploit essencialmente permite que um invasor substitua um pedaço legítimo de código dentro de.net com um malicioso. Como alguns aplicativos dependem de partes da estrutura.Net para serem executados, isso significa que o malware pode afetar a função de muitos aplicativos.

Por exemplo, um aplicativo que possui um mecanismo de autenticação pode ser atacado se a estrutura.Net violada O Net-Sploit automatiza algumas das árduas tarefas de codificação necessárias para corromper o framework, acelerando o desenvolvimento de um ataque. Por exemplo, ele pode ajudar a puxar uma DLL relevante (biblioteca de links dinâmicos) da estrutura e implantar a DLL maliciosa.

Metula disse que um invasor já teria que ter controle de uma máquina antes que sua ferramenta pudesse ser usada. A vantagem de corromper a estrutura.Net é que um invasor pode manter clandestinamente o controle da máquina por um longo tempo.

Ela poderia ser abusada por administradores de sistemas desonestos, que poderiam abusar de seus privilégios de acesso para implantar os chamados "backdoors". "ou malware que habilita o acesso remoto", disse Metula.

O Microsoft Security Response Center foi notificado do problema em setembro de 2008. A posição da empresa é que, como um atacante já teria controle sobre um PC, não há um vulnerabilidade no.Net. Não parece que a Microsoft tenha planos de emitir uma correção de curto prazo.

Pelo menos um funcionário da Microsoft conversou com Metula após sua apresentação, defendendo a posição da empresa. Metula disse que também não considera a questão uma vulnerabilidade, mas sim uma fraqueza, embora uma que a Microsoft possa tomar medidas para dificultar tal ataque.

"Nenhuma solução à prova de balas vai consertar isso", disse Metula. Além disso, os fornecedores de segurança devem atualizar seu software para detectar adulterações no framework.Net, disse Metula… A Net não é a única estrutura de aplicativo que é vulnerável ao ataque, já que as variações também podem ser aplicadas a outras estruturas de aplicativos, como Java Virtual Machine (JVM) usado para executar programas escritos em Java.

Metula publicou um white paper sobre a técnica, bem como a versão mais recente do.Net-Sploit.