Blogantivirus

Un usuario español del sitio Rootkit (c0de90e7), ha publicado un artículo en donde explica una variación de la técnica de GhostWriting.

El GhostWriting es una técnica utilizada para hacer cambios en un proceso, mientras este se ejecuta en memoria.

La variación propuesta por el usuario, es básicamente evitar hacer uso de métodos de apertura de procesos, menos escritura, e inyectar bits remotamente de modo que sea más indetectable.

La técnica en sí, es conocida por ser usada en muchos virus, troyanos, rootkits y malware en general.

Para ser bien claro, el usuario publicó una prueba de concepto (código fuente) y una explicación (comentarios en código fuente), todo en inglés (lenguaje universal para dicha tarea), de modo que cualquiera que sepa un mínimo de programación podrá entender el código perfectamente.

Cabe destacar que el proceso no es perfecto, como bien lo señalan los comentarios, siendo que por ejemplo algunos Firewalls interceptan paquetes formados como en la prueba (ZoneAlarm), o que Kaspersky AV 6.0 lo detecta de una y no permite ejecutar.

Estos problemas surgen con aplicaciones de seguridad que analizan el comportamiento de los procesos (apertura de hilos, llamadas, etc), y no solo la firma (signature) de los mismos. Básicamente, las aplicaciones que el día de mañana serán las pocas que sobrevivan a esta manada de malware.

El código demuestra algo, y no lo pone en bandeja para quien quiera usarlo con malas intenciones, pero puede servirnos muchísimo si estamos pensando en formas de proteger nuestros programas… claramente, pensando desde el otro lado del ejemplo.

Fuente: Rootkit