El investigador ofrece una herramienta para ocultar el malware en .Net

Un investigador de seguridad informática ha lanzado una herramienta actualizada que puede simplificar la colocación de software malicioso difícil de detectar en el marco.Net de Microsoft en computadoras con Windows.

La herramienta, llamada.Net-Sploit 1.0, permite para la modificación de.Net, una pieza de software instalada en la mayoría de las máquinas Windows que permite que las computadoras ejecuten ciertos tipos de aplicaciones.

Microsoft crea un conjunto de herramientas de desarrollador para que los programadores escriban aplicaciones compatibles con el marco. Ofrece a los desarrolladores la ventaja de escribir programas en varios lenguajes de alto nivel diferentes que se ejecutarán en una PC.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

.Net-Sploit permite a un pirata informático modifique el framework.Net en máquinas específicas, REPLACEando software malicioso de estilo rootkit en un lugar no tocado por el software de seguridad y donde pocas personas de seguridad pensarían buscar, dijo Erez Metula, el ingeniero de seguridad de software para 2BSecure que escribió la herramienta.

"Te sorprenderá lo fácil que es idear un ataque", dijo Metula durante una presentación en la conferencia de seguridad Black Hat en Amsterdam el viernes.

.Net-Sploit esencialmente permite que un atacante reemplace una pieza legítima de código dentro de.Net con uno malicioso. Como algunas aplicaciones dependen de partes del framework.Net para ejecutarse, significa que el malware puede afectar la función de muchas aplicaciones.

Por ejemplo, una aplicación que tenga un mecanismo de autenticación podría ser atacada si el marco.Net manipulado. interceptaban nombres de usuarios y contraseñas y los enviaban a un servidor remoto, dijo Metula.

.Net-Sploit automatiza algunas de las tareas de codificación más arduas necesarias para corromper el marco, acelerando el desarrollo de un ataque. Por ejemplo, puede ayudar a extraer una DLL relevante (biblioteca de vínculos dinámicos) del marco y desplegar la DLL maliciosa.

Metula dijo que un atacante ya tendría que tener el control de una máquina antes de poder usar su herramienta. La ventaja de corromper el framework.Net es que un atacante podría mantener clandestinamente el control de la máquina durante mucho tiempo.

Los administradores de sistemas fraudulentos podrían abusar de ellos, abusando de sus privilegios de acceso para implementar las llamadas "puertas traseras". "o malware que permite el acceso remoto", dijo Metula.

El Centro de Respuesta de Seguridad de Microsoft fue notificado del problema en septiembre de 2008. La posición de la compañía es que, como un atacante ya debería tener control sobre una PC, no hay un vulnerabilidad en.Net. No parece que Microsoft tenga planes de emitir una solución a corto plazo.

Al menos un funcionario de Microsoft conversó con Metula después de su presentación, defendiendo la posición de la compañía. Metula dijo que tampoco considera el problema como una vulnerabilidad sino más bien como una debilidad, aunque Microsoft podría tomar medidas para dificultar ese ataque.

"Ninguna solución a prueba de balas lo arreglará", dijo Metula.

Además, los proveedores de seguridad deberían actualizar su software para detectar alteraciones en el marco.Net, dijo Metula … Net no es el único marco de aplicación que es vulnerable al ataque, ya que las variaciones también podrían aplicarse a otros marcos de aplicaciones, como Java Virtual Machine (JVM) se utiliza para ejecutar programas escritos en Java.

Metula ha publicado un libro blanco sobre la técnica, así como la última versión de.Net-Sploit.