Malware copy paste: Οι προγραμματιστές λογισμικού το κάνουν συνέχεια, έτσι και οι κακόβουλοι devs δεν αποτελούν εξαίρεση. Ενώ θεωρούμε συχνά τα διαφορετικά malware σαν ξεχωριστές οντότητες, στην πραγματικότητα τα περισσότερα από τα νέα κακόβουλα προγράμματα χρησιμοποιούν μεγάλα κομμάτια από τον πηγαίο κώδικα του υπάρχοντος κακόβουλου λογισμικού με ορισμένες αλλαγές και προσθήκες.
Αυτή η προσέγγιση φαίνεται να έχει νόημα. Γιατί να ανακαλύψουν ξανά τον τροχό, όταν κάποιος άλλος προγραμματιστής έχει δημιουργήσει ήδη μια λύση που λειτουργεί; 
Να αναφέρουμε ότι υπάρχουν πολλοί λόγοι για τους οποίους οι επιτιθέμενοι επαναχρησιμοποιούν κώδικα κατά την ανάπτυξη κακόβουλου λογισμικού.
Πρώτα από όλα, εξοικονομούν χρόνο. Αντιγράφοντας κώδικα, όπου είναι δυνατόν, οι δημιουργοί κακόβουλου λογισμικού έχουν περισσότερο χρόνο να επικεντρωθούν σε άλλους τομείς, όπως την αποφυγή ανίχνευσης και την καλύτερη απόδοση. Σε ορισμένες περιπτώσεις, μπορεί να υπάρχει μόνο ένας τρόπος επιτυχούς εκτέλεσης μιας εργασίας, όπως η εκμετάλλευση μιας ευπάθειας. Σε αυτές τις περιπτώσεις, η επαναχρησιμοποίηση κώδικα είναι απαραίτητη.
Ένας κακόβουλος dev έχει επίσης την τάση να επαναχρησιμοποιεί αποτελεσματικές τακτικές τις: social engineering, κακόβουλα macros και spear phishing όποτε είναι δυνατόν επειδή έχουν υψηλό ποσοστό επιτυχίας.
Παραδείγματα δημιουργίας malware από παλαιότερο κώδικα
Το Reaper (ή το botnet του Troop IoT), που ανακαλύφθηκε για πρώτη φορά τον Οκτώβριο από τους ερευνητές της Check Point, αποτελεί ένα εξαιρετικό παράδειγμα για την επαναχρησιμοποίηση και τη βελτίωση των υπάρχοντων κακόβουλων προγραμμάτων από τους κακόβουλους προγραμματιστές.
Χρησιμοποιεί τον βασικό κώδικα από το απίστευτα αποτελεσματικό botnet Mirai. Ο συγγραφέας του Reaper φαίνεται να έχει χρησιμοποιήσει το Mirai σαν πλατφόρμα, πάνω στην οποία δημιούργησε πολύ πιο αποτελεσματικές μεθόδους για την εκμετάλλευση αλλά και την διανομή. Οι προσθήκες του Reaper στον πηγαίο κώδικα του Mirai συμπεριλαμβάνουν την ενεργή εκμετάλλευση γνωστών τρωτών σημείων του IoT και τη χρήση της γλώσσας προγραμματισμού LUA, επιτρέποντας πιο εξελιγμένες επιθέσεις από ένα απλό DDoS.
Άλλο παράδειγμα.
Νωρίτερα φέτος, η ομάδα Shadow Brokers κυκλοφόρησε δημόσια τον κώδικα πηγαίου κώδικα εργαλείων της NSA. Ανάμεσα στον πηγαίο κώδικα εντοπίστηκαν πολλές αδυναμίες 0Day που είχαν σαν στόχο την υπηρεσία κοινής χρήσης αρχείων SMB των Windows. Μέσα σε ένα μήνα, οι εισβολείς χρησιμοποίησαν τον πηγαίο κώδικα για να μετατρέψουν τα ransomware τους σε ransomworms για τις εκστρατείες επίθεσης WannaCry και NotPetya. Αυτές οι νέες παραλλαγές ransomware μας έδειξαν πώς οι επιτιθέμενοι μπορούν να ανακυκλώνουν γρήγορα νέες μεθόδους επίθεσης και τις εκμεταλλεύονται με καταστροφικά αποτελέσματα.
Επαναχρησιμοποίηση των γενικών μεθόδων επίθεσης
Ο κώδικας των malware δεν είναι ο μόνος τόπος όπου κακόβουλοι προγραμματιστές επαναχρησιμοποιούν πηγαίο κώδικα. Επαναχρησιμοποιούν και γενικές μεθόδους επίθεσης όπου είναι δυνατόν. Οι αρχάριοι hackers, ή ‘script kiddies' χρησιμοποιούν προ-κατασκευασμένα εργαλεία και μεθόδους επίθεσης για να αντισταθμίσουν τη έλλειψη γνώσης.
Εργαλεία όπως το Metasploit framework της Rapid7 είναι ιδανικά για τους νόμιμους ερευνητές ασφαλείας που πραγματοποιούν δοκιμές διείσδυσης για πελάτες, αλλά και για τους αρχαρίους hackers που δεν γνώσεις. Η Rapid7 δεν είναι ο μοναδικός κατασκευαστής που αντιμετωπίσει αυτό το θέμα. Ολόκληρη η βιομηχανία των δοκιμών διείσδυσης βασίζεται σε εργαλεία που αναπτύσσονται για επαγγελματίες, αλλά χρησιμοποιούνται εξίσου από εγκληματίες.
Οι μέθοδοι επίθεσης επαναχρησιμοποιούνται επίσης όταν η μέθοδος είναι ιδιαίτερα αποτελεσματική.
Οι κακόβουλες μακροεντολές εγγράφων του Office εξακολουθούν να χρησιμοποιούνται, παρά τις προσπάθειες της Microsoft να τις καταστήσει λιγότερο αποτελεσματικές. Οι επιτιθέμενοι συνεχίζουν να χρησιμοποιούν κακόβουλες μακροεντολές σαν μέθοδο παράδοσης κακόβουλου λογισμικού, κυρίως επειδή είναι πολύ εύκολο να πείσουν το θύμα να τρέξει τις μακροεντολές.
Η επαναχρησιμοποίηση κώδικα είναι μια τάση που δεν πρόκειται να σταματήσει.
Οι κακόβουλοι συγγραφείς κώδικα αναφέρουν πολλούς λόγους για τους οποίους ανοίγουν την εργασία τους. Ο προγραμματιστής του EDA2 ransomware ισχυρίζεται ότι κυκλοφόρησε τον κώδικα του για να διδάξει πώς λειτουργεί το ransomware, ενώ ο συγγραφέας του botnet Mirai κυκλοφόρησε τον κώδικα του σαν μια “τελευταία πράξη” καθώς άφησε το botnet όταν οι επιθέσεις του κέρδισαν υπερβολική φήμη.
Οι επιτιθέμενοι θα συνεχίσουν να βασίζονται σε προηγούμενα επιτυχημένα malware για να δημιουργήσουν αποτελεσματικότερες και καταστροφικές επιθέσεις. Αυτό που είδαμε με το WannaCry και το Eternal Blue της NSA, θα επαναληφθεί…
