NoMoreStealers: controlador a nivel kernel contra ladrones de datos — su autor publica la defensa en código abierto
El autor reconoció las debilidades de su obra, pero su potencial resulta impresionante.
En GitHub debutó un nuevo proyecto de código abierto llamado NoMoreStealers. Se presenta como una herramienta demostrativa para proteger sistemas Windows contra software malicioso especializado en el robo de información confidencial. El desarrollo lo lleva a cabo un autor que usa el seudónimo EvilBytecode.
La solución se basa en un controlador MiniFilter del núcleo, capaz de interceptar operaciones de creación de archivos y limitar el acceso a determinados directorios según la confianza en el proceso solicitante. A pesar de ser un prototipo, la herramienta ya realiza funciones básicas para impedir la lectura no autorizada de datos de usuario.
Incluye dos módulos: un componente a nivel del núcleo y una aplicación de usuario con interfaz creada con el framework Wails. El controlador se registra mediante Filter Manager y supervisa las llamadas al sistema de archivos. Si un proceso no figura en la lista de confianza, se le deniega el acceso a rutas protegidas, entre las que se encuentran perfiles de navegadores, monederos de criptomonedas y servicios de mensajería.
La confianza de un proceso se determina ya sea mediante una lista incorporada de archivos ejecutables permitidos, o mediante la función PsIsProtectedProcessLight(), empleada en las versiones modernas de Windows. Para enviar notificaciones se utiliza memoria compartida, pero aún no existe un sistema completo de mensajería: todos los eventos se muestran únicamente a través de la interfaz de depuración.
La interfaz gráfica muestra eventos en tiempo real y admite funciones auxiliares, como protección contra capturas de pantalla mediante superposiciones transparentes y minimización al área de notificación. Sin embargo, la implementación actual solo contempla la creación de archivos, sin reaccionar ante sus modificaciones o eliminación, y el modelo de confianza puede eludirse fácilmente cambiando el nombre del archivo ejecutable. Además, todas las configuraciones están codificadas de forma rígida en el código y su modificación requiere recompilar el proyecto. Tampoco hay firmas ni análisis de procesos padre.
Para probar NoMoreStealers se requiere Windows 10 u 11, privilegios de administrador y un entorno de desarrollo Visual Studio con Windows Driver Kit instalado. El proceso de instalación incluye activar el modo de firma de prueba, compilar el controlador, configurar el registro y cargar manualmente el componente desde la línea de comandos. El autor subraya que se trata exclusivamente de un desarrollo de investigación, no apto para uso en entornos reales. Está orientado a la enseñanza, la experimentación y la ampliación de las capacidades de la comunidad.
Entre las tareas prioritarias para el futuro se mencionan: ampliar el conjunto de operaciones monitorizadas, implementar directorios configurables de forma dinámica, mejorar el sistema de notificaciones, verificar firmas digitales e introducir mecanismos para contrarrestar las técnicas de ocultación del malware. El proyecto se distribuye bajo la licencia MIT y su creador está dispuesto a colaborar y a mejorar la herramienta.
¿Estás cansado de que Internet sepa todo sobre ti?