Malware - Departamento Gallego de Informática

Anuncio
Existe una categoría de aplicaciones denominada malware (malicious software) que tienen
como objetivo realizar o desencadenar alguna acción que provoque un “daño” a la máquina
expuesta. Siguiendo esta condición, los troyanos, spyware, keylogger y demás, quedan
encuadrados junto con los virus entre los programas maliciosos.
Algunas veces las líneas divisorias que determinan si un programa es dañino, no quedan
demasiado definidas, por ejemplo una “cookie” que originalmente podemos considerar como
inofensivo, pueden convertirse en una trampa mortal para un usuario desprotegido, al igual que
puede pasar con los “jokes” (programa broma).
Al igual que en casi todos los campos de conocimiento, cuando hablamos de virus, gusanos,
troyanos, spyware y cualquier derivado relacionado con malware en general, escuchamos y
leemos numerosos mitos, definiciones y explicaciones vagas. Estas sobre todo añaden
confusión al usuario final (no técnico) a la hora de emprender acciones para proteger sus
equipos.
Vamos a dar unas breves definiciones de los conceptos para que los usuarios finales conozcan
un poco mejor los diversos tipos de bichos y puedan asi proteger mejor sus equipos.
VIRUS
La evolución de los virus se ha producido no sólo en las propias aplicaciones, sino también en
el desarrollo y despliegue que los mismos llevan a efecto sobre las máquinas y las
consiguientes consecuencias producidas. Básicamente los tiempos de implantación de un virus
se corresponden con sus homónimos biológicos.
ƒ
ƒ
ƒ
Fase de ocultación. El programa se oculta con objeto de disfrazar su presencia,
haciendo posible que éste pase desapercibido hasta que se cumplan las condiciones
necesarias para que se desencadene la siguiente fase.
Fase de contagio. En función de los procesos que se desencadenan en la máquina:
ejecución de un .exe, arranque de la máquina, inicio de un servicio, etc., el virus
comienza su proceso de replicación y propagación a través del entorno.
Fase de ataque. La última y más definitoria de las fases. En definitiva es la que
determina lo efectos maliciosos provocados sobre la máquina atacada. Algunos virus
no ejercen una acción maligna, sino que su única consecuencia directa es el
propagarse sin otro fin o con fines no especialmente dañinos, como aquellos ejecutan
una subrutina para lanzar un texto o una imagen. Por el contrario, otros eliminan
información, ejercen acciones perniciosas sobre el hardware del equipo o simplemente
se replican hasta que ocupan toda la memoria o el espacio libre en disco, produciendo
finalmente la denegación de servicio de los mismos.
Una evolución natural de los virus aprovechando la aparición de nuevas tecnologías, lo
constituyen los gusanos. Estos no atacan directamente al sistema, sino que su condición los
obliga a replicarse ininterrumpidamente hasta que saturan los recursos de la máquina y
producen la caída de los mismos y finalmente del sistema. La diferencia fundamental respecto
de los virus reside en que mientras que éstos infectan y se replican sobre otros ficheros, los
gusanos hacen copias de ellos mismos. Algunos especimenes de gusanos se han hecho
especialmente famosos especialmente a partir de haber aparecido en los medios de
información. Estos “curiosos” programas presentan capacidades para utilizar las últimas
tecnologías con objeto de distribuirse sistemáticamente. Para ello aprovechan el uso del correo
electrónico, las redes peer to peer o explotan las debilidades del entorno de trabajo.
Normalmente llevan consigo potentes motores de programación que permiten crear por ellos
mismos conexiones con objeto de distribuirse metódicamente por toda una red, haciendo muy
complicada su erradicación total. Blaster, Sobig, Passer o Kibuv son algunos ejemplos.
Según ICSA Labs, el malware está causando grandes costes económicos a las empresas. Este
coste se incrementó en un 23 % el en año 2003. Los factores que favorecen el crecimiento de
Departamento Gallego de Informática Tfno:986493000
www.dgi-sll.com
los índices de infección incluyen nuevos tipos de virus cada vez más complejos, ficheros
compartidos y nuevos vectores de replicación.
TROYANOS
Su nombre deriva de la argucia de Ulises, los griegos consiguen tomar la ciudad de Troya
introducidos en un caballo de madera, este tipo de programas crean una puerta falsa en
nuestro sistema para que se pueda ejecutar código de forma remota sin necesidad de disponer
de nuestro consentimiento. Realmente la funcionalidad de este tipo de programas se
materializa en una arquitectura cliente-servidor, donde el servidor se convierte en la víctima y el
atacante utiliza la parte cliente para ejecutar órdenes en la máquina infectada.
Básicamente un troyano difiere poco de una aplicación de control remoto. Las infraestructuras
utilizadas son coincidentes, es por eso que algunos escaners de vulnerabilidades identifican
aplicaciones de gestión remota comerciales con alertas de seguridad, aunque sus objetivos
sean diametralmente opuestos. En función de estas pautas originales no podríamos considerar
estas aplicaciones como virus propiamente dichos, aunque la evolución de los mismos provoca
que la aplicación servidor se copie automáticamente en la máquina a infectar, ejecute procesos
y modifique el registro sin consentimiento “relativo” del usuario.
Una de las curiosidades principales de este tipo de malware es su metodología de infección.
Llegan normalmente a la víctima de forma enmascarada o mezclada con otro programa que
pueda resultar suculento o interesante. A tal fin se utilizan programas tipo “joiner”, que hacen
que el programa trampa se ejecute en primer plano y el usuario pueda interactuar con él,
mientras que por debajo se está produciendo la infección vírica. “Calimocho” es un programa
de factoría nacional que es capaz de mezclar aplicaciones.
Cuando se ha producido la infección, el troyano se ejecuta como proceso en la máquina
objetivo, se copia a alguna ubicación del disco duro y crea un nuevo valor de registro para que
ejecute nuevamente el ciclo cuando se reinicie la máquina. El proceso utiliza generalmente la
ingeniería social para enmascararse a la vista del usuario, normalmente su nombre está
directamente relacionado con el entorno de trabajo o disimulado con un nombre similar a
procesos comunes: por ejemplo svchost.exe. Esto realmente produce la apertura de un puerto,
situando a la máquina en modo de escucha y permite interactuar a la aplicación cliente con el
servidor troyano.
Las acciones que por lo tanto se puedan desencadenar, dependerán de las opciones que
incluya el troyano, aunque básicamente se dividen en dos:
ƒ
ƒ
Acciones visibles. Aquellas en las que el atacante se muestra abiertamente: apertura
del CD-ROM, control del ratón, ejecución de aplicaciones, ejecuciones de sonido, etc.
Acciones en sombra. El hacker recoge o modifica información en la máquina sin que
el atacado sea conciente de ello: registro de pulsaciones de teclas (keylogger),
transferencia de ficheros, redirecciones de puerto, etc.
Evidentemente, de las dos posibilidades mencionadas la segunda tipología es la más peligrosa
puesto que al no revelar su condición de forma abierta, permite operar durante mucho tiempo
sin que el usuario sea consciente de lo que puede estar ocurriendo. Esta situación es
aprovechada para múltiples fines perniciosos: robo de contraseñas, vigilancia y predicción de
acciones, consulta y utilización de la información privilegiada de la víctima con otros fines,
utilización como plataforma para lanzar ataques desde el ordenador infectado y enmascarar la
verdadera identidad del atacante, etc. Las posibilidades que por otra parte ofrece la primera
situación son acciones que van enfocadas a fines mucho menos dañinos: gastar bromas,
evidenciar las faltas de conocimiento del atacado, tornarse en un juego para el hacker o
simplemente aumentar el ego informático de una persona. A pesar de ello no debemos olvidar
que esta situación, sino queda resuelta y el virus no es eliminado, deja una puerta trasera
abierta para que otros la puedan utilizar.
Departamento Gallego de Informática Tfno:986493000
www.dgi-sll.com
Evidentemente estos virus troyanos funcionan perfectamente cuando el usuario conecta su
máquina directamente a Internet o se mueven dentro de una red de área local, pero se
encuentran con un problema cuando se ven en la necesidad de realizar las conexiones a través
de Proxy o de Firewall.
La evolución en las comunicaciones, a la vez que la proliferación de las redes peer to peer,
han conseguido que los troyanos se hayan podido extender con mayor facilidad. Igualmente el
aumento del ancho de banda y la cantidad de conexiones que realizan las máquinas, sobre
todo hacia Internet, permiten un enmascaramiento mucho más eficiente de sus acciones.
También han empezado a proliferar un modelo específico de backdoors denominados Web
Trojans basados en programación ASP o PHP.
También podemos emplear medidas de tipo preventivo, tales como no ejecutar todo aquello
que cae en nuestra máquina, desechar archivos de los que no conocemos su utilidad o han
sido proporcionados por fuentes de dudosa confianza. Navegar por Internet con usuarios sin
derechos administrativos, para evitar que acciones camufladas tengan consecuencias nefastas
sobre nuestra máquina, y desconfiar cuando notemos que en nuestro equipo empiezan a pasar
cosas sin una explicación lógica o coherente que no correspondan precisamente con lo que
nosotros estuviéramos haciendo.
SPYWARE
Basado en conceptos propios de los virus, el spyware es un paso más en los programas
maliciosos. Básicamente son programas que están diseñados para recopilar información de los
hábitos de visitas a páginas Web de los usuarios. Al igual que los troyanos, el spyware se
instala en los sistemas oculto en software que a simple vista puede ser inofensivo como
programas shareware o freeware que el propio usuario ha descargado de la red o cookies que
se han descargado después de haber visitado una página web aparentemente inofensiva. Del
mismo modo que un virus, se instalan en el sistema sin permiso del usuario.
Entre las acciones que llevan a cabo los programas spyware está la identificación de las visitas
a páginas Web, apertura de ventanas anunciando productos o servicios relacionados con lo
que se está visitando (Pop-ups), y en los peores casos registros de las pulsaciones de
teclado del usuario para robar contraseñas y números de cuentas de tarjetas de crédito
(keyloggers).
Como efecto colateral el sistema comienza a sufrir con múltiples procesos abiertos que pueden
llegar a colapsar la capacidad del procesador. La experiencia del usuario cada vez se deteriora
más hasta que resulta casi imposible ejecutar cualquier programa.
Es recomendable por lo tanto, no visitar sitios web dudosos o susceptibles de contener
spyware, tampoco utilizar sistemas de intercambio de ficheros y redes peer to peer, no
abrir correos spam o cuyo remitente no es conocido . Los siguientes son dos ejemplos de
algunos de los spyware más extendidos -según CA, Spyware Information Center, en
www3.ca.com-: (Etrust Inoculate)
ƒ
Alexa Toolbar. Es un servicio que añade la habilidad de mostrar sitios relacionados a
los que el usuario está visitando en ese momento mientras navega en el Web. Lo
realiza gracias a un log de sitios visitados y analizando los patrones de comportamiento
en la navegación de los usuarios. También utiliza estos registros para crear informes
comerciales.
El spyware incluye un gestor de Pop-ups y una función de búsqueda en el Web que
está se apoya en el motor Google. Cuando se instala el software y mientras se está
ejecutando, se instalan cookies en el sistema, la cuales asignan un número de serie
único al explorador Web que se está utilizando. Esto habilita al servicio Alexa a
reconocer e identificar el explorador Web y los comportamientos de visitas y compras
en línea del usuario. Por cada sitio Web que el usuario visita, el software de Alexa
transmite y almacena la siguiente información del equipo:
ƒ Dirección IP, que podría incluir nombre de dominio
Departamento Gallego de Informática Tfno:986493000
www.dgi-sll.com
ƒ
ƒ
ƒ
ƒ
ƒ
ƒ
La URL completa del sitio que se está visitando
Información general del explorador
Información general del sistema operativo
Número de cookie de Alexa
Hora y fecha de la información que se está registrado
Gator. Gator es el software principal de GAIN (Gator Advertising Information Network).
Es una red de publicidad que desarrolla campañas de marketing mediante el uso de
adware desarrollado por la Corporación Gator. Esta red se basa en un acuerdo de
permiso de instalación que se incluye junto con otros programas freeware de empresas
participantes como Kazaa. Gator se compone de:
ƒ Gator: El programa principal que además auto completa formularios Web
ƒ OfferCompanion: Módulo de spyware publicitario. Se encarga de recolectar
información de los hábitos de navegación del usuario. Además se encarga del
envío de dicha información y de bajar y mostrar los pop up al usuario.
ƒ Trickler: (fsg.exe, fsg-ag.exe, fsg*.exe) Trickler genera una entrada de
ejecución en el registro del sistema para que automáticamente y sin
conocimiento del usuario se ejecute cada vez que se inicia el sistema y poco a
poco va bajando el resto de los componentes de Gator y OfferCompanion al
sistema. Esto lo realiza para no despertar sospechas en los sistemas de
detección del usuario, ya que utiliza poco ancho de banda y su actividad es
casi inapreciable.
ƒ GAIN: (GMT.exe, CMESys.exe, GAIN_TRICKLER_*.EXE). Su nombre
proviene de Gator Advertising Information Network y es la nueva versión del
producto Gator
El proceso de proteger al sistema del spyware se basa en dos acciones fundamentales:
ƒ
ƒ
Escaneo completo del sistema para detectar spyware activo o restos de spyware
antiguo
Protección en tiempo real para evitar que nuevos intentos de instalación se lleven a
cabo.
OTROS MALWARE
Si la amenaza vírica era uno de los problemas principales a los que se enfrentaba la
comunidad IT, ésta ha tenido constancia de la aparición y uso de un gran número de otras
aplicaciones que han causado perjuicios notables y daños irreparables en el sector. Las
pérdidas económicas y de tiempo que este mal produce afectan tanto al mercado doméstico,
como al sector empresarial. Desgraciadamente las cifras que se barajan son preocupantes y la
tendencia no es a la baja. Originalmente la amenaza consistía en virus y troyanos, ahora:
spyware, mail-bomb, keylogger, dialers, jokes, etc., nos amenazan por muchos frentes
uniéndose y conjugando sus tecnologías para ejecutarse de forma más perniciosa.
BOMBAS DE CORREO Y BOMBAS LÓGICAS
Este tipo de malware tiene una filosofía de actuación similar al SPAM, aunque realmente el fin
que persigue no es el mismo. Básicamente las bombas de correo son una serie de aplicaciones
que tienen como objetivo atacar el buzón de correo de un usuario hasta conseguir la saturación
del mismo. Consiguiendo así la denegación de servicio del buzón, y evitando por lo tanto que el
atacado pueda enviar o recibir más correo hasta que la amenaza no sea eliminada.
La metodología utilizada, por lo tanto, es el uso de una serie de aplicaciones que se van a
encargar de construir los correos y enviarlos hacia Internet. Una de las medidas de protección
contra estos mail bomber consiste en configurar el servidor de correo para que no acepte
series de ellos cuando procede de la misma fuente. A pesar de ello aplicaciones más
avanzadas son capaces de buscar diferentes pasarelas de correo SMTP desprotegidas para
reenviar desde allí los e-mail y aparentar de esta forma que los correos proceden de diferentes
orígenes evitando la medida de protección y cumpliendo así el objetivo marcado.
Adicionalmente estas aplicaciones son capaces de encolar mensajes haciendo posible que
Departamento Gallego de Informática Tfno:986493000
www.dgi-sll.com
estos queden dispersos por Internet. De este modo, aún comenzando la tarea de limpieza de la
bandeja de entrada, éstos seguirían entrando y por lo tanto colapsando el sistema de correo.
“Unabomber” o “Avalanche” son algunos de los ejemplos de mail bomber más utilizados en
Internet.
Si por algún motivo el ataque fuera prolongado y lanzado contra un gran número de buzones
de correo de un determinado servidor, no se descarta la posibilidad de que se produzca
denegación de servicio completa de todo el servidor. Una evolución natural en este tipo de
ataque contra servidores se produce no con el envío masivo de correo, sino con el envío de
bombas lógicas o gusanos de correo. La primera forma de actuación consiste en un pequeño
programa que ejecuta una rutina cuando se producen una serie de condiciones: fechas, horas,
sistemas operativos, tipo o versión de servidor, etc. Fueron creados originalmente para atacar
máquinas y explotar debilidades de las mismas, instalar troyanos o producir la denegación de
servicio del equipo. La variante de correo consiste en crear una serie de aplicaciones que
enviadas mediante el servicio de mensajería, atacan determinadas versiones de servidores que
pueden ser vulnerables frente a ellas. Cuando se produce la condición especificada para la
bomba, ésta se activa y consecuentemente comienza a actuar. Esto normalmente implica la
replicación del correo hasta que se produce la saturación del buzón, aunque también existen
algunas versiones que instalan aplicaciones o ejecutan una subrutina para reiniciar la máquina.
La segunda forma de ataque consiste en un correo portando un adjunto que al ser ejecutados
inicia el proceso de autorreplicación, recoge la libreta de direcciones del atacado y se reenvía
hacia los buzones obtenidos. El problema de los gusanos va más allá puesto que una vez ha
infectado una máquina, desencadena una serie de procedimientos para extender sus acciones.
Por ejemplo en una fecha determinada se pueden lanzar una serie de ataques masivos
utilizando para ello los medios propios de las víctimas, contra servidores web o de correo
determinados. El objetivo no es otro que se produzca la denegación de servicio, siendo en este
caso de forma distribuida (DDOS). El ejemplo más típico de gusano conocido que utiliza esta
metodología es “Mydoom”.
La mejor protección contra estas amenazas es la precaución. Hay que desconfiar de aquellos
correos de dudosa procedencia o de contenido incierto. Por ejemplo, si recibimos un correo de
un amigo con un asunto en inglés tipo Hi!, debemos desconfiar del mismo, o desechar correos
con adjuntos si no podemos confirmar su procedencia.
KEYLOGGER
Sin lugar a dudas un virus es peligroso, pero al final de una u otra forma eres conocedor de su
existencia y puedes poner un remedio (o al menos intentarlo). Pero ¿qué pasaría si algo en la
máquina estuviera recogiendo lo que hacemos y lo enviara a otra persona? Por supuesto las
repercusiones serían mucho más graves. La espía informática es una operativa lucrativa
utilizada por algunos hackers y que supone un gran peligro. Imaginamos qué una persona
conoce cada golpe de teclado que realizamos en nuestra máquina. Conocería nuestras
password, tendría acceso a nuestro correo, sería capaz de predecir nuestras acciones,
detectaría y anticiparía nuestros modos de operación, tendría acceso a toda nuestra
información, etc. Los keylogger son aplicaciones malware que tienen este objetivo.
Esta aplicación normalmente llega al usuario de forma camuflada, algo similar a como sucede
con los troyanos, y una vez instalado en la máquina ejecuta las acciones correspondientes para
recoger cada pulsación que se produzca en el teclado del ordenador. Algunos sitios web
(principalmente bancos) conocedores de estos programas han rediseñado sus accesos para
introducir las claves de acceso a través de números que son pulsados por ratón en una consola
de la página web. Para sobreponerse a estas técnicas los keylogger han ido evolucionando,
recogiendo también las comunicaciones de los navegadores y almacenando las pulsaciones de
ratón e intentando identificar en que posición de pantalla fueron accionadas.
Un problema al que se enfrenta un atacante que utiliza un programa de este tipo es la de
recoger la información obtenida. Algunos de ellos vuelcan la información en un texto plano y el
hacker debería tener acceso físico al mismo para recoger lo obtenido, pero los más avanzados
Departamento Gallego de Informática Tfno:986493000
www.dgi-sll.com
pueden ser configurados para reenviar la información vía correo a un buzón específico, o
establecer una comunicación contra una dirección IP y enviar los datos necesarios. KGB
Keyloger presenta estas funcionalidades.
Algunos de estos programas ha pasado a ser comerciales y se ha extendido su uso para el
control y predicción de acciones. Algunos padres los utilizan para conocer que lugares de
Internet visitan sus hijos, que conversaciones mantienen a través de Messenger, etc.
DIALERS
Este tipo de aplicaciones se han convertido en un verdadero problema fundamentalmente para
el usuario doméstico. Desarrolladas originalmente por los proveedores como un método simple
para que los usuarios pudieran conectarse a Internet, sin necesidad de grandes
configuraciones. Actualmente, sin embargo, son utilizados en muchas ocasiones para redirigir
las comunicaciones de los usuarios con Internet sin que estos tengan una constancia directa de
ello.
Desde hace un tiempo ha empezado a proliferar una serie de sitios web preparados para
descargar una serie de dialers sobre la máquina objetivo. Estas aplicaciones no se pueden
ejecutar sin el consentimiento e intervención del usuario, pero las argucias y engaños
empleadas son cada día más sofisticados para hacer caer en la trampa al sufrido usuario. Una
vez que el dialer se encuentra instalado, este se encarga de cerrar la conexión que
actualmente se encuentra activa y realizar una nueva comunicación a internet al número de
teléfono que preestablece el marcador. Curiosamente el número suele coincidir con teléfonos
de tarifa especial como pueden ser los 803. Si el usuario no es consciente de esta situación,
toda la conexión hacia Internet se reconducirá a través de esta comunicación. El resultado final
se obtiene cuando se recibe la factura telefónica. Un poco tarde.
El problema de este uso “supuestamente fraudulento” es que roza lo legalmente establecido.
Se informa realmente de su uso y cuales son las tarifas para el establecimiento de llamada,
aunque se hace de una forma enmascarada utilizando hábilmente la información para no
alarmar a la víctima, escapando de esta forma a cualquier medida control, puesto que se
cumplen los requisitos mínimos que exige la ley.
La implantación progresiva de la tecnología ADSL inmune a ésta técnica ha minimizado el
impacto de estos marcadores. A pesar de ello hay muchos equipos que todavía establecen sus
conexiones mediante el marcado telefónico y estos aún pueden verse afectados seriamente.
Se recomienda concertar con la compañía de acceso a Internet el control para impedir las
llamadas hacia este tipo de números de teléfono o utilizar programas que controlen las
llamadas desde el MODEM.
JOKES
Aunque no pueden quedar encuadrados directamente en el mismo grupo que virus, troyanos,
etc., en cuanto al daño que producen, estas bromas se pueden incluir perfectamente bajo la
categoría de malware y no es menos cierto que sus repercusiones pueden ser muy negativas.
De aspecto totalmente inofensivo, los programas jokes se han ido distribuyendo mediante
correo con el único propósito de gastar una jugarreta a un amigo, aunque a veces ésta llega
más lejos de lo normalmente razonable. Imagine a un usuario novato ejecutando una aplicación
que le pregunta: ¿desea formatear el disco duro? y aunque se de la orden de cancelar para
que no se inicie el supuesto procedimiento de formateo, éste se inicie, con el consiguiente
susto por parte del engañado. Lo más probable en una lógica reacción va a ser apagar
repentinamente el equipo, con la posible pérdida de información.
También en las empresas tienen sus consecuencias perniciosas, especialmente relacionadas
con pérdidas de productividad. Normalmente estos juegos acaban con el desplazamiento de un
técnico de soporte al puesto de trabajo para evaluar que es lo que ha ocurrido, intentando
solucionar un problema inexistente.
Departamento Gallego de Informática Tfno:986493000
www.dgi-sll.com
Descargar