Nuevas vías de infección: Los USBs Indice Nuevas vías de infección – Del disquete al USB............................................................ 3 La “consumerización“ abre nuevas brechas de seguridad ............................................ 3 Como se extiende este nuevo tipo de malware.............................................................. 4 Como lidiar con esta amenaza: Protección Preventiva con Panda USB Vaccine ............ 7 Confidential © Panda 2009 Page 2 Nuevas vías de infección: Los USBs Nuevas vías de infección – Del disquete al USB Hace mucho tiempo desde que la industria antivirus señalaba el disquette como la fuente principal de infecciones entre varios pcs. En ese tiempo Internet no era mas que un concepto y el disquette era la forma básica de transmitir información de un PC a otro. Los creadores de malware se esmeraban, por tanto, en crear archivos maliciosos que pudieran residir en estos elementos de modo que la infección se transportara de un PC a otro de un modo sencillo. Actualmente los disquettes han dejado paso a los CDs y DVDs e Internet ofrece todo un mundo de posibilidades para compartir información. Aun así, podemos observar un claro sustituto del disquette como herramienta portátil para almacenar y llevar la información. Estos son los dispositivos portables o USBs, que permiten almacenar una gran cantidad de información permitiendo además transportarlos de forma sencilla debido a su cada vez menor tamaño. Tal y como sucedió con los disquettes en su día, no ha hecho falta mucho tiempo para que comience a aparecer malware que aprovecha las ventajas de estos dispositivos para crear infecciones masivas que se distribuyen rápidamente y pasan desapercibidos a los programas de seguridad. La “consumerización“ abre nuevas brechas de seguridad Según diversas consultoras de analistas, la consumerización es el proceso por el cual la tecnología empresarial y de consumo se integran en una sola. La línea que separa los dispositivos personales de los empresariales se difumina, lo que significa que los empleados usan cada vez más aparatos tecnológicos de su vida cotidiana dentro de la empresa. Esto crea un riesgo de seguridad por las posibles fugas de información crítica a través de dispositivos portables no controlados por la misma (mp3, USBs, etc). Como se aprecia en la figura anexa, la consultora Forrester detecta la consumerización de los departamentos de TI, que provoca que sean los usuarios individuales y no los departamentos de TI los que adoptan tecnologías propias para llevar a cabo sus tareas, con lo que la decisión de compra de estos departamentos viene derivado de las tendencias tecnológicas de los empleados (uso de wikis, blogs, etc). A este movimiento Forrester lo llama “Populismo tecnológico”. A pesar de que el problema de seguridad derivado de este nuevo movimiento sea la fuga de información sensible de una empresa, los dispositivos portables también pueden suponer un vector de entrada para la introducción y propagación de virus, troyanos, keyloggers y otros tipos de malware. De hecho, durante 2009 muchos periódicos se han hecho eco de noticias de este Confidential © Panda 2009 Page 3 Nuevas vías de infección: Los USBs tipo, como por ejemplo la prohibición del uso de elementos portables en el departamento de defensa de EEUU debido a la distribución del gusano agent.btz por diversas redes críticas del departamento. Por otro lado, los USBs están evolucionando rápidamente. Los nuevos sticks de memoria U3 permiten ejecutar software o diversas aplicaciones directamente desde el USB. La tecnología de U3 está diseñada para aprovechar las ventajas de movilidad que ofrecen los USBs de modo que el usuario pueda almacenar todos sus programas, contraseñas, preferencias etc en él sin preocuparse de que tengan que estar instaladas en el PC. Estos sistemas se auto-activan por lo que pueden ejecutar aplicaciones al ser conectados a un PC, lo que abre una nueva vía de infección adicional a los creadores de malware. Como se extiende este nuevo tipo de malware Hoy en día, una gran mayoría de los PCs usan alguna de las múltiples versiones de sistemas operativos Windows. De hecho, en el gráfico siguiente se muestra la tasa de penetración de cada uno de los distintos sistemas operativos existentes y se ve que Windows posee la gran mayoría del mercado, con un 73% de penetración del Windows XP. Para facilitar la instalación de las diferentes aplicaciones, en 1995 Microsoft lanzó en toda su familia de productos una funcionalidad llamada Autorun, que fue introducida junto con su Windows 95. Esta funcionalidad en su versión básica, permitía que al insertar un CD-ROM correctamente configurado, buscara un archivo de texto en el directorio raíz llamado AUTORUN.INF y siguiera las instrucciones allí definidas para ejecutar un programa. Actualmente este AUTORUN.inf está incluido en la mayoría de los dispositivos portables para conocer las acciones a realizar sobre cualquier USB o cd/dvd que se inserte en la máquina. El autorun.inf es un archivo de configuración que permite definir qué programa debería ser ejecutado automáticamente cuando se conecta el dispositivo. Sin embargo hoy en día existen varias formas en las que un programa que es especificado en un AUTORUN.INF puede ser ejecutado en un un modo mas o menos transparente para el usuario. Por ejemplo: - Autorun - Autoplay: Se trata de una versión mejorada del AutoRun lanzada con el sistema operativo Windows XP. En vez de que sea el dispositivo externo el que decida que programa ejecutar, se intenta hacer partícipe al usuario de esa decisión mediante un menú de opciones que se lanza al insertar el dispositivo. Del mismo modo que con el Autorun tradicional, es posible incluir como opción el que aparezca la aplicación que se desea ejecutar en el menú. Muchos tipos de malware usan Confidential © Panda 2009 Page 4 Nuevas vías de infección: Los USBs este sistema para propagarse sustituyendo el programa definido en el Autoplay por lo que no es un medio totalmente seguro para evitar este tipo de infecciones. Con Windows Vista este problema se agrava ya que el usuario puede configurar el AutoPlay de modo que defina que, por defecto, un programa definido en el AUTORUN.inf puede ejecutarse automáticamente. Eso permite a un USB infectado, ejecutarse en el PC del usuario sin conocimiento de este. - Ejecución desde el menú contextual del dispositivo al que se accede mediante el botón derecho del ratón. - Ejecución haciendo doble click sobre el icono de la unidad Esto hace que existan una variedad de formas de invocar un ejecutable que se encuentre en el autorun de cualquier dispositivo externo sin que se de un conocimiento del usuario. Esta funcionalidad permite por tanto a un determinado malware poder infectar un dispositivo externo realizando una copia del ejecutable en el mismo y modificando el archivo AUTORUN.inf de modo que cada vez que un usuario conecte ese USB en otra máquina, Windows ejecute ese archivo malicioso de forma silenciosa y sin que el usuario se de cuenta, por tanto, de que se ha infectado. Conficker - El primer aviso Existen algunos tipos de malware que comienzan a beneficiarse del modo de funcionamiento de los USBs y su modo de interactuar con el SO de Microsoft. Algunos ejemplos son W32/Sality, W32/Virutas y también el conocido Conficker, el cual, además de extenderse aprovechando una vulnerabilidad, lo hace también a través de los USBs. Confidential © Panda 2009 Page 5 Nuevas vías de infección: Los USBs Figura 1: Seguimiento de Conficker en el blog de PandaLabs En la figura siguiente podemos apreciar la evolución de infecciones por malware de la familia Autorun, esto es, aquel malware que como Conficker, se aprovecha del Autorun para propagarse. Como se puede apreciar, en Abril de 2008 se comienza a ver una tendencia creciente del número de infecciones relativas a este nuevo tipo de malware. Figura 1: Evolución de las infecciones por malware de la familia Autorun Otro ejemplo de un gusano que se propaga por el usb es el llamado AutoKitty.A, que se propaga realizando copias de sí mismo en todas las unidades disponibles del sistema, tanto mapeadas como extraíbles. Además, crea un archivo AUTORUN.INF en el directorio raíz de todas las unidades para conseguir que el gusano se ejecute cada vez que se acceda a alguna de ellas. Confidential © Panda 2009 Page 6 Nuevas vías de infección: Los USBs Por otro lado, el llamado SillyFD-AA no sólo se auto instala en los sistemas y coloca mensajes en Internet Explorer sino que instala un autorum.inf en cualquier memoria portátil, como USB o disquetes de forma que con conectar un USB infectado en un ordenador la infección está garantizada. Como lidiar con esta amenaza: Protección Preventiva con Panda USB Vaccine Tradicionalmente para paliar este problema la solución mas utilizada ha sido la de incluir una entrada en el registro de Windows de modo que se deshabilite la funcionalidad del AUTORUN en una máquina en concreto. Esto evita que el malware pueda infectar una máquina a través de un USB, a menos que el usuario ejecute directamente el archivo. Estas soluciones sirven para proteger los PCs, pero no consiguen erradicar el problema de las infecciones por dispositivos externos de almacenamiento que siguen infectando a aquellos PCs desprotegidos. Existen varias propuestas para solventar este problema pero la mayoría son fáciles de salvar por parte del malware. Preguntas Frecuentes: ¿Puedo desactivar el Autorun desde Windows para evitar estas infecciones? No hay una forma definida de desactivar el autorun desde Windows. La técnica habitual es realizar modificaciones en el registro o manipular el fichero autorun.inf para que no pueda ser creado por el malware. Problemas de las técnicas de modificación de registro: Requiere un conocimiento por parte del usuario y además hay múltiples técnicas y no todas son igual de eficientes. Nuestra herramienta realiza los ajustes más óptimos para conseguir vacunar el sistema. Problemas de las técnicas de manipulación del autorun.inf. En Internet se pueden encontrar una gran variedad de técnicas para modificar el autorun.inf, desde algunas más sencillas y fácilmente esquivables hasta otras más complejas y para las que se necesita un mayor conocimiento técnico. La técnica utilizada por Panda es la única que ha demostrado hasta el momento que no puede ser desactivada con procedimientos estándar, a excepción del formateo de la unidad. A la hora de frenar este tipo de infecciones y ofrecer al usuario una forma complementaria de proteger su máquina, junto con la protección antivirus instalada, Panda ofrece una herramienta gratuita para evitar este tipo de infecciones en los dispositivos portátiles. Esta herramienta se llama USB Vaccine y su función principal es la de desactivar el Autorun completamente de modo que ningún programa incluido en un USB pueda autoejecutarse de forma automática sin conocimiento del usuario. Además la herramienta ofrece la opción de “vacunar” el PC evitando que un malware infiltrado en un dispositivo USB, se ejecute automáticamente en el sistema. Confidential © Panda 2009 Page 7 Nuevas vías de infección: Los USBs Figura 1: Interfaz de la Vacuna USB de Panda Una solución preventiva sencilla y rápida. ¿Cómo funciona Panda USB Vaccine? Los sistemas operativos Windows usan el archivo AUTORUN.INF de los dispositivos portables para conocer qué tipo de acciones hay que realizar cuando estos son conectados al PC. Se trata de un archivo de configuración que normalmente se sitúa en el directorio raíz de los dispositivos portables y que contiene entre otras cosas, la posibilidad de definir un programa que se ejecute automáticamente cuando la unidad sea conectada. La mayor amenaza viene dada cuando esta funcionalidad es usada por los creadores de malware para distribuir una infección a otros PCs cada vez que el usuario conecte el dispositivo en cada uno de ellos. El malware copia automáticamente un ejecutable en el USB y modifica el AUTORUN de modo que cada vez que se inserta o se abre el dispositivo se ejecuta automáticamente el programa indicado en el autorun.inf y el sistema queda infectado. Este proceso se realiza además, de forma transparente para el usuario por lo que no sabe que ha sido infectado. La herramienta gratuita de Panda para vacunar USBs permite a los usuarios: - Vacunar sus PCs de modo que se desactive el Autorun para que ningún programa instalado en un dispositivo externo pueda auto ejecutarse. - Vacunar dispositivos USB para desactivar el AUTORUN.inf evitando asi que las infecciones puedan extenderse a otros PCs mediante estos dispositivos. Además evita que el dispositivo (concretamente el fichero autorun.inf) pueda ser infectado en otros sistemas donde sea insertado y que eventualmente puedan encontrarse infectados. Usos de Panda USB Vaccine en el entorno corporativo El administrador de una red puede distribuir esta herramienta a todos los PCs de forma centralizada y configurar previamente la misma de modo que elija el modo en que se comportará en el PC del usuario. Existen diversas líneas de comando que permiten realizar distintas acciones de forma remota: Confidential © Panda 2009 Page 8 Nuevas vías de infección: Los USBs USBVaccine [ A|B|C…|Z ] [ +system|-system ] [ /resident [/hidetray] [/auto] ] [DRIVE UNIT]: Vacunar unidad de disco +SYSTEM : Vacunar PC -SYSTEM : Desvacunar PC /RESIDENT: Lanzar el programa en modo oculto y configurarlo para que de la opción de vacunar cada vez que se introduzca un nuevo dispositivo. /AUTO: Vacuna automáticamente cualquier nuevo dispositivo insertado cuando se usa con el comando /resident. /HIDETRAY: Oculta el icono de la barra de tareas cuando se usa con el comando /resident. Requisitos del sistema La protección del dispositivo funciona en unidades FAT y FAT32. Hay una versión beta que permite proteger unidades NTFS, aunque es experimental en estos momentos. El parámetro para activar la protección en unidades NTFS es: /experimentalNTSF Esta herramienta está en modo beta y puede ser descargada directamente desde la web de Panda.: http://www.pandasecurity.com/spain/homeusers/downloads/usbvaccine/?track=91062 Confidential © Panda 2009 Page 9