Panda USB Vaccine

Anuncio
Nuevas vías de infección: Los USBs
Indice
Nuevas vías de infección – Del disquete al USB............................................................ 3
La “consumerización“ abre nuevas brechas de seguridad ............................................ 3
Como se extiende este nuevo tipo de malware.............................................................. 4
Como lidiar con esta amenaza: Protección Preventiva con Panda USB Vaccine ............ 7
Confidential
© Panda 2009
Page 2
Nuevas vías de infección: Los USBs
Nuevas vías de infección – Del disquete al USB
Hace mucho tiempo desde que la industria antivirus señalaba el disquette como la fuente principal
de infecciones entre varios pcs. En ese tiempo Internet no era mas que un concepto y el disquette
era la forma básica de transmitir información de un PC a otro. Los creadores de malware se
esmeraban, por tanto, en crear archivos maliciosos que pudieran residir en estos elementos de
modo que la infección se transportara de un PC a otro de un modo sencillo.
Actualmente los disquettes han dejado paso a los CDs y DVDs e Internet ofrece todo un mundo de
posibilidades para compartir información. Aun así, podemos observar un claro sustituto del
disquette como herramienta portátil para almacenar y llevar la información. Estos son los
dispositivos portables o USBs, que permiten almacenar una gran cantidad de información
permitiendo además transportarlos de forma sencilla debido a su cada vez menor tamaño.
Tal y como sucedió con los disquettes en su día, no ha hecho falta mucho tiempo para que
comience a aparecer malware que aprovecha las ventajas de estos dispositivos para crear
infecciones masivas que se distribuyen rápidamente y pasan desapercibidos a los programas de
seguridad.
La “consumerización“ abre nuevas brechas de seguridad
Según diversas consultoras de analistas, la consumerización es el proceso por el cual la
tecnología empresarial y de consumo se integran en una sola. La línea que separa los dispositivos
personales de los empresariales se difumina, lo que significa que los empleados usan cada vez
más aparatos tecnológicos de su vida cotidiana dentro de la empresa. Esto crea un riesgo de
seguridad por las posibles fugas de información crítica a través de dispositivos portables no
controlados por la misma (mp3, USBs, etc).
Como se aprecia en la figura
anexa, la consultora Forrester
detecta la consumerización de los
departamentos de TI, que provoca
que sean los usuarios individuales
y no los departamentos de TI los
que adoptan tecnologías propias
para llevar a cabo sus tareas, con
lo que la decisión de compra de
estos
departamentos
viene
derivado
de
las
tendencias
tecnológicas de los empleados
(uso de wikis, blogs, etc). A este
movimiento Forrester lo llama
“Populismo tecnológico”.
A pesar de que el problema de seguridad derivado de este nuevo movimiento sea la fuga de
información sensible de una empresa, los dispositivos portables también pueden suponer un
vector de entrada para la introducción y propagación de virus, troyanos, keyloggers y otros tipos
de malware. De hecho, durante 2009 muchos periódicos se han hecho eco de noticias de este
Confidential
© Panda 2009
Page 3
Nuevas vías de infección: Los USBs
tipo, como por ejemplo la prohibición del uso de elementos portables en el departamento de
defensa de EEUU debido a la distribución del gusano agent.btz por diversas redes críticas del
departamento.
Por otro lado, los USBs están evolucionando rápidamente. Los nuevos sticks de memoria U3
permiten ejecutar software o diversas aplicaciones directamente desde el USB. La tecnología de
U3 está diseñada para aprovechar las ventajas de movilidad que ofrecen los USBs de modo que
el usuario pueda almacenar todos sus programas, contraseñas, preferencias etc en él sin
preocuparse de que tengan que estar instaladas en el PC. Estos sistemas se auto-activan por lo
que pueden ejecutar aplicaciones al ser conectados a un PC, lo que abre una nueva vía de
infección adicional a los creadores de malware.
Como se extiende este nuevo tipo de malware
Hoy en día, una gran mayoría de los PCs usan alguna de las múltiples versiones de sistemas
operativos Windows. De hecho, en el gráfico siguiente se muestra la tasa de penetración de cada
uno de los distintos sistemas operativos existentes y se ve que Windows posee la gran mayoría
del mercado, con un 73% de penetración del Windows XP.
Para facilitar la instalación de
las diferentes aplicaciones, en
1995 Microsoft lanzó en toda
su familia de productos una
funcionalidad llamada Autorun,
que fue introducida junto con
su
Windows
95.
Esta
funcionalidad en su versión
básica, permitía que al insertar
un CD-ROM correctamente
configurado,
buscara
un
archivo de texto en el directorio
raíz llamado AUTORUN.INF y
siguiera las instrucciones allí
definidas para ejecutar un
programa.
Actualmente este AUTORUN.inf está incluido en la mayoría de los dispositivos portables para
conocer las acciones a realizar sobre cualquier USB o cd/dvd que se inserte en la máquina. El
autorun.inf es un archivo de configuración que permite definir qué programa debería ser ejecutado
automáticamente cuando se conecta el dispositivo.
Sin embargo hoy en día existen varias formas en las que un programa que es especificado en un
AUTORUN.INF puede ser ejecutado en un un modo mas o menos transparente para el usuario.
Por ejemplo:
-
Autorun
-
Autoplay: Se trata de una versión mejorada del AutoRun lanzada con el sistema operativo
Windows XP. En vez de que sea el dispositivo externo el que decida que programa
ejecutar, se intenta hacer partícipe al usuario de esa decisión mediante un menú de
opciones que se lanza al insertar el dispositivo.
Del mismo modo que con el Autorun tradicional, es posible incluir como opción el que
aparezca la aplicación que se desea ejecutar en el menú. Muchos tipos de malware usan
Confidential
© Panda 2009
Page 4
Nuevas vías de infección: Los USBs
este sistema para propagarse sustituyendo el programa definido en el Autoplay por lo que
no es un medio totalmente seguro para evitar este tipo de infecciones.
Con Windows Vista este problema se agrava ya que el usuario puede configurar el
AutoPlay de modo que defina que, por defecto, un programa definido en el AUTORUN.inf
puede ejecutarse automáticamente. Eso permite a un USB infectado, ejecutarse en el PC
del usuario sin conocimiento de este.
-
Ejecución desde el menú contextual del dispositivo al que se accede mediante el botón
derecho del ratón.
-
Ejecución haciendo doble click sobre el icono de la unidad
Esto hace que existan una variedad de formas de invocar un ejecutable que se encuentre en el
autorun de cualquier dispositivo externo sin que se de un conocimiento del usuario.
Esta funcionalidad permite por tanto a un determinado malware poder infectar un dispositivo
externo realizando una copia del ejecutable en el mismo y modificando el archivo AUTORUN.inf
de modo que cada vez que un usuario conecte ese USB en otra máquina, Windows ejecute ese
archivo malicioso de forma silenciosa y sin que el usuario se de cuenta, por tanto, de que se ha
infectado.
Conficker - El primer aviso
Existen algunos tipos de malware que comienzan a beneficiarse del modo de funcionamiento de
los USBs y su modo de interactuar con el SO de Microsoft. Algunos ejemplos son W32/Sality,
W32/Virutas y también el conocido Conficker, el cual, además de extenderse aprovechando una
vulnerabilidad, lo hace también a través de los USBs.
Confidential
© Panda 2009
Page 5
Nuevas vías de infección: Los USBs
Figura 1: Seguimiento de Conficker en el blog de PandaLabs
En la figura siguiente podemos apreciar la evolución de infecciones por malware de la familia
Autorun, esto es, aquel malware que como Conficker, se aprovecha del Autorun para propagarse.
Como se puede apreciar, en Abril de 2008 se comienza a ver una tendencia creciente del número
de infecciones relativas a este nuevo tipo de malware.
Figura 1: Evolución de las infecciones por malware de la familia Autorun
Otro ejemplo de un gusano que se propaga por el usb es el llamado AutoKitty.A, que se propaga
realizando copias de sí mismo en todas las unidades disponibles del sistema, tanto mapeadas
como extraíbles. Además, crea un archivo AUTORUN.INF en el directorio raíz de todas las
unidades para conseguir que el gusano se ejecute cada vez que se acceda a alguna de ellas.
Confidential
© Panda 2009
Page 6
Nuevas vías de infección: Los USBs
Por otro lado, el llamado SillyFD-AA no sólo se auto instala en los sistemas y coloca mensajes en
Internet Explorer sino que instala un autorum.inf en cualquier memoria portátil, como USB o
disquetes de forma que con conectar un USB infectado en un ordenador la infección está
garantizada.
Como lidiar con esta amenaza: Protección Preventiva
con Panda USB Vaccine
Tradicionalmente para paliar este problema la solución mas utilizada ha sido la de incluir una
entrada en el registro de Windows de modo que se deshabilite la funcionalidad del AUTORUN en
una máquina en concreto. Esto evita que el malware pueda infectar una máquina a través de un
USB, a menos que el usuario ejecute directamente el archivo.
Estas soluciones sirven para proteger los PCs, pero no consiguen erradicar el problema de las
infecciones por dispositivos externos de almacenamiento que siguen infectando a aquellos PCs
desprotegidos. Existen varias propuestas para solventar este problema pero la mayoría son fáciles
de salvar por parte del malware.
Preguntas Frecuentes:
¿Puedo desactivar el Autorun desde Windows para evitar estas infecciones?
No hay una forma definida de desactivar el autorun desde Windows. La técnica habitual es
realizar modificaciones en el registro o manipular el fichero autorun.inf para que no pueda
ser creado por el malware.
Problemas de las técnicas de modificación de registro:
Requiere un conocimiento por parte del usuario y además hay múltiples técnicas y no todas
son igual de eficientes. Nuestra herramienta realiza los ajustes más óptimos para conseguir
vacunar el sistema.
Problemas de las técnicas de manipulación del autorun.inf.
En Internet se pueden encontrar una gran variedad de técnicas para modificar el
autorun.inf, desde algunas más sencillas y fácilmente esquivables hasta otras más
complejas y para las que se necesita un mayor conocimiento técnico.
La técnica utilizada por Panda es la única que ha demostrado hasta el momento que no
puede ser desactivada con procedimientos estándar, a excepción del formateo de la
unidad.
A la hora de frenar este tipo de infecciones y ofrecer al usuario una forma complementaria de
proteger su máquina, junto con la protección antivirus instalada, Panda ofrece una herramienta
gratuita para evitar este tipo de infecciones en los dispositivos portátiles. Esta herramienta se
llama USB Vaccine y su función principal es la de desactivar el Autorun completamente de modo
que ningún programa incluido en un USB pueda autoejecutarse de forma automática sin
conocimiento del usuario. Además la herramienta ofrece la opción de “vacunar” el PC evitando
que un malware infiltrado en un dispositivo USB, se ejecute automáticamente en el sistema.
Confidential
© Panda 2009
Page 7
Nuevas vías de infección: Los USBs
Figura 1: Interfaz de la Vacuna USB de Panda
Una solución preventiva sencilla y rápida. ¿Cómo funciona Panda USB Vaccine?
Los sistemas operativos Windows usan el archivo AUTORUN.INF de los dispositivos portables
para conocer qué tipo de acciones hay que realizar cuando estos son conectados al PC. Se trata
de un archivo de configuración que normalmente se sitúa en el directorio raíz de los dispositivos
portables y que contiene entre otras cosas, la posibilidad de definir un programa que se ejecute
automáticamente cuando la unidad sea conectada.
La mayor amenaza viene dada cuando esta funcionalidad es usada por los creadores de malware
para distribuir una infección a otros PCs cada vez que el usuario conecte el dispositivo en cada
uno de ellos. El malware copia automáticamente un ejecutable en el USB y modifica el AUTORUN
de modo que cada vez que se inserta o se abre el dispositivo se ejecuta automáticamente el
programa indicado en el autorun.inf y el sistema queda infectado. Este proceso se realiza además,
de forma transparente para el usuario por lo que no sabe que ha sido infectado.
La herramienta gratuita de Panda para vacunar USBs permite a los usuarios:
-
Vacunar sus PCs de modo que se desactive el Autorun para que ningún programa
instalado en un dispositivo externo pueda auto ejecutarse.
-
Vacunar dispositivos USB para desactivar el AUTORUN.inf evitando asi que las
infecciones puedan extenderse a otros PCs mediante estos dispositivos. Además evita
que el dispositivo (concretamente el fichero autorun.inf) pueda ser infectado en otros
sistemas donde sea insertado y que eventualmente puedan encontrarse infectados.
Usos de Panda USB Vaccine en el entorno corporativo
El administrador de una red puede distribuir esta herramienta a todos los PCs de forma
centralizada y configurar previamente la misma de modo que elija el modo en que se comportará
en el PC del usuario. Existen diversas líneas de comando que permiten realizar distintas acciones
de forma remota:
Confidential
© Panda 2009
Page 8
Nuevas vías de infección: Los USBs
USBVaccine [ A|B|C…|Z ] [ +system|-system ] [ /resident [/hidetray] [/auto] ]
[DRIVE UNIT]: Vacunar unidad de disco
+SYSTEM : Vacunar PC
-SYSTEM : Desvacunar PC
/RESIDENT: Lanzar el programa en modo oculto y configurarlo para que de la opción de vacunar
cada vez que se introduzca un nuevo dispositivo.
/AUTO: Vacuna automáticamente cualquier nuevo dispositivo insertado cuando se usa con el
comando /resident.
/HIDETRAY: Oculta el icono de la barra de tareas cuando se usa con el comando /resident.
Requisitos del sistema
La protección del dispositivo funciona en unidades FAT y FAT32. Hay una versión beta que
permite proteger unidades NTFS, aunque es experimental en estos momentos. El parámetro para
activar la protección en unidades NTFS es: /experimentalNTSF
Esta herramienta está en modo beta y puede ser descargada directamente desde la web de
Panda.: http://www.pandasecurity.com/spain/homeusers/downloads/usbvaccine/?track=91062
Confidential
© Panda 2009
Page 9
Descargar