Las 10 caras del malware

Divulgación, Redes de Datos / / Deja un comentario / Por
Spread the love

Tomado de: The 10 faces of Malware, Michael Kassner, Techrepublic
No es una traducción fiel sino una interpretación,
tiene palabras y párrafos añadidos o reinterpretados.

La complejidad del ambiente tecnológico actual facilita que el malware exista e incluso que florezca. Estar informado acerca de lo que hay en esa jungla de bits es un buen primer paso para evitar problemas. Con tantos términos diferentes, definiciones y terminología, intentar imaginarse qué es qué respecto al malware puede ser difícil. Para comenzar, definamos algunos términos clave que serán usados durante todo el artículo:
  • Malware: Es software malicioso o malintencionado específicamente diseñado para infiltrar o causar daño en sistemas de computación sin que los propietarios se den cuenta o sin su autorización.
  • Malcode: Es programación malintencionada que es introducida durante la etapa de desarrollo de una aplicación y es conocida como la carga del malware (payload).
  • Anti-malware: Incluye cualquier programa que combata el malware, sea protección en tiempo real o detección y eliminación de malware existente. Los antivirus, antispyware y exploradores (scanners) de malware son ejemplos de antimalware.
Una cosa importante para recordar sobre malware es que como su contraparte biológica, la meta número uno es la reproducción. Causar daño a un sistema de cómputo, destruir datos o robar información importante son objetivos secundarios. A la luz de las definiciones anteriores, vamos a mirar 10 diferentes tipos de malware.
1: El infame virus de computadora
Un virus es malware que es capaz de infectar una computadora pero tiene que apoyarse en algún medio externo de propagación. Un verdadero virus sólo puede esparcirse de una computadora a otra adjuntándose a alguna forma de contenido ejecutable que es transmitido entre computadoras. Por ejemplo, un virus podría estar escondido en un archivo PDF adjunto a su vez en un correo electrónico. La mayoría de los virus se componen de 3 partes:
  • Replicante/Replicador: Cuando el programa que lo carga (hospedero) es activado, también lo es el virus y la prioridad del código viral  es propagarse.
  • El ocultador (Concealer): El virus puede emplear uno de muchos métodos para esconderse del antimalware.
  • La carga (Payload): La carga de malcode de un virus puede estar dirigida casi a cualquier propósito, desde deshabilitar funciones de la computadora hasta destruir datos.
Algunos ejemplos de virus actualmente en la red son W32.Sens.A, W32.Sality.AM y W32.Dizan.F. La mayoría de antivirus de calidad los removerá una vez que se tenga un archivo con la firma característica.
2: El siempre popular gusano (worm)
Los gusanos son más sofisticados que los virus, siendo capaces de replicarse sin la intervención del usuario. Si el malware usa redes para propagarse es más un gusano que un virus. Los principales componentes de un gusano son:
  • Herramienta de penetración: El malcode que averigua vulnerabilidades en la computadora víctima para obtener acceso.
  • Instalador: La herramienta de penetración rompe el primer mecanismo de defensa, en ese punto el instalador se encarga de transferir el cuerpo principal de malcode a la víctima.
  • Herramienta de descubrimiento: Una vez incorporado al sistema, el gusano usa varios métodos para descubrir otras computadoras de la red, incluyendo direcciones de correo electrónico, listas de hosts y peticiones DNS.
  • Explorador: El gusano usa un explorador para determinar si alguna de las nuevas computadoras son vulnerables a los medios disponibles en su herramienta de penetración, usualmente exploits.
  • Carga: El Malcode que reside en la computadora víctima. Podría ser cualquier cosa, desde una aplicación de acceso remoto a un interceptor de teclado que capture nombres de usuario, contraseñas u otra información importante.
Infortunadamente, esta categoría de malware es la más prolífica, empezando con el gusano Morris en 1988 y continuando hoy con conficker. La mayoría de gusanos se pueden remover usando exploradores de malware como el MBAM o GMER.
3: La puerta trasera desconocida
Las puertas traseras son similares a los programas de acceso remoto que muchos de nosotros usamos todo el tiempo. Son considerados malware cuando son instalados sin permiso, que es exactamente lo que un atacante quiere hacer, usando alguno de los siguientes métodos:
  • Explotando una vulnerabilidad de la computadora objetivo.
  • Otra forma es engañar al usuario para que instale la puerta trasera usando ingeniería social.
Una vez instalada, la puerta trasera permite a los atacantes controlar remotamente la computadora bajo ataque. SubSeven, NetBus, Deep Thorat, Back Orifice y Bionet son puertas traseras que han ganado notoriedad. Los exploradores de malware como MBAM y GMER usualmente pueden remover puertas traseras.
4: El reservado caballo de troya
Es difícil encontrar una mejor definición para caballo de troya que la que hicieron Ed Skoudis y Lenny Zelter en su libro Malware: combatiendo el código malicioso (Malware: Fighting Malicious Code):
“Un caballo de troya o troyano es un programa que aparenta tener algún propósito útil o benigno pero en realidad enmascara alguna funcionalidad malintencionada escondida.”
El caballo de troya esconde la carga destructiva durante la instalación y ejecución del programa, evitando ser detectado por antimalware. Algunas técnicas de ocultación incluyen:
  • Renombrar el malware para parecer archivos normalmente presentes en el sistema.
  • Corromper el antimalware instalado para no responder cuando el malware es ubicado o detectado.
  • Código polimórfico es usado para alterar la firma del malware más rápido de lo que el software de defensa puede conseguir archivos de firma nuevos.
Vundo es un ejemplo primario; crea avisos emergentes sobre programas antispyware falsos, degrada el desempeño del sistema e interfiere con la navegación. Típicamente, un explorador de malware instalado en un LiveCD es requerido para detectarlo y removerlo.
5: Adware/Spyware, más que una molestia
Adware es software que crea avisos emergentes sin la autorización del usuario. Típicamente el adware se instala a partir de programas gratuitos. Además de ser muy irritantes,  pueden degradar significativamente el desempeño de la computadora. El spyware es software que recolecta información de su computadora sin su conocimiento. El software gratuito es notorio por tener cargas de spyware, por lo tanto leer el acuerdo de uso es muy importante. El escándalo de protección de copia de CDs de Sony BMG es probablemente el ejemplo más notable de spyware. La mayoría de antispyware rápidamente encontrará adware/spyware no deseado y lo removerá del sistema. Tampoco es una mala idea eliminar regularmente archivos temporales, cookies y la historia de navegación de los navegadores como medida preventiva.
Estofado de Malware
Hasta este punto, todo el malware ha tenido unas características distintivas, haciéndolo fácil de definir. Infortunadamente, ese no es el caso con las siguientes categorías. Los desarrolladores de malware se han inventado formas de combinar las mejores características de los diferentes tipos de malware en un intento de mejorar su rata de éxito. Los rootkits son un ejemplo de ésto, integrando un caballo de troya y una puerta trasera en un mismo paquete. Cuando es usada en combinación, un atacante puede ganar acceso a un computador remotamente y hacerlo sin levantar sospecha. Los rootkits son una de las más importantes amenazas combinadas, por lo que los examinaremos más en detalle.
Rootkits: diferentes de manera única
Éstos están en su propia categoría, ya que escogen modificar el sistema operativo existente en vez de añadir software de la capa de aplicación como la mayoría del malware ordinario. Eso es muy significativo porque hace la detección mucho más difícil. Hay varias formas diferentes de rootkits, pero tres componen la mayoría de los que se ven en la red: modo de usuario, modo de kernel (o núcleo) y firmware. Modo usuario y modo kernel requieren una mejor explicación:
  • Modo de usuario (User mode): El código tiene acceso restringido a los recursos de software y hardware de la computadora. La mayoría del código ejecutado en su computadora se ejecutará en modo usuario. Debido al acceso restringido, los colapsos en modo de usuario son recuperables.
  • Modo kernel: El código tiene acceso irrestricto al software y hardware. El modo kernel está generalmente reservado a las funciones más confiables del sistema operativo, los colapsos en modo kernel no son recuperables.
6: Rootkits en modo usuario
Ya se sabe que los rootkits en modo de usuario corren como usuario privilegiado, lo que significa que:
  • Los rootkits en modo usuario pueden alterar procesos, archivos, controladores de hardware (drivers), puertos de red e incluso servicios del sistema.
  • Los rootkits permanecen instalados copiando sus archivos al disco duro, ejecutándose automáticamente cada vez que arranca el sistema.
Hacker Defender es un ejemplo de un rootkit en modo usuario que afortunadamente la bien conocida aplicación Rootkit Revealer de Mark Russinovich es capaz de detectar, así como a la mayoría de otros rootkits en modo usuario.
7: Rootkits en modo kernel
Dado que los rootkits en modo usuario pueden ser encontrados y removidos, los diseñadores de rootkits cambiaron su forma de pensar y desarrollaron rootkits en modo kernel:
  • Modo kernel significa que el rootkit está instalado al mismo nivel que el sistema operativo y que el software de detección de rootkits.
  • Ésto les permite manipular el sistema operativo al punto de que deja de ser confiable.
Inestabilidad es una de las consecuencias de un rootkit en modo kernel, conduciendo típicamente a colapsos inexplicables o pantallas azules. En ese punto podría ser buena idea ensayar GMER. Ésta es una de las pocas herramientas confiables de remoción de rootkits que tiene alguna oportunidad contra rootkits en modo kernel como Rustock.
8: Rootkits de Firmware
Los rootkits de firmware son el siguiente paso en sofisticación: los desarrolladores de rootkits averiguaron cómo almacenar malware en el firmware. El firmware alterado podría ser cualquier cosa, desde códico de microprocesador hasta controladores de una tarjeta de expansión PCI. Ésto significa que:
  • Cuando el computador es apagado el rootkit escribe el malcode al firmware especificado.
  • Al reiniciar el PC el rootkit se reinstala a sí mismo.
Incluso cuando un programa de remoción encuentra y elimina el rootkit de firmware, la próxima vez que el PC arranque, el rootkit vuelve.
9: Código malicioso móvil
En relativo anonimato, el código móvil malicioso está conviertiendose rápidamente en la más efectiva forma de inyectar malware en una computadora. Primero miremos lo que es el código móvil:
  • Se obtiene de servidores remotos.
  • Se transfiere a través de la red.
  • Descargado y ejecutado en un sistema local.
Ejemplos de código móvil incluyen JavaScript, VBScript, controles ActiveX controls y animaciones en Flash. La idea detrás del código móvil es contenido activo, que es fácil de reconocer: páginas dinámicas, aquellas que hacen a la navegación una experiencia interactiva. ¿Qué hace al código móvil malicioso? La instalación sin el consentimiento del usuario o engañar al usuario sobre lo que hace el software. Y para completar, usualmente es el primer paso en un ataque combinado, similar a la herramienta de penetración usada por los troyanos. Después de este primer ataque, se puede instalar malware adicional. La mejor forma de combatir el código móvil malintencionado es asegurarse de que el sistema operativo y todo el software adicional está actualizado.
10: Amenaza combinada
El Malware es considerado una amenaza combinada que busca dañar y propagarse eficientemente combinando varias piezas de malcode de propósito específico. Dicho lo anterior, las amenazas combinadas requieren una atención especial, al punto que hasta los expertos en seguridad admiten a regañadientes que éstas son las mejores en hacer lo que hacen. Una amenaza combinada incluye típicamente las siguientes habilidades:
  • Explotar diversas vulnerabilidades conocidas o incluso crearlas.
  • Incorporar métodos alternativos de duplicación.
  • Automatizar su ejecución, lo cual elimina la interacción o dependencia.
El malware de amenaza combinada por ejemplo puede enviar un correo electrónico en HTML conteniendo un troyano con un PDF que contiene otro troyano de un tipo diferente. Algunas de las más conocidas amenazas combinadas es Nimbda, CodeRed y BugBear. Eliminar una amenaza combinada puede requerir varios tipos de sofware anti-malware, así como anti-malware instalado en LiveCD.
Conclusiones
Malware: ¿será posible reducir sus efectos dañinos que causa? A continuación algunas reflexiones al respecto:
  • El Malware no se va a acabar pronto. Especialmente cuando se hace evidente que hay dinero, en grandes cantidades, que se surten de que exista.
  • Dado que las aplicaciones anti-malware son todas reactivas, están destinadas a fallar.
  • Los desarrolladores de sistemas operativos y de aplicaciones deben mostrar cero tolerancia a las vulnerabilidades de software.
  • Cualquiera que use computadoras necesita asumir el aprendizaje sobre cómo reaccionar al ambiente siempre cambiante del malware.
  • Nunca insistiremos suficiente: por favor, asegúrese de mantener su sistema operativo y aplicaciones actualizados.
Fin de la interpretación.
Mis recomendaciones personales
Yo uso cualquier antivirus gratuito popular, acostumbraba usar AVG ahora uso Avast pero cualquiera sirve para mitigar el impacto de los virus, lo importante es tener alguno y mantenerlo actualizado. Otra cosa que uso es el Spybot S&D, que se instala en el sistema y pregunta antes de cualquier intervención en la configuración del sistema, por lo tanto me da la oportunidad de saber y aprobar (o rechazar) cambios, por ejemplo, sólo autorizo cambios cuando yo instalo cosas, actualizo aplicaciones o el sistema. En Windows es necesario configurar las actualizaciones automáticas, sí, yo sé que es muy molesto, pero más molesto es que empiecen a pasar cosas raras en el PC como que se desactive la actualización del antivirus. Una recomendación es configurar las actualizaciones para notificar pero no descargar ni instalar o configurarlo para descargar automáticamente pero no instalar, de tal manera que las actualizaciones están permanentemente solicitando descargar e instalar manualmente las últimas actualizaciones (que no siempre son tan últimas), muchas de las cuales son corrección a vulnerabilidades descubiertas. Para las aplicaciones hay un programa muy útil llamado Secunia PSI (personal software inspector), éste recolecta la información de versiones y parches de las aplicaciones, del sistema y compara con las últimas versiones y parches publicados en los sitios oficiales, de tal manera que siempre sé si me falta actualizar alguna de las aplicaciones que tengo instaladas en mi PC. Finalmente, se puede optar por el uso cotidiano de Linux, que no es susceptible a ninguno de éstos ataques y sus últimas versiones son muy confiables y fáciles de usar, por ejemplo, Ubuntu.]]>

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.