ESET Latinoamrica, Av. Del Libertador 6250, 6to.

Piso
Buenos Aires, C1428ARS, Argentina
Tel. +54 (11) 4788 9213 Fax. +54 (11) 4788 9629
info@eset-la.com, www.eset-la.com

Gua bsica de utilizacin de medios
informticos en forma segura

Tcnicas avanzadas de propagacin de malware

Tcnicas avanzadas de propagacin de malware
2


ndice
Introduccin .................................................................................................................... 3
Creacin automatizada de malware ............................................................................. 3
Exploiting ........................................................................................................................ 5
Malware a travs de scripting ........................................................................................ 5
Drive-by Download ......................................................................................................... 7
Pharming Local ............................................................................................................... 9
Botnet y control centralizado ...................................................................................... 10
Control centralizado de botnet ............................................................................................................................................. 11
Black Hat SEO ................................................................................................................ 12
Black Hat SEO Social ................................................................................................................................................................... 13
Conclusin ..................................................................................................................... 14


Tcnicas avanzadas de propagacin de malware
3


A la amplsima cantidad y variedad de cdigos maliciosos descritos en mdulos anteriores se le suman
diferentes tcnicas avanzadas, que hacen de los mecanismos de propagacin e infeccin procesos ms
complejos y cada vez ms eficaces. Por ello, el presente material aborda la descripcin de las diferentes
alternativas actualmente empleadas, en relacin con las modernas tecnologas comnmente utilizadas por el
malware actual tanto en el proceso de difusin como en el de infeccin.
Introduccin
La evolucin de las tecnologas ha provocado que los cdigos maliciosos tambin se desarrollen de
manera paralela a estas, profesionalizando las maniobras delictivas mediante las cuales los atacantes
difunden diferentes amenazas a travs de Internet.
Esta situacin supone un nivel de riesgo mucho ms elevado, que requiere de conocimientos ms
profundos sobre las amenazas que constantemente intentan vulnerar el entorno informtico mediante la
ejecucin de tcnicas avanzadas de propagacin e infeccin de malware.
En este escenario se requiere que los mecanismos empleados para contrarrestar el impacto negativo de
las amenazas estn a la altura de las circunstancias, con soluciones de seguridad que permitan bloquear
los ataques producidos a travs de cdigos maliciosos; sin embargo, la implementacin de soluciones de
seguridad debe estar apoyada por el conocimiento de los diferentes mtodos empleados por el malware.
Creacin automatizada de malware
El nmero de nuevas variantes de cdigos maliciosos que se publican a diario es muy grande, y esto se ve
reflejado principalmente por su difusin a travs de Internet con el propsito de infectar a la mayor
cantidad de usuarios. Durante el ao 2010, los laboratorios de ESET recibieron 200 mil muestras de
malware nicas por da, un valor que crece de manera cotidiana.
Si se deja de lado la cantidad y la variedad, no siempre existen diferencias entre cada uno de los cdigos
maliciosos, es usual encontrar un patrn que se repite y no presenta mucha innovacin en el desarrollo.
Esto significa que ese cdigo no es creado desde cero sino que utiliza como base otras amenazas, lo que
da lugar a las variantes de las diferentes familias de malware.
Existen diversos programas de creacin automatizada de malware, que brindan la posibilidad de
producir cdigos maliciosos sin la necesidad de poseer conocimientos avanzados de lenguajes de
programacin ni mucho menos de informtica, permitiendo a cualquier usuario generar amenazas a

Tcnicas avanzadas de propagacin de malware
4


travs de estos, sin esfuerzo y con slo unos pocos clics; como por ejemplo con la interfaz que se presenta
en la siguiente captura:

Imagen 1 Creacin automatizada de malware
La automatizacin no se focaliza slo en la creacin de cdigos maliciosos sino tambin en la generacin
de metodologas donde diferentes aplicaciones permiten clonar pginas web o crear pginas falsas de
sitios ampliamente visitados por los usuarios; como es el caso, por ejemplo, de falsos videos de YouTube
empleados para propagar malware.
La creacin de software daino de manera automatizada a travs de aplicaciones de este estilo se ha
profesionalizado en cuanto a las funcionalidades que ofrecen, ya que algunos agregan la posibilidad de
crear cdigos maliciosos que contengan rutinas destinadas a entorpecer o evitar su anlisis. Son opciones
que resultan novedosas en este campo, ya que buscan dificultar el estudio del malware creado con dichos
programas, a partir de la incorporacin de algunas tcnicas como la deteccin de maquinas virtuales,
funcionalidades anti-debugger (evita el anlisis en tiempo real) o la deteccin de software de seguridad
instalado en el sistema.
Es decir, el malware es sometido a diferentes procesos que buscan evitar su ejecucin en los entornos
controlados comnmente empleados para su anlisis. La consecuencia de este escenario es que un
mismo malware es manipulado infinidad de veces para evitar la deteccin de los programas antivirus y
prolongar as el ciclo de vida de la familia de dicha amenaza.

Tcnicas avanzadas de propagacin de malware
5


Exploiting
En los ltimos aos se observ una clara tendencia en cuanto a la utilizacin de Internet como plataforma
de ataque, a travs de la propagacin de cdigos maliciosos que emplean determinadas caractersticas
para aprovechar vulnerabilidades (error o falla en el cdigo fuente de un sistema operativo o una
aplicacin) y lograr as la infeccin de entornos informticos.
Para llevarlo a cabo se hace uso de lo que se conoce como exploit: una secuencia de comandos que
intenta explotar vulnerabilidades especficas de un sistema operativo o aplicacin.
Esta accin permite infectar un sistema aprovechando las vulnerabilidades que se encuentren presentes
en el mismo, existiendo despus de la infeccin la posibilidad de una intrusin no autorizada por parte
del atacante.
De esta manera se intenta violar las capas de seguridad que se hayan implementado en el entorno
informtico y acceder al mismo de forma no autorizada. Los exploits suelen ser empleados a travs de
otras tcnicas avanzadas, mediante diferentes mtodos que permiten incrustarlos en pginas web de
manera masiva.
Los gusanos informticos suelen explotar vulnerabilidades para propagarse y de esta manera infectar una
mayor cantidad de sistemas.
Malware a travs de scripting
Teniendo en cuenta que en la actualidad un gran caudal de los ataques que utilizan cdigos maliciosos se
canaliza a travs de Internet, los agresores buscan automatizar hasta el mximo posible los mecanismos
de infeccin que les permitan utilizar las pginas web para fines no ticos. Para ello recurren al empleo de
pequeos programas diseados para facilitar sus tareas, que reciben el nombre de script.
De esta manera, cuando el usuario accede a un sitio web manipulado, el navegador interpreta el cdigo
script y ejecuta de forma automtica sus instrucciones. El objetivo principal de los script maliciosos,
adems de contener uno o varios exploits, es descargar y ejecutar malware automticamente.

Tcnicas avanzadas de propagacin de malware
6


Por lo general los scripts maliciosos que se embeben en pginas web se encuentran escritos en lenguaje
VBScript o JavaScript, aunque no son los nicos utilizados. Su aspecto es similar al que se aprecia en la
siguiente captura:

Imagen 2 Script malicioso
Un aspecto a destacar respecto a los script, es que pueden ser inyectados en pginas no maliciosas
aprovechando ciertas vulnerabilidades que van desde errores de programacin hasta fallas de
seguridad en los sitios web atacados, e incluso pueden ser inyectados de manera masiva. A travs de este
mtodo de ataque un usuario podra verse infectado por la descarga de un cdigo malicioso, por el solo
hecho de acceder a determinado sitio web y que de esa manera se ejecute malware de manera
transparente.

Tcnicas avanzadas de propagacin de malware
7


Una tcnica habitualmente empleada es la inyeccin de etiquetas iframe dentro de una pgina web,
creando as un marco (frame) interno. Esto provoca que dentro de una pgina web se abra, en segundo
plano y a travs del iframe, otra pgina web que ejecutar el script malicioso. En la siguiente captura se
aprecia un caso donde al acceder a la pgina web, esta muestra "error 500", sin embargo, cuando se
analiza el cdigo HTML del mismo, se observa una etiqueta iframe en la cual se especifica el
redireccionamiento hacia una pgina maliciosa.

Imagen 3 Inyeccin de etiqueta iframe
Para que esto suceda, el software atacado (en el servidor web) debe ser vulnerable; es decir, tiene que
estar desactualizado o no contar con determinados parches de seguridad en el sistema operativo o las
aplicaciones instaladas, o contar con contraseas dbiles o por defecto en alguno de los servicios en
ejecucin en el servidor.
Drive-by Download
Las tcnicas invasivas que en la actualidad son utilizadas por cdigos maliciosos para llegar hasta la
computadora de los usuarios, son cada vez ms sofisticadas y ya no se limitan al envo de malware a
travs de spam o clientes de mensajera instantnea.
Un claro ejemplo de esta situacin lo constituye la metodologa de ataque mencionada en la seccin
anterior, denominada Drive-by Download, cuyo objetivo es infectar los sistemas de los usuarios de
manera masiva simplemente a travs del acceso a determinado sitio web.
Los desarrolladores de malware propagan sus creaciones mediante esta tcnica, aprovechando las
vulnerabilidades existentes en diferentes sitios web, al inyectar cdigo daino entre su cdigo original.
Por lo general el proceso de ataque se lleva a cabo de manera automatizada, mediante la utilizacin de
aplicaciones que buscan vulnerabilidades y, una vez que encuentran alguna, insertan el script malicioso
entre el cdigo HTML del sitio atacado.

Tcnicas avanzadas de propagacin de malware
8


Para una mejor comprensin, la siguiente imagen muestra las facetas involucradas durante el proceso de
un ataque Drive-by Download:

Imagen 4 Ataque Drive-by Download
El usuario malicioso (atacante) inserta en la pgina web vulnerada un script malicioso y luego el proceso
contina de la siguiente manera:
1. El usuario (vctima) realiza una consulta (accede a la pgina web) en el sitio comprometido.
2. El sitio web consultado (servidor o aplicacin web vulnerada) devuelve la peticin (visualizacin
de la pgina) que contiene embebido en su cdigo el script daino previamente inyectado.
3. Una vez que el script se descarga en el sistema de la vctima, establece una conexin pero a otro
servidor, denominado Hop Point, desde el cual descarga otros scripts maliciosos que contienen
diversos exploits.
4. Cada uno de estos exploits tienen el objetivo de comprobar la existencia de vulnerabilidades que
puedan ser explotadas en el equipo vctima.
5. En caso de encontrar alguna vulnerabilidad, se ejecutar una instruccin que invoca la descarga
de un archivo ejecutable (el malware) desde otro servidor o desde el mismo Hop Point.
6. Se infecta el equipo de la vctima.
En consecuencia, la infeccin del equipo se habr llevado a cabo a travs de vulnerabilidades en el
sistema del usuario. Los script maliciosos involucrados en ataques Drive-by Download contienen exploits

Tcnicas avanzadas de propagacin de malware
9


cuyo objetivo primario es comprobar la existencia de fallas de seguridad en el sistema vctima, que
puedan ser explotadas para infectarlo.
Este tipo de metodologa de infeccin se encuentra cada vez con mayor frecuencia en sitios de cualquier
ndole; desde websites de empresas con administracin deficiente, que no son mantenidos de forma
apropiada, hasta aquellos blogs, CMS o foros que contienen vulnerabilidades en su cdigo fuente y son
descubiertos por los atacantes.
Pharming Local
En la actualidad existe una estrecha relacin entre el robo de informacin y los cdigos maliciosos, que
responde al objetivo primario del malware actual: infectar equipos con fines netamente lucrativos.
Existe un mecanismo de ataque relacionado con esta situacin, denominado Pharming, que consiste en
la manipulacin de los registros en servidores DNS
1
Por otra parte, en todos los sistemas operativos existe un archivo de texto llamado hosts, utilizado para
asociar direcciones IP con nombres de dominio, que funciona a modo de DNS. Es decir, cada vez que un
usuario accede a un sitio web, el sistema busca en este archivo hosts si existe alguna referencia
relacionada con la solicitud del usuario, antes de consultar al servidor DNS.
, con el objetivo de redireccionar las solicitudes de los
usuarios hacia sitios web con contenidos maliciosos. Es decir, cuando el usuario accede a determinado
sitio web, el servidor DNS atacado dar una respuesta errnea enviando el usuario a una direccin IP
maliciosa e incorrecta para dicho dominio.

1
DNS (Domain Name System Sistema de Nombres de Dominio). Sistema que permite traducir los nombres de dominio.

Tcnicas avanzadas de propagacin de malware
10


Cuando este archivo es manipulado de manera maliciosa, agregando en l informacin relacionada con
sitios web que contienen componentes maliciosos, recibe el nombre de Pharming Local. La siguiente
captura muestra un ejemplo de archivo hosts modificado por un cdigo malicioso.

Imagen 5 Archivo hosts modificado maliciosamente
Debido a la posibilidad de manipular el archivo hosts y asociar direcciones IP con nombres de dominios,
esta tcnica es ampliamente utilizada por cdigos maliciosos diseados para realizar ataques de phishing.
En el archivo hosts exhibido se agreg informacin referida a entidades bancarias asociadas a una
direccin IP diferente a la real. Cuando el usuario acceda al dominio de la entidad bancaria era
direccionado a una pgina web falsa similar a la pgina web original, incluso aunque se escribiera
correctamente la direccin en la barra de navegacin del navegador, producindose as el ataque de
phishing.
Botnet y control centralizado
Las botnet
2

2
Para ms informacin: http://www.eset-la.com/centro-amenazas/1573-botnets-redes-organizadas-crimen
son redes de computadoras infectadas por cdigos maliciosos, controladas por una (o varias)
personas que reciben el nombre de botmasters (persona que administra una botnet). Son utilizadas para
cometer diferentes tipos de ataques de forma distribuida, entre otras acciones delictivas. Su nombre
deriva de la conjuncin de las palabras bot y network y cada una de las computadoras infectadas que
forman parte de la botnet reciben el nombre de zombi.

Tcnicas avanzadas de propagacin de malware
11


Es decir que se aprovecha la capacidad de procesamiento de cada una de los zombis para operar en
conjunto, y lograr as un mayor volumen de potencia computacional. Entre las actividades maliciosas
para las cuales son utilizadas, se destacan:
Envo de spam.
Realizacin de ataques de denegacin de servicio distribuido (DDoS).
Alojamiento de archivos para sitios web que ofrecen material pornogrfico, pedfilo, warez
3
,
cracks
4
Distribucin e instalacin de nuevo malware.
, sitios de phishing, etc.
Control centralizado de botnet
El ndice de propagacin de malware diseado para infectar equipos y convertirlos en zombis, ha tenido
un importante aumento sostenido desde mediados del ao 2008, destacndose la posibilidad de poder
controlarlos y administrarlos de forma centralizada y remota, utilizando diversos protocolos, a travs de
una interfaz web que recibe el nombre de Centro de Comando y Control (CC&C).

3
Se conoce como Warez a la distribucin de material con derechos de autor de manera ilegal.
4
Se conoce como Crack a un programa que modifica una aplicacin para que no requiera validacin de licencias

Tcnicas avanzadas de propagacin de malware
12


En la siguiente captura se visualiza una de las opciones de control que poseen estas aplicaciones que
permiten la administracin remota, donde se muestra la cantidad de equipos infectados. En este caso, se
trata de la botnet Zeus:

Imagen 6 Panel de control de la botnet ZeuS
La estructura de estos programas se encuentra compuesta por varios mdulos, escritos en su mayora en
lenguaje de programacin PHP o Perl, que se encargan de una tarea particular dentro del organigrama
delictivo que representa la botnet, y desde los que se ejecutan los mecanismos de propagacin e
infeccin de cdigos maliciosos.
Black Hat SEO
Tambin conocido como envenenamiento de los motores de bsqueda (SEO Poisoning); las tcnicas de
BlackHat SEO (BlackHat Search Engines Optimization) manipulan intencionalmente los resultados de las
bsquedas.
El principal objetivo que impulsa a estas tcnicas es posicionar entre los primeros puestos y de forma ms
rpida determinados sitios web con contenidos maliciosos. De esta forma, cuando los usuarios utilizan los
buscadores, terminarn haciendo clic en enlaces que apuntan hacia contenidos dainos para sus equipos.

Tcnicas avanzadas de propagacin de malware
13


A pesar de la existencia de regulaciones, las tcnicas de BlackHat SEO fueron perfeccionndose hasta
constituir en la actualidad potenciales peligros para la confidencialidad, integridad y disponibilidad de la
informacin de cualquier usuario, servicio o recurso que necesite de Internet y los buscadores para operar
interactuar con otras personas.
Las tcnicas de BlackHat SEO constituyen un patrn altamente explotado por los delincuentes
informticos para propagar amenazas de forma masiva, logrando que los usuarios ingresen a sitios
potencialmente dainos.
Estas tcnicas suelen ser empleadas con mayor frecuencia cuando se produce algn suceso que cobra
inters mundial en muy poco tiempo, como noticias relevantes relacionadas con personalidades del
espectculo, catstrofes naturales, atentados y hasta eventos deportivos como es el caso de los
campeonatos mundiales de ftbol, entre muchos otros.
Black Hat SEO Social
Se conoce como Black Hat SEO Social a la combinacin de BlackHat SEO con las redes sociales, el
resultado de esta unin es el envenenamiento de los resultados en estas ltimas para enlazar a los
usuarios a malware u otros ataques. La web social se est caracterizando en los ltimos tiempos por la
optimizacin de sus bsquedas, especialmente aquellas en tiempo real. Por otro lado, los buscadores
estn comenzando a mostrar no solo sitios web, sino tambin resultados en redes sociales (una pgina de
Facebook, un tweet de Twitter, etc.). De esta manera, aparece una nueva forma de BlackHat SEO basada
en las redes sociales, donde ya no es necesario para los atacantes la creacin de sitios web envenenados,
sino que pueden hacerlo directamente con perfiles falsos en las redes sociales (o desde perfiles de
usuarios infectados) generando contenidos que enlacen a malware.

Tcnicas avanzadas de propagacin de malware
14


Conclusin
El malware constituye un preocupante problema de seguridad, que se encuentra en constante evolucin.
Tambin lo hacen los mecanismos que permiten su propagacin, ya que los creadores de cdigos
maliciosos buscan nuevas formas de infectar sistemas informticos, para as aumentar el negocio que
representan estas amenazas.
Es por ello que las tcnicas utilizadas durante los procesos de propagacin/infeccin presentan un nivel
cada vez mayor de eficacia y, por ello, de peligrosidad, que obliga a mantenerse tan informado como sea
posible sobre los mecanismos empleados por el malware.


Tcnicas avanzadas de propagacin de malware
15




Copyright 2011 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.
Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en este
curso, son marcas registradas de sus respectivos propietarios y no guardan relacin con ESET, LLC y ESET,
spol. s.r.o.
ESET, 2011
Acerca de ESET
Fundada en 1992, ESET es una compaa global de soluciones de software de seguridad que provee
proteccin de ltima generacin contra amenazas informticas. La empresa cuenta con oficinas centrales
en Bratislava, Eslovaquia y oficinas de coordinacin regional en San Diego, Estados Unidos; Buenos Aires,
Argentina y Singapur. Tambin posee sedes en Londres (Reino Unido), Praga (Repblica Checa), Cracovia
(Polonia), San Pablo (Brasil) y Distrito Federal (Mxico).
Adems de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compaa ofrece ESET Smart
Security, la solucin unificada que integra la multipremiada proteccin proactiva del primero con un
firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la
inversin (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploracin
y un uso mnimo de los recursos.
Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde dispone de
un equipo de profesionales capacitados para responder a las demandas del mercado en forma concisa e
inmediata y un laboratorio de investigacin focalizado en el descubrimiento proactivo de variadas
amenazas informticas.
La importancia de complementar la proteccin brindada por tecnologa lder en deteccin proactiva de
amenazas con una navegacin y uso responsable del equipo, junto con el inters de fomentar la
concientizacin de los usuarios en materia de seguridad informtica, convierten a las campaas
educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya ha adquirido renombre
propio.
Para ms informacin, visite www.eset-la.com