Raspador de RAM y SPAM

Ram scraper and spam.

Pepito Perez
Universidad Tecnolgica de Pereira, Pereira, Colombia
pepito@hotmail.com

Resumen Este documento describe una nueva

tcnica de robo informtico llamada RAM scraper y
muestra como este malware opera, cules son sus
indicadores de presencia y como evitarlos. Este
documento tambin trata sobre los correo basura
llamados comnmente spam, los tipos de spam que
existen, como operan y cmo se pueden prevenir.

Palabras clave Ataque, correo basura, memoria de

acceso aleatorio, raspado de memoria.

Abstract This paper describes a new computer

theft technique called RAM scraper and shows how
this malware operates, what their presence
indicators and how to avoid them. This document
also is about junk mail commonly called spam, spam
types that exist, how they operate and how you can
prevent them.

Key Word Attack, junk mail, random access

memory, scraping memory.

I.

INTRODUCCIN

La tcnica de RAM scraping existe desde hace

pocos aos, pero est ms presente que nunca,
siendo una de las 15 tcnicas ms utilizadas para
robos informticos, segn los expertos en
seguridad de Verizon Business. 1
Los raspadores de RAM fueron trados a la luz por
Verizon en el informe Data Breach Investigations
Supplemental publicado en 2009, para
representar un mtodo relativamente nuevo de
ataques a datos de tarjetas de crdito y sistemas
POS. El termino Ram scraper fue en realidad un
____________________________
.

nombre que a Verizon se le ocurri para describir el

ataque.
Uno de los grandes problemas que afronta actualmente
Internet es la proliferacin de correo basura, correo no
solicitado o spam, el cual no aporta ningn beneficio al
receptor. Se presume que ninguna persona que tenga
correo electrnico o interacte con la web2.0 est
exenta de recibir correos basura. Si bien en algunos
casos, la vctima se inscribi voluntariamente (pero
puede ser que no saba bien para que era) en algn sitio
que le solicitaba crear una cuenta o ingresar algunos
datos.
II. CONTENI
DO
1) RAM Scraper
Es un malware diseado para capturar los datos
contenidos en la memoria voltil de acceso aleatorio
(RAM), para as obtener informacin del usuario
ilegalmente.
El RAM scraper (o malware) una vez en el sistema
recopila datos leyendo directamente de la memoria, lo
cual le permite obtener contraseas, claves de cifrado,
claves de tarjetas de crdito, nmeros de la Seguridad
Social, o cualquier otro tipo de informacin
confidencial que le permita al criminal obtener
beneficios econmicos. El raspador de RAM puede
guardar estos datos sensibles en el sistema local o
enviarlos directamente a los servidores de los
criminales.
Este tipo de malware es usado para ataques dirigidos, a
menudo son adaptados para trabajar con sistemas de
puntos de venta de proveedores especficos, de modo
que entienden como se formatea y almacena la
informacin.

Independientemente de cmo se obtienen los

datos, un ataque por RAM scraper debe explorar
la debilidad de configuracin y/o tener privilegios
suficientes para poder leer toda la memoria.

Industrias Atacadas
Principalmente se observan en la venta al por
menor, industrias de hospitalidad, sistemas de
puntos de venta y tambin es usado para hackear
cajas registradoras de almacenes, acceder a los
datos de tarjetas de crdito, entre otros.

Fuentes De Amenazas Asociada

Predominantemente fuentes maliciosas externas,
pero a veces implica una conexin de socio de
confianza dentro de la organizacin.
Acciones Asociadas

RAM scraper es tpicamente un agente secundario, el

cual se instala despus que el sistema ha sido
comprometido utilizando algn otro mtodo de ataque
primario, como troyanos o backdoor.
Una vez instalado el RAM scraper, ste toma los datos
sin cifrar que estn contenidos en la memoria, pero no
realiza apropiacin masiva de todos los datos de la
memoria pues el proceso seria lento, innecesario y fcil
de detectar. Es por esto que el RAM scraper usa
cherry-pick para capturar nicamente de la memoria
cadenas relacionadas con identificadores de tarjetas u
otra informacin especfica para la cual fue
programado. Esta informacin tomado por el RAM
scraper es almacenada en un archivo y posteriormente
enviada al servidor del malhechor u es ocultada en el
equipo para luego ser recuperada por el delincuente. [1]

Indicadores De Presencia De RAM Scrapers

Comportamiento
sistema.

rendimiento

inusual

del

Ataques remotos despus de acceder al

sistema.

Presencia inusual de archivos grandes (archivos y

scripts perl ramdump).

Acceso
no
autorizado
credenciales de terceros.

Cambios bruscos de espacio libre en disco.

involucrando

Servicios administrativos remotos.

Es visto con frecuencia en combinacin con
otros tipos de malware como los son las
puertas traseras (Backdoor) que los atacantes
utilizan para recuperar datos capturados.

Registro de seguimiento de procesos del sistema.

Monitoreo de rutina.
Presencia de otros ejemplares de malvare en el
sistema.

Caso De Ejemplo
Activos Asociados
Casi siempre se instala en los servidores,
especialmente en los puntos de venta en los cuales
se procesan, almacenan y transmiten datos de
tarjetas de pago.

Como Opera El RAM Scraper

Un casino situado en el noreste de Estados Unidos

recibi la notificacin de los modelos de fraude
indicando como punto comn de compra. A su llegada,
Verizon IR reuni pruebas para su anlisis fuera del
sitio, que incluye un servidor POS y otros servidores
que utilizan hoteles para el registro de huspedes y
otras funciones empresariales.
Los analistas descubrieron cuatro archivos en el
servidor de POS se sabe estn asociados con malware
raspador de RAM observado en varios casos

relacionados con otros comerciantes de la zona.

Estos
cuatro
archivos-A0011817.exe
(WinMgmt.exe),
A0011818.bat
(install.bat),
A0011819.exe (dnsmgr.exe), y Far.exe-resida en
un directorio del sistema de punto de restauracin
de Windows, lo que indica que resida en el
sistema en un estado activo, pero se archivaron en
un sistema de reciente restauracin. Las fechas de
los archivos mostraban que se haba introducido
en el sistema de menos de una semana antes de las
primeras ocurrencias de fraude.
El raspador de RAM vaci el contenido de la
memoria viva del servidor en un archivo
denominado dumper.dll en los subdirectorios del
sistema de Windows. Curiosamente, el malware
usado estrictamente defini expresiones GREP
para consultar slo los nmeros de tarjetas de
pago en lugar de crear volcados (vertedores) de
memoria completa. Esto, por supuesto, est
diseado para un funcionamiento ms eficiente y
el uso de espacio en disco. El autor volvi a
intervalos regulares a travs de una puerta trasera
para recoger datos de las tarjetas vertidos en la
memoria del servidor POS. [2]

Como Evitar Los RAM Scrapers

Tener software antivirus actualizados.
Hacer uso de software de seguridad.
Realizar un mantenimiento regular del
sistema, parches, registros y revisiones
completas de los sistemas POS.

Regularmente confirmar la integridad de los

sistemas de deteccin de intrusos. [3]

2) SPAM
Los spam son mensajes no solicitados, habitualmente
de tipo publicitario, enviados en cantidades masivas.
Aunque se puede hacer por distintas vas, la ms
utilizada entre el pblico general es la basada en el
correo electrnico para lo cual tambin recibe el
nombre de correo basura.
Los spam son enviados por individuos u organizaciones
los cuales reciben el nombre de spammers.

Vas De Difusin
Los mensajes de spam se pueden enviar atreves de los
siguientes medios:

Correos electrnicos.
Sistema de mensajera instantnea.
Telefona mvil.
Telefonica IP (VoIP)
Sistema de fax.
Chat en juegos de lnea.
Foros.
Grupos de noticias.
Blogs o similares.

Supervisar los registros y procesos del

sistema.
Identificar cambios repentinos en el espacio
disponible del disco duro.
Supervisar carpetas temporales.
Supervisin de archivos crticos como .exe,
pues el RAM scrapers es un archivo
ejecutable.
Controlar la integridad de los archivos. Estos
archivos a menudo tratan de unirse a los
procesos reales o archivos del sistema.

Categoras De Spam
Los spam se pueden clasificar en las siguientes
categoras segn su contenido:

Pornografa
Salud
Tecnologas informticas
Finanzas personales
Educacin/entrenamiento

 Poltica
Soluciones antispam

Como Surgi El Spam

El spam mediante el servicio de correo electrnico
naci el 5 de marzo de 1994. Este da una firma de
abogados de Canter and Siegel, publica en Usenet
un mensaje de anuncio de su firma legal, el cual
en el primer da despus de la publicacin, factur
cerca de 10.000 dlares por casos de sus amigos y
lectores de la red. Desde ese entonces, el
marketing mediante correo electrnico ha crecido
a niveles impensados desde su creacin.

Costos Que Ocasionan Los Spam

El correo basura cuesta dinero, tanto por el tiempo
que se pierde examinndolo, como por los
recursos hardware y software necesarios para
manejarlo (ancho de banda, servidores de correo
ms potentes, software de filtrado, etc.), costes
que deben ser soportados por las organizaciones
en forma de inversiones y horas de trabajo de sus
empleados, y que en el caso de los proveedores de
acceso a Internet, acabarn repercutiendo a los
clientes.

Como
Los
Spammers
Obtienen
Direcciones De Correo Electrnico

Las

Los spammers utilizan diversas tcnicas para

conseguir las largas listas de direcciones de correo
que necesitan para su actividad, generalmente a
travs de programas automticos que recorren
internet en busca de direcciones.
Algunas de las principales fuentes de direcciones
para luego enviar el spam son:
Pginas web que contienen la direccin de su
creador, o de sus visitantes (foros, weblogs,
etc.).

Grupos de noticias de usenet, cuyos mensajes

suelen incluir la direccin del remitente.
Correos electrnicos que los usuarios de internet
suelen reenviar sin ocultar las direcciones, y que
pueden llegar a acumular docenas de direcciones
en el cuerpo del mensaje, pudiendo ser capturadas
por un usuario o programa malicioso.
Compra de bases de datos de direcciones de
correo a empresas o particulares (ilegal en la
mayor parte de los pases).

Verificacin De La Recepcin
El spammer se encarga de verificar que las direcciones
de correo electrnico de sus vctimas son vlidas, es
decir verificar que las direcciones existen para as
incluirlas en una base de datos y venderlas a terceros o
seguir ellos mismos envindoles spam sin consumir
recursos de su red ocasionados por los mensajes de
error.
El spammer usa bsicamente dos mtodos para
corroborar que el correo de su vctima es vlido:
Por medio de web bugs o pequeas imgenes o
similares contenidas en el cdigo HTML del
mensaje, cada vez que una vctima lee el mensaje,
su ordenador solicita la imagen al servidor del
spammer, que registra automticamente el hecho.
Son una forma ms de spyware. Si recibe un correo
no solicitado debe borrarlo sin leerlo.
Otro sistema es el de prometer en los mensajes que
enviando un mail a una direccin se dejar de
recibir dichos mensajes, pero cuando la vctima
contesta le estar indicando al spammer que la
direccin es correcta.

Tcnicas Que Usan Los Spammers Para Evadir

Filtros
Aunque se hacen esfuerzos tcnicos para dificultarles
su labor, los spammers no permanecen pasivos y
utilizan numerosas tcnicas y trucos desarrollados en
los ltimos aos para seguir entregando sus correos.
Estas incluyen:

 Utilizar una direccin distinta para cada

envo y abandonarla o eliminarla despus.
Falsificar las cabeceras de los mensajes de
correo electrnico para dificultar el rastreo
del origen.
Infiltrarse en servidores de correo legtimos
y usarlos como fuente de envo.
Utilizar troyanos, como la familia
Mitglieder, que instalan rels SMTP en el PC
infectado, y que pueden ser usados para
reenviar spam.
Deformacin de palabras de los mensajes
para engaar a los filtros de palabras. Por
ejemplo reemplazando la letra o por
nmeros cero, o insertando espacios y puntos
aleatoriamente.

Ordenadores Zombis
Los ordenadores infectados son utilizados por el
spammer como "ordenadores zombis", que envan
spam a sus rdenes, pudiendo incluso rastrear los
discos duros o correos nuevos (sobre todo
cadenas) en busca de ms direcciones. Esto puede
causar perjuicios al usuario que ignora haber sido
infectado, al ser identificado como spammer por
los servidores a los que enva spam sin saberlo, lo
que puede conducir a que le restrinjan el acceso a
determinadas pginas o servicios web.

Como Evitar Los Correo Basura

Tener siempre al da las actualizaciones de

seguridad del sistema operativo.

Instalar un buen cortafuegos (firewall) y un

buen antivirus, y tenerlos siempre activados.

Procure no participar en mensajes

encadenados, recomendando a sus contactos
que usen el campo Bcc o CCO (Con Copia
Oculta), de igual manera al enviar correos
para muchos destinatarios hacer uso de este
campo para que las direcciones de correo

electrnico no sean visibles a los destinatarios.

Leer los correos de remitentes sospechosos como

texto, y no como HTML.

Utilice al menos dos direcciones de correo

electrnico, una para sus contactos ms
importantes y otra (u otras) para dar en sitios web
o listas de correo.

No responder nunca a los mensajes del spammer,

aunque este prometa dejar de enviar spam. Si se
manda un mensaje a dicha direccin con la
esperanza de dejar de recibir correo no solicitado,
slo se est confirmando que la cuenta existe y
est activa, por lo que se terminara de recibir ms
spam que antes. [4]

III. CONCLUSIONES
El ataque de un RAM scraper representan una amenaza
real para las empresas, pero slo para los datos de alto
valor.
La elaboracin de un malware RAM scraper requiere
de un mayor nivel de sofisticacin, debido a que este se
debe ajustar al software o entorno especifico.
Los RAM scrapers realizan ataques potencialmente
eficaz elaborando tcnicas como cherry-pick para evitar
la lectura completa de la memoria y as evitar no solo la
toma de datos innecesarios sino tambin evitar ser
descubiertos por el enorme trfico de datos a travs de
la red o por la cantidad de espacio en el disco duro
usado para el almacenamiento de los datos robados.
Se debe tener mucho cuidado con las personas que
hacen mantenimiento a los equipos de las terminales de
venta, solo un tcnico de la misma empresa o enviado
por la misma debera manipular los equipos para evitar
que sea instalado un Ram Scraper.
Los mensajes spam se han expandido gracias a que son
una forma econmica de hacer publicidad ya sea a
productos ilegales o productos de baja calidad, y
aunque son pocas las personas que responden a estas

solicitudes, dejan enormes ganancias a los

spammers o personas quienes ofrecen el servicio.

RECOMENDACIONES
El solo hecho de tener una conexin a Internet
hace que la persona sea vulnerable a cualquier tipo
de ataque, lo mejor es seguir las recomendaciones
indicadas en este artculo para evitar los Ram
scrapers y correos basura, tambin se debe tener
en cuenta no dar crdito a publicidad que no sea
confiable ni navegar en sitios no confiables, ya
que estos podran instalar algn tipo de malware
sin siquiera darse cuenta.
Denuncie a las autoridades competentes el envo
de spam y participe en la creacin de listas negras.

REFERENCIAS
[1]http://www.darkreading.com/security/news/222
002720/attack-of-the-ram-scrapers.html
[2] 2009 Data Breach Investigations Supplemental
Report
A study conducted by the Verizon Business RISK
team.
http://www.verizonenterprise.com/resources/secur
ity/reports/rp_2009-data-breach-investigationssupplemental-report_en_xg.pdf
[3] http://kohi10.wordpress.com/2010/01/07/ramscrapers/
[4]http://www.publispain.com/antivirus/tipos_de_
spam.html