Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
de medios informticos
Tcnicas avanzadas de propagacin de malware
ESET Latinoamrica: Av. Del Libertador 6250, 6to. Piso Buenos Aires, C1428ARS, Argentina. Tel. +54 (11) 4788 9213 Fax. +54 (11) 4788 9629 - info@eset-la.com, www.eset-la.com
ndice
Introduccin ................................................... 3
Creacin automatizada de malware .................. 3
Exploiting ....................................................... 5
Malware a travs de scripting ........................... 5
Drive-by Download .......................................... 7
Pharming Local ............................................... 9
Botnet y control centralizado ......................... 10
Control centralizado de botnet ................................... 11
Conclusin .....................................................14
Introduccin
La evolucin de las tecnologas ha provocado que los cdigos maliciosos tambin se desarrollen
de manera paralela a estas, profesionalizando las maniobras delictivas mediante las cuales los
atacantes difunden diferentes amenazas a travs de Internet.
Esta situacin supone un nivel de riesgo mucho ms elevado, que requiere de conocimientos
ms profundos sobre las amenazas que constantemente intentan vulnerar el entorno
informtico mediante la ejecucin de tcnicas avanzadas de propagacin e infeccin de
malware.
En este escenario se requiere que los mecanismos empleados para contrarrestar el impacto
negativo de las amenazas estn a la altura de las circunstancias, con soluciones de seguridad
que permitan bloquear los ataques producidos a travs de cdigos maliciosos; sin embargo, la
implementacin de soluciones de seguridad debe estar apoyada por el conocimiento de los
diferentes mtodos empleados por el malware.
Exploiting
En los ltimos aos se observ una clara tendencia en cuanto a la utilizacin de Internet como
plataforma de ataque, a travs de la propagacin de cdigos maliciosos que emplean
determinadas caractersticas para aprovechar vulnerabilidades (error o falla en el cdigo fuente
de un sistema operativo o una aplicacin) y lograr as la infeccin de entornos informticos.
Para llevarlo a cabo se hace uso de lo que se conoce como exploit: una secuencia de comandos
que intenta explotar vulnerabilidades especficas de un sistema operativo o aplicacin.
Esta accin permite infectar un sistema aprovechando las vulnerabilidades que se encuentren
presentes en el mismo, existiendo despus de la infeccin la posibilidad de una intrusin no
autorizada por parte del atacante.
De esta manera se intenta violar las capas de seguridad que se hayan implementado en el
entorno informtico y acceder al mismo de forma no autorizada. Los exploits suelen ser
empleados a travs de otras tcnicas avanzadas, mediante diferentes mtodos que permiten
incrustarlos en pginas web de manera masiva.
Los gusanos informticos suelen explotar vulnerabilidades para propagarse y de esta manera
infectar una mayor cantidad de sistemas.
Por lo general los scripts maliciosos que se embeben en pginas web se encuentran escritos en
lenguaje VBScript o JavaScript, aunque no son los nicos utilizados. Su aspecto es similar al que
se aprecia en la siguiente captura:
Un aspecto a destacar respecto a los script, es que pueden ser inyectados en pginas no
maliciosas aprovechando ciertas vulnerabilidades que van desde errores de programacin
hasta fallas de seguridad en los sitios web atacados, e incluso pueden ser inyectados de manera
masiva. A travs de este mtodo de ataque un usuario podra verse infectado por la descarga de
un cdigo malicioso, por el solo hecho de acceder a determinado sitio web y que de esa manera
se ejecute malware de manera transparente.
Una tcnica habitualmente empleada es la inyeccin de etiquetas iframe dentro de una pgina
web, creando as un marco (frame) interno. Esto provoca que dentro de una pgina web se abra,
en segundo plano y a travs del iframe, otra pgina web que ejecutar el script malicioso. En la
siguiente captura se aprecia un caso donde al acceder a la pgina web, esta muestra "error
500", sin embargo, cuando se analiza el cdigo HTML del mismo, se observa una etiqueta iframe
en la cual se especifica el redireccionamiento hacia una pgina maliciosa.
Para que esto suceda, el software atacado (en el servidor web) debe ser vulnerable; es decir,
tiene que estar desactualizado o no contar con determinados parches de seguridad en el
sistema operativo o las aplicaciones instaladas, o contar con contraseas dbiles o por defecto
en alguno de los servicios en ejecucin en el servidor.
Drive-by Download
Las tcnicas invasivas que en la actualidad son utilizadas por cdigos maliciosos para llegar
hasta la computadora de los usuarios, son cada vez ms sofisticadas y ya no se limitan al envo
de malware a travs de spam o clientes de mensajera instantnea.
Un claro ejemplo de esta situacin lo constituye la metodologa de ataque mencionada en la
seccin anterior, denominada Drive-by Download, cuyo objetivo es infectar los sistemas de los
usuarios de manera masiva simplemente a travs del acceso a determinado sitio web.
Los desarrolladores de malware propagan sus creaciones mediante esta tcnica, aprovechando
las vulnerabilidades existentes en diferentes sitios web, al inyectar cdigo daino entre su
cdigo original.
Por lo general el proceso de ataque se lleva a cabo de manera automatizada, mediante la
utilizacin de aplicaciones que buscan vulnerabilidades y, una vez que encuentran alguna,
insertan el script malicioso entre el cdigo HTML del sitio atacado.
Para una mejor comprensin, la siguiente imagen muestra las facetas involucradas durante el
proceso de un ataque Drive-by Download:
El usuario malicioso (atacante) inserta en la pgina web vulnerada un script malicioso y luego el
proceso contina de la siguiente manera:
1.
2.
3.
Una vez que el script se descarga en el sistema de la vctima, establece una conexin
pero a otro servidor, denominado Hop Point, desde el cual descarga otros scripts
maliciosos que contienen diversos exploits.
4.
5.
6.
Este tipo de metodologa de infeccin se encuentra cada vez con mayor frecuencia en sitios de
cualquier ndole; desde websites de empresas con administracin deficiente, que no son
mantenidos de forma apropiada, hasta aquellos blogs, CMS o foros que contienen
vulnerabilidades en su cdigo fuente y son descubiertos por los atacantes.
Pharming Local
En la actualidad existe una estrecha relacin entre el robo de informacin y los cdigos
maliciosos, que responde al objetivo primario del malware actual: infectar equipos con fines
netamente lucrativos.
Existe un mecanismo de ataque relacionado con esta situacin, denominado Pharming, que
consiste en la manipulacin de los registros en servidores DNS 1, con el objetivo de redireccionar
las solicitudes de los usuarios hacia sitios web con contenidos maliciosos. Es decir, cuando el
usuario accede a determinado sitio web, el servidor DNS atacado dar una respuesta errnea
enviando el usuario a una direccin IP maliciosa e incorrecta para dicho dominio.
Por otra parte, en todos los sistemas operativos existe un archivo de texto llamado hosts,
utilizado para asociar direcciones IP con nombres de dominio, que funciona a modo de DNS. Es
decir, cada vez que un usuario accede a un sitio web, el sistema busca en este archivo hosts si
existe alguna referencia relacionada con la solicitud del usuario, antes de consultar al servidor
DNS.
1 DNS (Domain Name System Sistema de Nombres de Dominio). Sistema que permite traducir los nombres de dominio.
10
11
acciones delictivas. Su nombre deriva de la conjuncin de las palabras bot y network y cada una
de las computadoras infectadas que forman parte de la botnet reciben el nombre de zombi.
Es decir que se aprovecha la capacidad de procesamiento de cada una de los zombis para operar
en conjunto, y lograr as un mayor volumen de potencia computacional. Entre las actividades
maliciosas para las cuales son utilizadas, se destacan:
Envo de spam.
Alojamiento de archivos para sitios web que ofrecen material pornogrfico, pedfilo,
warez 3, cracks 4, sitios de phishing, etc.
Se conoce como Warez a la distribucin de material con derechos de autor de manera ilegal.
Se conoce como Crack a un programa que modifica una aplicacin para que no requiera validacin de licencias
12
En la siguiente captura se visualiza una de las opciones de control que poseen estas
aplicaciones que permiten la administracin remota, donde se muestra la cantidad de equipos
infectados. En este caso, se trata de la botnet Zeus:
13
14
Conclusin
El malware constituye un preocupante problema de seguridad, que se encuentra en constante
evolucin. Tambin lo hacen los mecanismos que permiten su propagacin, ya que los
creadores de cdigos maliciosos buscan nuevas formas de infectar sistemas informticos, para
as aumentar el negocio que representan estas amenazas.
Es por ello que las tcnicas utilizadas durante los procesos de propagacin/infeccin presentan
un nivel cada vez mayor de eficacia y, por ello, de peligrosidad, que obliga a mantenerse tan
informado como sea posible sobre los mecanismos empleados por el malware.
15
Copyright 2012 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.
Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados
en este curso, son marcas registradas de sus respectivos propietarios y no guardan relacin con
ESET, LLC y ESET, spol. s.r.o.
ESET, 2012
Acerca de ESET
Fundada en 1992, ESET es una compaa global de soluciones de software de seguridad que
provee proteccin de ltima generacin contra amenazas informticas. La empresa cuenta con
oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinacin regional en San Diego,
Estados Unidos; Buenos Aires, Argentina y Singapur. Tambin posee sedes en Londres (Reino
Unido), Praga (Repblica Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal
(Mxico).
Adems de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compaa ofrece ESET
Smart Security, la solucin unificada que integra la multipremiada proteccin proactiva del
primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos
el mayor retorno de la inversin (ROI) de la industria como resultado de una alta tasa de
productividad, velocidad de exploracin y un uso mnimo de los recursos.
Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde
dispone de un equipo de profesionales capacitados para responder a las demandas del mercado
en forma concisa e inmediata y un laboratorio de investigacin focalizado en el descubrimiento
proactivo de variadas amenazas informticas.
La importancia de complementar la proteccin brindada por tecnologa lder en deteccin
proactiva de amenazas con una navegacin y uso responsable del equipo, junto con el inters
de fomentar la concientizacin de los usuarios en materia de seguridad informtica, convierten
a las campaas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya
ha adquirido renombre propio.
Para ms informacin, visite www.eset-la.com