La nueva era de las redes de bots

Transcripción

1 Por Zheng Bu, Pedro Bueno, Rahul Kashyap y Adam Wosotowsky McAfee Labs

2 Índice Una industria en desarrollo 3 La evolución 4 Los bots de IRC 4 Los bots localizados 4 Los bots P2P 4 Los bots HTTP 5 Spy Eye 7 Presencia global 8 Brote de redes de bots: principales amenazas por países 9 El papel de los Gobiernos 10 Quién está expuesto al riesgo? 11 Una mirada al futuro 11 Nos encontramos ante una nueva era de zombis sociales? 12 Mejor cuanto más sigiloso 13 La lucha a través de Global Threat Intelligence 14 Referencias 14 Acerca de McAfee Labs 14 Acerca de McAfee 14

3 Las redes de bots, o también denominadas "botnets", han pasado por etapas muy diferentes. Básicamente, un bot consiste en una serie o secuencia de comandos o en un programa diseñado para conectarse a algo (por lo general, un servidor) y ejecutar un comando o una serie de comandos para realizar diversas funciones, que no tienen por qué ser necesariamente maliciosas o perjudiciales. Los bots y sus usos han evolucionado, y han pasado de ser simples moderadores del canal simple y de juegos (como los bots Bartender de Wisner y Game Manager de Lindahl) a ofrecer servicios especializados como la gestión de bases de datos o el mantenimiento de listas de acceso. Este informe trata de un uso muy diferente: las "comunidades" de bots, o también denominados zombis o parásitos, que utilizan los ciberdelincuentes para dar soporte a sus actividades delictivas. Estas actividades delictivas afectan a las empresas en la medida en que pueden conllevar robos de secretos comerciales, inserciones de malware en el código fuente de los archivos, interrupciones del acceso o del servicio, alteraciones de la integridad de los datos y robos de la información personal de los empleados. Para una empresa, esto puede tener consecuencias desastrosas y desembocar en pérdidas de ingresos, incumplimiento de las normativas, pérdida de la confianza del cliente o daños a la reputación de la empresa, o incluso conllevar la quiebra del negocio. Para las organizaciones gubernamentales, el alcance de las consecuencias puede ser incluso mayor. En este informe, analizaremos la evolución de los bots con fines delictivos, la industria que respalda su creación y distribución, y los usos que los grupos de ciberdelincuentes hacen de ellos. Además, daremos algunas claves sobre la dirección que creemos que tomarán los bots en un futuro próximo. Una industria en desarrollo Puede decirse que la industria de las redes de bots ha atravesado por una especie de "curva de crecimiento" (aunque en este caso, no se trata de algo positivo). Los bots y las redes de bots de principios de este siglo estaban creados por programadores con buenos conocimientos en materia de redes y protocolos, como Internet Relay Chat (IRC). El uso de IRC inició la tendencia hacia el control centralizado, a menudo conocido como C&C. El SDBot, uno de los primeros y más famosos bots estaba programado en lenguaje C++ (el SDBot se extendió notablemente porque su autor publicó el código fuente, algo muy inusual). Las versiones posteriores del SDBot, también conocido como SpyBot, empezaron a aprovechar las vulnerabilidades de llamadas de procedimientos remotos de Microsoft y, por tanto, los programadores de bots empezaron a necesitar conocimientos sobre cómo atacar códigos fuente para crear estos bots. En esta era, los bots y las redes de bots han alcanzado la capacidad de aprovechar muy diversas vulnerabilidades, que en su gran mayoría se encuentran presentes en las plataformas Microsoft Windows más habituales. Los bots que aparecieron posteriormente, en la última década, adquirieron nuevas habilidades, como los ataques de denegación de servicio (DoS), el análisis de puertos y los registros de pulsaciones, entre otras cosas. Los autores de todo este malware debían tener los conocimientos necesarios en lenguaje ensamblador, así como una sólida experiencia en redes. El RBot (2003) fue uno de los primeros en utilizar herramientas y modelos de compresión y cifrado como UPX, Morphine y ASPack. Estas exigencias de conocimientos dio paso a una nueva generación de programadores cualificados que entendían de modelos de cifrado y de criptografía, y sabían cómo utilizar las técnicas de penetración y crear sus propios archivos binarios. En este punto, ya no hubo vuelta atrás. El éxito de RBot allanó el camino hacia la generalización del cifrado y la ocultación en los bots y redes de bots. Uno de los principales avances en el control de las redes de bots fue el uso de las redes peer-to-peer (P2P), de lo que fueron precursores los bots Sinit (2003) y Phatbot (2004). Este cambio alteró por completo la comunicación en las redes de bots. Una de las botnets más conocidas basada en el protocolo P2P que apareció más tarde fue Worm/Nuwar (2007), que utilizaba una arquitectura P2P descentralizada y fue, durante algún tiempo, extremadamente difícil de combatir. Las múltiples soluciones de seguridad existentes en el mercado para hacer frente a estos desafíos han impulsado la necesidad de crear redes de bots cada vez más sofisticadas. Y, a su vez, la sofisticación de los bots y las redes de bots ha hecho avanzar las tecnologías de seguridad, lo que ha dado lugar a una relación muy compleja de medidas y contramedidas entre los creadores de malware y los proveedores de seguridad. Obviamente, la complejidad de los bots y las redes de bots ha aumentado considerablemente. Por lo general, los programadores de este tipo de malware poseen unos conocimientos avanzados en redes, sistemas y criptografía. Además, a la luz del ingente volumen y la enorme sofisticación de las redes de bots, es muy probable que no estén creadas por un pequeño grupo de personas, sino por todo un colectivo altamente motivado por la rentabilidad económica de su labor. El objetivo es evidente: acceder y atacar a las empresas para robar datos con un valor económico. 3

4 La evolución Los bots de IRC Los primeros bots no siempre eran maliciosos. Pero eso es algo poco habitual en nuestros días, y especialmente en los últimos años, desde el auge de las redes de bots que tuvo lugar sobre Antes de esa fecha, la mayoría de bots utilizaban IRC como su protocolo de control. En los inicios, IRC servía para conectarse a salas de chat, que permitían a los usuarios intercambiar mensajes, y su uso estaba muy extendido hace entre 10 y 15 años. Sin embargo, con la llegada de los protocolos de mensajería instantánea, como ICQ, AIM y MSN Messenger, IRC perdió parte de su popularidad, aunque algunos profesionales de redes y seguridad "de la vieja escuela" siguen utilizándolo. Los primeros bots se crearon para acceder a estas salas de chat o canales, garantizar que los canales permanecían abiertos y reconocer los operadores del canal y otorgarles el control del mismo. Antes, lo más habitual era crear bots que pudieran analizar una red y aprovecharse de los equipos con vulnerabilidades nuevas o conocidas. Una vez obtenido el acceso al equipo, el bot se conectaba a una sala de chat determinada (canal) y recibía instrucciones del botmaster, como iniciar un ataque de denegación de servicio (DoS) contra un sitio web. Este tipo de acciones aún pueden observarse hoy en día en el reciente ataque W32/Vulcanbot dirigido a los sitios web de los defensores de los derechos humanos. IRC también se utilizaba para realizar capturas de pantalla de hosts y descargar o actualizar un bot, entre otras cosas. Algunos bots pueden obedecer más de 100 órdenes. En 2004, presenciamos una enorme cantidad de nuevos bots, debido a la aparición de varias aplicaciones con interfaz gráfica de usuario que permitieron a los hackers crear bots con un simple movimiento de ratón. Esta simplificación supuso un gran avance para los ciberdelincuentes y programadores de malware: a partir de entonces, las personas que no sabían desarrollar programas ni sabían mucho de protocolos de redes y sistemas operativos pudieron crear una gran variedad de bots con un solo clic. Los bots localizados Los bots actúan casi exclusivamente en los sistemas Windows, pero también han surgido algunas versiones localizadas. Utilizando el lenguaje de programación Perl, los hackers han conseguido crear versiones capaces de ejecutarse en varios sistemas Unix y Linux. Los creadores fueron el grupo brasileño de hackers Atrix-Team, que por aquel entonces sólo se trataba de un grupo de chiquillos con conocimientos de programación. Debido a su formato de código "abierto", aún se pueden ver muchas de estas versiones hoy en día. Los bots P2P Las redes de bots de IRC de antaño aún son habituales, pero tiene un único defecto: el servidor IRC. Una vez que se cierra, el hacker pierde todo el control sobre el ejército de bots. En 2007, aterrizó una nueva clase de botnet que utilizaba el protocolo P2P, el mismo que utilizan numerosos programas para, por ejemplo, descargar música. Una de estas botnets utilizaba una implementación cifrada basada en el protocolo de edonkey. Este tipo de malware pronto se hizo muy famoso: se trataba del que originalmente se llamó W32/Nuwar, y posteriormente se conoció como gusano. El tenía alrededor de 100 peers codificados en valores de hash, que el malware descifra y utiliza para comprobar la existencia de nuevos archivos que poder descargar. Todas las transacciones se cifran, de modo que únicamente el propio malware pueda descifrar y actuar sobre la respuesta, que suelen dirigir a URLs que descargan otros archivos binarios. El fue responsable de la gran mayoría de spam de , hasta que pudo reducirse. La ventaja del modelo P2P radica en su sólida estructura de control distribuido, que resulta más complicada de cerrar que una botnet controlada por IRC. Sin embargo, debido a su complejidad, el mantenimiento y distribución de este tipo de redes de bots es más difícil. A finales de abril ya se pudo presenciar otro malware cuyo código se parecía en parte al de y que provocó envíos de spam y ataques de denegación de servicio. 4

5 Los bots HTTP Hace entre dos y tres años, se pudo observar un cambio en el control de numerosas redes de bots, ya que se pasó de IRC a los sitios web, utilizando el protocolo HTTP. Este cambio a un protocolo habitual fue un movimiento muy inteligente por parte de los ciberdelincuentes y programadores de malware. El paso al HTTP empezó con los primeros avances en los "paquetes de exploits". Entre estos paquetes, desarrollados en su mayoría por ciberdelincuentes rusos, se encuentran Mpack, ICEPack y Fiesta. Pueden instalar software en ordenadores remotos y controlarlos desde un sitio web remoto. Los ciberdelincuentes envían a las víctimas potenciales spam o mensajes instantáneos con una serie de enlaces, que les redirigen a un sitio web en el que está instalado el paquete de exploits. Una vez allí, el paquete determina qué exploit emplear en función del país, del sistema operativo, de la versión del navegador e incluso de las versiones de las múltiples aplicaciones cliente instaladas en el equipo de la víctima. Todo ello ocurre de forma dinámica y sin que la víctima se entere. El éxito del ataque permite instalar todo un cóctel de malware para poder controlar remotamente el equipo infectado. De todas las redes de bots HTTP actuales, un caso muy especial es el de Zeus (también conocido como Zbot), que está especializado en robar credenciales bancarias. Zeus consta de un elemento cliente y otro servidor. El servidor cuenta con un generador que ayuda al botmaster a crear una variante cliente del malware PWS-ZBot (su nombre técnico), para luego infectar los equipos y unirlos a la red de bots, conectándolos a un sitio web remoto que aloja el servidor Zeus. Zeus sigue una tendencia interesante: facilitar que cualquier persona pueda crear una versión personalizada del malware. El paquete de herramientas de Zeus tiene un precio bastante elevado, pero su autor se ha asegurado de que resulta fácil de manejar, lo que facilita su venta y, por tanto, contribuye a aumentar los ingresos del autor. La siguiente imagen es un ejemplo del generador Zeus, versión 1.2.x: En el lado izquierdo se muestran únicamente dos opciones: "Information" (información) y "Builder" (generador). Al seleccionar "Information", se puede saber si el equipo está infectado por Zeus, mientras que la opción "Builder" permite acceder al paquete de herramientas para crear un nuevo bot. El paquete de herramientas utiliza dos archivos de entrada: Config y WebInjects. Aunque la opción "Builder" dispone de un botón para editar el archivo Config, se trata tan sólo de un acceso directo, que redirige al bloc de notas para editar el archivo. El archivo Config contiene los parámetros a los que obedecerá el bot. 5

6 Ejemplos de Config: url_config " url_compip " encryption_key " " ;blacklist_languages 1049 end entry "DynamicConfig" url_loader " Este extracto de Config indica al bot dónde debe dirigirse para descargar el archivo de configuración y el propio bot. Esto garantiza que los dueños de los bots puedan actualizarlos y actualizar su configuración con nuevas funciones y nuevos objetivos en cualquier momento. Además, de este modo, quienes controlan los bots pueden distribuir el archivo de configuración y los archivos binarios del bot a diferentes servidores, lo que proporciona solidez gracias a la arquitectura distribuida. El segundo archivo para crear el bot es el WebInject. Este archivo especifica los objetivos, es decir, las víctimas de quienes el autor del malware o el propietario del paquete de herramientas quiere obtener información. Zeus no sólo es capaz de recabar información de la página web original, sino que también permite añadir campos adicionales. De este modo se puede obtener incluso más información si el propietario del paquete de herramientas así lo quiere. Ejemplo de WebInject: set_url G data_before <span class="mozcloak"><input type="password"*/></span> data_end data_inject <br><strong><label for="atmpin">atm PIN</label>:</strong> <br /> <span class="mozcloak"><input type="password" accesskey="a" id="atmpin" name="uspass" size="13" maxlength="14" style="width:147px" tabindex="2" /></span> data_end data_after data_end Este código extraerá información de la URL seleccionada, que en este caso se trata de un banco. Además de robar el nombre de usuario y la contraseña, Zeus inyectará otro campo para el número pin de la tarjeta. 6

7 Como suele suceder con el malware de éxito, Zeus creó varias versiones "pirata" de Builder. Algunos incluso accedieron a través de puertas traseras. Cómo se explica esta ironía? En la siguiente captura de pantalla se puede observar una versión pirata: Esta versión, llamada MultiBuilder, creó dos variantes basadas en la versión 1.3 de Zeus. Recientemente, Zeus ha pasado de la versión 1.3 a la 2.0, que ahora contiene un modelo de licencia muy estricto. Así que, de hecho, Zeus está unida al equipo físico del comprador a través de una licencia comercial de software. Desde luego, la creación y el canal de distribución de este malware hace gala de una sólida ética empresarial. Spy Eye Spy Eye es otro ejemplo de un bot HTTP complejo. Guarda algunas similaridades con Zeus, como principalmente que también sirve para extraer datos y tiene una impresionante arquitectura de control. Al igual que Zeus, Spy Eye cuenta con su propio generador con interfaz gráfica: 7

8 Una interesante característica de Spy Eye es su capacidad para eliminar a Zeus del equipo que infecta, lo que crea un interesante conflicto entre los programadores de malware de todo el mundo. Ésta no es la primera vez que se puede observar una lucha entre autores de malware. Y para evitar que sus objetivos los detecten, tanto Zeus como Spy Eye ofrecen la opción de utilizar una clave de cifrado durante el proceso de creación del bot. En las primeras versiones de Zeus, esta clave fue programada de forma explícita, lo que permite a las fuerzas de seguridad analizar y descubrir los objetivos del malware con mayor rapidez. Con esta nueva función, los ciberdelincuentes han pasado a otro nivel de juego. Presencia global Distribución general de redes de bots por países India Brasil Rusia Alemania Estados Unidos Gran Bretaña Colombia Indonesia Italia España Argentina Polonia Pakistán Portugal Vietnam Corea del Sur Grecia China Belarús Australia Figura 1: McAfee Labs ha detectado más infecciones por redes de bots en la India que en cualquier otro país, con casi 1,5 millones. Brasil, Rusia y Alemania también han superado el millón de infecciones detectadas. 8

9 Informe Brote de redes de bots: principales amenazas por países Alemania Argentina Belarús China Colombia Corea del Sur España Australia Brasil Estados Unidos Gran Bretaña 2 Grecia

10 India Indonesia Italia Pakistán Polonia Portugal Rusia Vietnam Figura 2: Las principales redes de bots, por países. es, con mucho, la red de bots más "popular" del mundo. El papel de los Gobiernos A tenor de la creciente amenaza que supone la ciberguerra y de los daños cada vez mayores que podría causar, es probable que en el futuro veamos redes de bots utilizadas como armas en los conflictos. De hecho, es posible que ya se estén utilizando. En un mundo cada vez más tecnológico, la importancia de unas comunicaciones eficaces para hacer frente a cualquier crisis es esencial. La organización de los recursos y conseguir que éstos puedan resistir ante desastres por causas naturales o humanas depende en gran medida de Internet, una herramienta esencial para transmitir información a una serie de partes interesadas y coordinar sus respuestas. El deterioro o la interrupción de ese flujo de información puede agravar un acontecimiento negativo. Por tanto, Internet puede convertirse en un nuevo escenario bélico. Acontecimientos como el reciente vertido de petróleo en el Golfo de México, los bombardeos en Europa e Irak, o la reyerta naval entre los coreanos pueden verse afectados por interrupciones dirigidas a la prensa o los equipos de respuesta a emergencias, que dependen de Internet. Las redes de bots se pueden adquirir o alquilar en el mercado negro, e incluso se pueden obtener a la fuerza de sus propietarios para luego usarlas para otros fines. Sabemos que estas cosas ocurren constantemente, por lo que sería un tanto ingenuo pensar que los organismos gubernamentales o los Estados de todo el mundo no van a adquirir ninguna red de bots para fines ofensivos y contraofensivos. Toda entidad civil o gubernamental tiene buenas razones para capturar una red de bots de sus dueños actuales. Las redes de bots se infiltran en las instalaciones de las empresas, los particulares y los organismos gubernamentales, así como en las estaciones de trabajo militares. Es de suma importancia que la propiedad intelectual y los derechos de privacidad de los ciudadanos y las instituciones de todo el mundo estén a salvo de aquellos que harían un uso ilegal de la información. Sin embargo, hacerse con el control de una red de bots obliga al nuevo controlador a elegir una estrategia: una opción consiste en apagar el sistema, 10

11 lo que puede inutilizar los equipos que son parte de la red de bots, causar interrupciones importantes en la infraestructura y acabar asumiendo la responsabilidad de los daños; o inhabilitar la red de bots hasta que todos los nodos infectados se actualicen y dejen de estar bajo su control; o bien supervisar la red de bots para identificar y capturar al botmaster. Se trata de una elección controvertida. Quién está expuesto al riesgo? Cualquier usuario informático corre riesgos, porque todos navegamos por la misma red de Internet. Sólo hay unas cuantas maneras en que los ciberdelincuentes pueden infectar un host o una red con sus bots (o con cualquier tipo de malware). Estas formas incluyen generalmente alguna forma de ingeniería social, lo que podría definirse como "piratear" la mente humana. Los atacantes utilizan cualquier artimaña o estratagema para inducir a los usuarios informáticos a pulsar sobre un enlace o instalar un programa que no desean. Una de las técnicas más inteligentes y extendidas utilizada actualmente por los ciberdelincuentes consiste en utilizar noticias destacadas como señuelo en sus tramas. Los ciberdelincuentes leen las mismas noticias que nosotros y saben que mucha gente utiliza Internet para consultar la prensa. Ya se trate de un enlace que supuestamente redirija a un vídeo de un desastre actual o a algún melodrama de un famoso, estas artimañas atraen a los usuarios como moscas a la miel. De hecho, estos atacantes podrían enseñar a los vendedores unas cuantas lecciones con sus conocimientos del comportamiento humano y de lo que los usuarios buscan en Internet. Así pues, debemos ser conscientes de los riesgos de navegar y utilizar las tecnologías Web 2.0, porque los ciberdelincuentes utilizan las noticias como medio de ataque. Todo el mundo debe tener cuidado con los ataques de ingeniería social, pero son las empresas y los Gobiernos los que pueden sufrir un mayor daño si son atacados por una red de bots. Algunas de las amenazas a las empresas incluyen: El fraude del clic: consiste en visitar páginas web y pulsar automáticamente sobre los anuncios de banner para robar grandes sumas de dinero a las empresas de publicidad online. Ataques de denegación de servicio distribuidos (DDoS): consisten en saturar el ancho de banda para impedir el el tráfico legítimo. Estos ataques suelen llevarlos a cabo la competencia, los clientes descontentos o las personas que se dedican a la política. Infiltración en el sistema de archivos: consiste en acceder a los sistemas críticos para robar datos de los clientes, información personal de los empleados, secretos comerciales, datos financieros de la empresa, etc. Deshabilitación de la seguridad existente: consiste en bloquear las labores de desinfección o en secuestrar una red de bots rival. Spam: consiste en utilizar los recursos y el ancho de banda de otros sistemas para enviar enormes cantidades de spam. Infección del código fuente: consiste en alterar todo el árbol del código fuente realizando modificaciones no autorizadas e indetectables o descubriendo vulnerabilidades que pueden ser explotadas. Los resultados de estos ataques pueden ser muy graves y tener un coste elevado para las empresas en términos de mano de obra y de tiempo de desinfección. Además, las empresas pueden perder sus certificaciones de cumplimiento de las normas del sector o normativas legales. Además, es probable que los clientes, empleados o cualquier parte afectada exija responsabilidades por la falta de unas medidas de seguridad adecuadas en la empresa. Para los Gobiernos y los propietarios de la infraestructura crítica, los daños de las redes de bots pueden tener incluso un mayor alcance: Los ataques de denegación de servicio (DoS) pueden interrumpir las comunicaciones durante una crisis. Las infecciones del código fuente pueden provocar cortes en las redes de importancia vital. Los sistemas de acceso crítico pueden ofrecer a los enemigos información militar. Una mirada al futuro En los últimos seis años, las redes de bots se han convertido en una de las mayores amenazas, no sólo para los profesionales de la seguridad cibernética, sino también para los usuarios empresariales y particulares, es decir, para prácticamente cualquier persona que tenga un ordenador. Las redes de bots han pasado a ser la infraestructura más esencial usada por los ciberdelincuentes y los Gobiernos para iniciar prácticamente todo tipo de ciberataques: desde la exfiltración de datos y el espionaje, hasta el spam y los ataques de denegación de servicio distribuidos. Los laboratorios McAfee Labs ya han observado una tendencia significativa hacia una infraestructura de redes de bots más distribuida y resistente, basada en tecnologías sólidas como el protocolo P2P, el control basado en la Web y los servicios Web 2.0, así como en técnicas tanto de evasión como de provocación de errores. 11

12 Nos encontramos ante una nueva era de zombis sociales? A medida que evolucionan los servicios Web 2.0, tambié evoluciona el trabajo de los creadores de redes de bots, ya que adoptan rápidamente nuevas tecnologías para aumentar la sofisticación de sus ataques. En la actualidad, KeriosC2 es una herramienta de prueba de concepto que viene a demostrar que Linkedln, Twitter y TinyURL pueden utilizarse para controlar redes de bots. Los usuarios informáticos de todo el mundo sacan enorme partido de las redes sociales, y ahora también las redes de bots. Pero, claro, esto no es ningún avance. Con el paso de las redes de bots a las aplicaciones y protocolos de uso más generalizado, sus comunicaciones serán cada vez más difíciles de detectar y evitar. En mayo se produjo un nuevo desarrollo, ya que algunos bots empezaron a utilizar Twitter para recibir comandos. Por el momento, esta funcionalidad es bastante simple; tan sólo vigila (o "rastrea") una cuenta de Twitter para recibir comandos. Como se puede apreciar en la siguiente captura de pantalla, se trata de un generador con interfaz gráfica de usuario muy sencillo. A diferencia de Zeus o Spy Eye, que son mucho más complejos, esta funcionalidad no contiene ninguna opción, tan sólo un campo para introducir el nombre de usuario de Twitter, que el robot rastreará para recibir comandos. En el momento de redactar este informe, la sintaxis y la estructura del comando también eran muy básicas:.visit: para abrir una página concreta..download: para descargar un archivo de una ubicación remota..ddos: para atacar a una víctima con una denegación de servicio. 12

13 Mejor cuanto más sigiloso Los creadores de redes de bots han adoptado múltiples maneras de evitar ser detectados por el software o los dispositivos de seguridad. Para ello, los creadores de malware suelen probarlo frente a las soluciones de seguridad de los principales proveedores y asegurarse así de que el riesgo de detección es ínfimo o nulo. Como resultado, los ciberdelincuentes y programadores de malware suelen anunciar su malware como "libre de detecciones". Las listas de control de acceso y la implantación de directivas basadas en la IP pueden ser medidas de control eficaces frente a las conexiones de los bots a los servidores de control. Los creadores de malware y redes de bots han respondido a este contraataque implantando algoritmos de flujo en lugar de usar listas IP programadas de forma explícita para sus servidores de comandos. Zeus utiliza esta técnica para generar dominios sobre la marcha. Ésta es una forma de combatir eficazmente los numerosos mecanismos de detección tradicionales basados en las listas negras. Los maleantes han desarrollado numerosas técnicas de evasión para las descargas desapercibidas, de modo que eludan los controles de los dispositivos de seguridad de redes. Un buen ejemplo de ello es la manipulación de la extensión de los archivos que lleva a cabo el generador Gh0st RAT (véase la siguiente captura de pantalla). La Operación Aurora y otras nuevas amenazas de malware han utilizado artimañas similares. Pero también existen otros muchos tipos de evasiones, desde la simple codificación hasta el cifrado (o incluso realizar un XOR entre dos valores), mediante las que los programadores de malware tratan de instalar su software en los equipos de las víctimas. Durante los últimos años, varias redes de bots de grandes dimensiones se han quedado fuera de juego. Para impedir que las medidas de seguridad tengan éxito y hacer que la infraestructura de la red de bots sea más fuerte y resistente, los botmasters han empezado a emplear nuevas técnicas. Ya hemos visto técnicas de flujo que permiten eludir mejor los servidores de control. Bastantes redes de bots furtivas, como o Nugache, también utilizan el protocolo P2P, a pesar de que resulta costoso de implantar y mantener. Los protocolos web, tanto cifrados como sin cifrar, tienen un uso muy extendido, y han pasado a reemplazar los comandos del protocolo IRC de uso más generalizado, principalmente porque estos puertos web pueden superar los firewalls de prácticamente todo el mundo, incluso en las redes empresariales con una supervisión más estricta. En McAfee Labs, estamos convencidos de que veremos tanto a los ciberdelincuentes como a los desarrolladores de redes de bots explotando el código de las tecnologías Web 2.0. He aquí otros avances que prevemos: Funcionalidades para múltiples navegadores para acceder no sólo a Internet Explorer y Firefox Mayor integración con las tecnologías de mensajería instantánea, como JabberZeuS, que ofrece un acceso rápido a datos bancarios y de otro tipo Mayor integración con otros tipos de malware, como Bredolad y Pushdo, para garantizar una mayor presencia en los sistemas de todo el mundo 13

14 La lucha a través de Global Threat Intelligence Dado que las ciberamenazas han crecido de forma exponencial y cada vez son más sofisticadas, los profesionales de la seguridad necesitan otro tipo de mecanismos para detectar y frustrar los ataques. Antes, bastaba una estrategia de defensa en profundidad, es decir, la superposición de varias tecnologías similares. Sin embargo, actualmente es necesario aprovechar la información correlacionada sobre amenazas de todo el mundo y de todos los vectores de amenaza. Esta información debe poder trasladarse a un amplio abanico de soluciones de seguridad, para que éstas puedan implantar directivas locales basadas en las últimas amenazas y, a su vez, compartir información, en una especie de infraestructura de seguridad global funcionando al unísono. McAfee está escribiendo un nuevo capítulo en lo referente a modelos de defensa en profundidad con Global Threat Intelligence, nuestro motor distribuido en red que recaba y correlaciona los datos sobre amenazas de todos los vectores de amenaza, crea un completo modelo de amenazas y ofrece protección en el mercado a través de una completa suite de soluciones de seguridad. Nuestras capacidades distribuidas en red trabajan codo con codo con los motores locales de las soluciones de McAfee y los mecanismos de aplicación basados en directivas para ofrecer la protección frente a amenazas más robusta y completa del mercado. Con las soluciones de seguridad de McAfee, nuestros clientes no sólo disfrutarán del intercambio de información, sino que además contarán con la certeza de que este intercambio se produce de manera significativa y contextual en función de su cargo y de su ubicación en la red. Referencias "Progress Made, Trends Observed" (Avance logrado, tendencia observada), Microsoft Antimalware Team. progress%20made%20lessons%20learned.pdf SecureWorks. Informes técnicos de McAfee Labs. Acerca de McAfee Labs McAfee Labs es el equipo de investigación mundial de McAfee, Inc. Con unos equipos de investigación dedicados en exclusiva a todos los vectores de amenaza, como el malware, la Web, el correo electrónico, la red y las vulnerabilidades, McAfee Labs recoge información gracias a sus millones de sensores y sus tecnologías de reputación distribuidas en red, como McAfee Artemis y McAfee TrustedSource. El equipo de McAfee Labs, integrado por 350 investigadores multidisciplinares de 30 nacionalidades distintas, realiza un seguimiento completo de todos los tipos de amenazas en tiempo real, identificando las vulnerabilidades de las aplicaciones, analizando y correlacionando los diferentes riesgos y ofreciendo soluciones correctivas instantáneas para proteger a las empresas y particulares. Acerca de McAfee McAfee, Inc., con sede en Santa Clara, California, es la empresa más grande del mundo dedicada a la tecnología de la seguridad. McAfee está decididamente comprometida a hacer frente a las peores amenazas de seguridad del mundo. La empresa proporciona servicios y soluciones proactivas y probadas que protegen sistemas y redes en todo el mundo, y permiten a los usuarios conectarse a Internet y navegar y comprar a través de la Web con seguridad. Respaldada por un equipo de investigación galardonado, McAfee crea productos innovadores que dotan a usuarios particulares, empresas, sector público y proveedores de servicios de la capacidad de demostrar el cumplimiento de las normativas, proteger los datos, evitar interrupciones, identificar vulnerabilidades y supervisar continuamente la seguridad, además de mejorarla. La información de este documento se proporciona únicamente con fines informativos y para la conveniencia de los clientes de McAfee. La información aquí contenida está sujeta a cambio sin previo aviso, y se proporciona "tal cual" sin garantías respecto a su exactitud o a su relevancia para cualquier situación o circunstancia concreta. McAfee, S.A. Avenida de Bruselas nº 22 Edificio Sauce Alcobendas Madrid, España Teléfono: McAfee y el logotipo de McAfee son marcas comerciales registradas o marcas comerciales de McAfee, Inc. o de sus empresas filiales en EE. UU. o en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Los planes, especificaciones y descripciones de los productos mencionados en este documento son únicamente a título informativo y están sujetos a cambios sin aviso previo, y se ofrecen sin garantía de ningún tipo, ya sea explícita o implícita wp_botnets_0710_ETMG