Transcripción

1 Índice Introducción... 3 Perspectiva general... 4 Criminalización del malware... 4 Aumento de las facilidades para desarrollar malware... 4 Las debilidades de las tecnologías actuales... 5 Otras tecnologías Spam... 7 Simbiosis malware - spam... 7 El problema... 7 Existe solución?... 8 Bots... 8 Posibles evoluciones... 8 Phishing... 9 Phishing y spam...9 Phishing y malware Phishing a la carta Adware / Spyware Algunos conceptos básicos Dificultades en el campo del malware Descargadores de adware y spyware Futuro Lucha por el liderazgo entre diferentes creadores de malware Primeros pasos hacia el malware de dispositivos móviles Índice 02

2 Introducción En el presente informe se van a analizar los acontecimientos más significativos del año 2004 en lo que a malware se refiere, incidiendo especialmente en los cambios y evoluciones acontecidos, así como en las implicaciones y las posibles tendencias derivadas. El objetivo fundamental es llevar a cabo un análisis reflexivo, manteniendo una doble finalidad: por un lado se intenta arrojar un poco de luz y perspectiva sobre la situación actual con la que nos enfrentamos en materia de malware, y por otro lado se trata de dilucidar las posibles pautas con las que habrá que enfrentarse en el futuro. Introducción 03

3 Perspectiva general En el año 2004 se han batido todas las marcas y registros en cuanto a aparición de nuevos especímenes de malware se refiere. Nunca antes se había producido una explosión tal y como la que se ha vivido este año. Las explicaciones pueden ser varias, entre ellas la criminalización del malware y el aumento de las facilidades para desarrollarlo. Criminalización del malware El conocimiento del colectivo hacker parece haber empezado a utilizarse con fines lucrativos. El envío masivo de spam, la consecución de ataques distribuidos de denegación de servicio (ddos) o el asalto de cuentas bancarias online son algunos ejemplos. Es el fin de una era fundamentalmente ociosa en el desarrollo de malware, en favor de una nueva época marcada por fines lucrativos, que conlleva inevitablemente algunos cambios peligrosos. Cabe esperar el empleo de técnicas cada vez más avanzadas y refinadas, y el despliegue de más versiones diferentes para cada código maligno y con menos tiempo entre versiones. Aumento de las facilidades para desarrollar malware Cada vez existe mayor acceso a la información necesaria para desarrollar malware. A esta circunstancia hay que añadir la cada vez más agresiva política de publicación de exploits dirigidos contra vulnerabilidades conocidas, en ocasiones sin estar aún disponibles los correspondientes parches. La disponibilidad de herramientas adecuadas facilita el desarrollo de código maligno, lo que unido a una actividad incentivada de forma lucrativa y facilitada mediante la disponibilidad de herramientas adecuadas, hace que se convierta en un serio problema. Perspectiva general 04

4 Las debilidades de las tecnologías actuales Los acontecimientos del año 2004 en materia de malware han evidenciado de forma rotunda las debilidades de las tecnologías anti-malware que se han venido utilizando hasta el día de hoy. Dichas tecnologías no son suficientes en sí mismas para lograr parar la avalancha de malware. Algunas de las tecnologías actuales permiten mitigar esta plaga, pero no ajustándose a un coste total de propiedad adecuado. Se necesitan, por tanto, nuevas tecnologías y nuevas formas de integrarlas manteniendo un coste total de propiedad razonable. Panda Software empezó hace unos años a vislumbrar el momento en el que las tecnologías antimalware tradicionales dejarían de ser eficaces, pronosticando una situación similar a la que se está viviendo hoy en día. Por eso, Panda Software lleva varios años invirtiendo recursos y esfuerzos en materia de investigación y desarrollo, impulsando proyectos destinados a engendrar un conjunto integrado de nuevas tecnologías, destinadas a equilibrar de nuevo la balanza en la lucha contra el malware. La nueva generación de tecnologías anti-malware desarrollada por Panda Software ha sido bautizada con el apelativo de Tecnologías TruPrevent y supone un hito histórico en la industria antivirus. Motores antivirus basados en firmas. Este sistema no consigue evitar que los creadores de malware sigan liberando especímenes capaces de eludir su detección. Las detecciones genéricas de muchas variantes de una misma familia de malware sólo suponen un obstáculo más para sus creadores, por lo que es necesario disponer de un cebo para llevar a cabo la correspondiente detección. El retraso que supone conseguir un cebo adecuado resta eficacia a los sistemas basados en firmas. Motores antivirus basados en algoritmos heurísticos. Su objetivo es conseguir detectar malware aún no conocido, pero el problema es conseguir un compromiso aceptable entre los falsos negativos 1 y los falsos positivos 2. Esta tecnología lleva tiempo en el mercado sin resultados satisfactorios. En la práctica, las compañías desarrolladoras de antivirus han mermado significativamente las posibles detecciones mediante algoritmos heurísticos para minimizar los falsos positivos, provocando más falsos negativos. Otras tecnologías NIDS (Network Intrusion Detection Systems). Estos sistemas proporcionan información útil para determinar procesos de propagación de malware en el segmento de red que monitorizan, pero al no ofrecer funcionalidades de respuesta automática a los mismos necesitan de la intervención humana para consultar los eventos, correlacionarlos y tomar las medidas oportunas. Cuando esto se logra ya es demasiado tarde, habiéndose registrado infecciones. Asimismo, estos sistemas únicamente detectan gusanos de red y gusanos de correo. NIPS (Network Intrusion Prevention Systems). Estos sistemas tienen la ventaja frente a los NIDS de ofrecer respuestas automáticas, ya que son capaces de responder a eventos que pueden evitar la propagación de determinado malware. Concretamente, pueden bloquear los intentos remotos de explotar vulnerabilidades conocidas. Para esos casos y los derivados de los gusanos de correo en general, la situación se corresponde con la descrita para los NIDS. 1 Falso positivo: se identifica como malware algo que realmente no lo es. 2 Falso negativo: se identifica como no-malware algo que realmente sí lo es. Las debilidades de las tecnologías actuales 05

5 HIDS (Host Intrusion Detection Systems). Tienen los mismos problemas que los NIDS y además cuentan con mucha menor información, ya que únicamente monitorizan el tráfico en la estación en la que se encuentran instalados. Algunos HIDS emplean mecanismos adicionales para la generación de evidencias útiles, además de la captura de tráfico de red. Este tipo de planteamiento puede resultar de utilidad a la hora de detectar malware que ya ha infectado, pero cuenta con la misma desventaja de todos los tipos de sistemas de detección de intrusos: requiere intervención humana cualificada, que casi siempre llega a destiempo. HIPS (Host Prevention Detection Systems). Combinan evidencias de red como los HIDS con la generación de respuestas automáticas propias de los NIPS. No se centran únicamente en las evidencias de red, por lo que tienen un valor añadido. A pesar de que algunas de las evidencias obtenidas por los HIPS pueden ser de utilidad a la hora de bloquear malware, requieren la intervención de personal cualificado. Las debilidades de las tecnologías actuales 06

6 Los principales eventos malware del año 2004 Tal y como ya se ha explicado, el malware en general ha experimentado un aumento explosivo durante el año A pesar de que dicha circunstancia comprende malware de todos los colores, tamaños y formas, la verdad es que es posible seleccionar un pequeño conjunto de eventos que han caracterizado el año 2004 en materia de malware, por encima de todos los demás: Spam Bots Phishing Adware / Spyware Lucha por el liderazgo entre diferentes creadores de malware Primeros pasos hacia el malware de dispositivos móviles Spam El spamming es el envío masivo de correos electrónicos con la finalidad de promocionar servicios, productos, estafas y timos de todo tipo. El spam por sí mismo supone una gran amenaza para Internet en cuanto a consumo de recursos que suponen un impacto económico. Simbiosis malware - spam Normalmente se distingue el spam del tráfico de correo electrónico generado por los gusanos de correo durante su propagación, aunque en ocasiones se emplea como medio para difundir malware que no puede propagarse (troyanos, keyloggers, etc.). De hecho, el spam constituye el principal mecanismo para la difusión de phishing. Esto es el inicio del fuerte vínculo que une al spam y al malware: gran parte del spam se origina en máquinas infectadas con alguna clase de malware. En un principio los spammers empezaron empleando servidores ajenos de envío de correo. A medida que esta práctica se fue popularizando, comenzaron a aparecer listas negras de servidores empleados para el envío de spam, haciendo que cada vez fueran menos los servidores que se podían emplear para el spam. Los spammers se vieron obligados a cambiar de estrategia, aprovechando el malware como alternativa. Caben destacar las llamadas botnets como uno de los orígenes más importantes de spam durante el año Dado que detrás del spam hay intereses lucrativos, y teniendo en cuenta las nuevas necesidades de los spammers, antes o después se creará malware capaz de distribuir spam, bien por parte de los desarrolladores de malware o por los spammers. El problema Se estima que el spam representa entre el 60% y el 70% del volumen total de correo electrónico que circula por la Red. Resulta difícil prever una tendencia al alza en cuanto al crecimiento que está experimentando el spam en la actualidad. El problema radica en que muchas de las actividades que emplean al spam como medio transmisor son ilegales, lo que hace pensar en una tendencia sostenida, cuanto menos. 07

7 Existe solución? Las medidas anti-spam se basan en algoritmos que clasifican y filtran el correo electrónico para subsanar los errores de diseño de SMTP, que ha quedado obsoleto. Se están lanzando diversas iniciativas para subsanar las deficiencias de SMTP que permitiría reducir el spam, como SPF (Sender Policy Framework) y Sender ID 3. La implantación progresiva de nuevas iniciativas, junto con el perfeccionamiento de las técnicas de filtrado actuales, conseguirán equilibrar la balanza en la lucha contra el spam, aunque, lamentablemente, no conseguirán desterrarlo. Bots La familia de malware que durante el 2004 ha experimentado el mayor aumento, tanto en el número de variantes detectadas, como en los daños provocados (implícitos y colaterales), ha sido la de los llamados bots o robots. La denominación bot se emplea para un tipo muy particular de malware que espera y procesa comandos recibidos de su creador, normalmente por IRC. Los Bots suelen ser capaces de realizar ataques distribuidos de denegación de servicio (ddos) y envío de spam. Un bot es capaz de propagarse bajo demanda mediante vulnerabilidades de servicios remotos, búsqueda de carpetas compartidas y de carpetas P2P donde copiarse. Normalmente es capaz de actualizarse e incluso de ampliar la lista de exploits para propagarse. Se han llegado a desmantelar redes de decenas e incluso centenas de miles de bots, una de las pruebas más sólidas que evidencian el giro que han dado las motivaciones de los creadores del malware hacia nuevos fines, fundamentalmente lucrativos. Posibles evoluciones El principal obstáculo en el despliegue de los bots lo conforman los firewalls y los proxies. Un firewall no debería permitir el acceso de los servicios con los que se propagan los bots. Por otro lado, con un proxy puede denegarse el uso de ciertos protocolos y el inicio de sesiones no autentificadas. Así, se hace muy difícil que los bots se comuniquen con servidores IRC externos y, por lo tanto, quedan inutilizados 4. Este tipo de elementos se encuentra desplegado dentro de entornos corporativos y, en cambio, entre los usuarios particulares no sólo no suelen existir, sino que hay más carencias. Los firewalls personales 5 deberían estar más extendidos. Lamentablemente, el despliegue de este tipo de medidas de seguridad se encuentra en sus albores. No es de extrañar, por tanto, que los bots se hayan cebado con los usuarios individuales. No obstante, a medida que los usuarios domésticos se protejan mejor, cabe esperar que los bots evolucionen para adaptarse y no quedarse atrás. 3 Esta propuesta trata de atajar el problema identificando los servidores de envío de correo asociados a cada dominio en particular. La imposibilidad de verificar el servidor de correo saliente empleado para el envío es uno de los aspectos que más ha favorecido el spam, ya que permite falsear la dirección de correo de origen sin dificultades. 4 Esto también puede conseguirse mediante filtros outbound en el firewall. Los filtros de tráfico de salida basados en el puerto de destino no resultan tan robustos como los basados en identificación de protocolo y en sesiones autenticadas. 5 Es importante no confundir un firewall personal con un firewall de perímetro. El primero filtra únicamente el tráfico de entrada y salida en la estación en el que se instala, mientras que el segundo filtra todo el tráfico en una red. 08 Copyright 2005 Panda Software International S.L., Todos los derechos reservados. Este documento tiene una finalidad informativa.

8 Nuevos vectores de ataque Los creadores de malware se verán forzados a encontrar nuevos vectores de ataque para evadir las medidas defensivas. Ya existen precedentes en 2004, con gusanos de correo que transportan bots. Por otro lado, algunos bots se descargan sin consentimiento mediante la ejecución de exploits contra los navegadores. La intención siempre es saltar el cerco impuesto por el perímetro. El siguiente es infectar muchas estaciones dentro de un mismo perímetro. Por ello, la lista de exploits seguirá creciendo y renovándose y será cada vez más frecuente la actualización, incluyendo exploits dirigidos contra vulnerabilidades cada vez más recientes buscando el factor sorpresa. Anulación y evasión de firewalls personales Según se extienda el uso de firewalls personales, los creadores de malware tendrán que implementar mecanismos para anularlos o evadirlos. Si el entorno fácil (el doméstico) se complica, los hackers no tendrán más remedio que afrontar las nuevas dificultades (en este caso los firewalls personales). En 2004 se han dado los primeros pasos con la aparición de malware que trataba de desactivar firewalls y antivirus. Esta estrategia incrementa el riesgo de que el malware sea descubierto. Los fabricantes de soluciones de seguridad harán todo lo posible para evitar desactivaciones no deseadas. Los hackers se están empezando a preocupar por los firewalls personales y están investigando formas de evadirlos sin tener que desactivarlos de forma forzosa. El IRC, empleado entre los bots para comunicarse, será cada vez más difícil de utilizar sin levantar sospechas. El esquema de comunicación basado en conexiones IRC plantea un riesgo alto por las posibilidades de perder el control sobre una red de bots en particular. Se emplearán protocolos alternativos o canales de comunicación encubiertos (covert channels) como sesiones IRC encapsuladas dentro de tráfico SMTP. Phishing El phishing es un tipo de estafa electrónica cuyo objetivo es el robo de datos personales para obtener beneficios económicos directos o indirectos. Fundamentalmente son datos financieros, pero también nombres de usuarios y contraseñas de sitios web y otro tipo de datos. Phishing y spam Cuando se habla de phishing mediante spam, la falsificación de la dirección de correo es necesaria, para conseguir mayor credibilidad y mayores garantías de éxito. El funcionamiento del phishing es sencillo: se envían s -supuestamente de un banco- que incitan a los usuarios para validar sus datos en un sitio web. Éste tiene la apariencia del sitio web original del banco, pero en realidad está controlado por los phishers. Este esquema es más complejo cada vez, y todo hace pensar que se va a ver potenciado de cara al futuro. El phishing no es una técnica basada en la ingeniería social, sino que los phishers ponen en práctica técnicas para aprovechar vulnerabilidades y fallos de seguridad para ofrecer una apariencia más real de su sitio web falso. La lista de trucos es muy grande, pero cabe destacar los que permiten falsear la dirección mostrada para un enlace proporcionado incluso en la barra de direcciones de un navegador. 09

9 Entre las técnicas de última generación, cabe mencionar el aprovechamiento de vulnerabilidades Cross Site Scripting 6 residentes en los mismos sitios web originales. Así, se podría emplear el sitio web original para ejecutar código para capturar los datos pretendidos, con la ventaja de prescindir del sitio web falso. Las técnicas empleadas por los phishers se centran en las estaciones de los usuarios, particularmente en los navegadores web. No obstante, el caso del Cross Site Scripting debe servir de advertencia a los bancos también. Phishing y malware Cuando los usuarios, con una formación adecuada, dejen de visitar los sitios web maliciosos, los phishers tendrán que buscar otros medios. Cabe esperar una tendencia al alza en el aprovechamiento de vulnerabilidades y fallos de seguridad. Durante 2004, los correos de phishing incluían un exploit que provocaba la ejecución arbitraria de código, con el objeto de incluir una nueva entrada en el fichero de resoluciones DNS HOSTS 7, para que cuando el usuario introdujera la dirección de un sitio web financiero en particular, el navegador le redireccionara a un sitio web malicioso idéntico al genuino. El ejemplo anterior puede dar una idea del potencial de las vulnerabilidades y los fallos de seguridad y resulta mucho más inquietante la posibilidad de que se emplee para la instalación de malware especializado en el sistema. La utilización del malware para el phishing es una de las tendencias que cabe esperar, y de hecho ya se está empezando a experimentar. Las vulnerabilidades se están empezando a explotar para la instalación de troyanos que solamente actúan cuando el usuario visita determinados sitios web y así son capturados los datos introducidos. La instalación de este tipo de malware especializado en phishing deja las puertas abiertas a otras posibilidades, como el contagio a través de sitios web maliciosos durante la navegación. La popularización del malware dedicado al phishing traería consigo el acercamiento hacia el spyware y la posibilidad de híbridos peligrosos. Phishing a la carta A diferencia de lo que ocurre con otras formas de malware, el phishing puede llegar a ser una actividad rentable. Para que una red de bots sea rentable debe ser grande, lo que implica un gran despliegue. Con el phishing, sin embargo, es posible elaborar estrategia personalizada y centrada en pocas víctimas. El phishing a la carta supone un gran reto para la industria, así como para las entidades y organismos elegidos como blancos. Adware / Spyware El adware y el spyware representan algunas de las especies de malware que mayor aumento relativo han experimentado durante el Su fin está estrechamente relacionado con la obtención de datos personales, captura de hábitos de navegación, gustos, etc. y la personalización de la publicidad. Ambas especies llevan a cabo diversas acciones para alcanzar sus objetivos, entre ellas la instalación de plug-in s o el cambio de preferencias del navegador. 6 Ciertas aplicaciones web alojadas no filtran adecuadamente los datos introducidos por los usuarios que las utilizan. Cuando esto ocurre es posible enviar código HTML entre los datos sin que la aplicación web se cerciore, de manera que el resultado devuelto incluya dicho código. Cuando el navegador del usuario recibe la respuesta interpreta y ejecuta el código HTML de la respuesta, incluyendo el código inyectado entre los datos de entrada proporcionados. 7 El fichero de HOSTS permite construir una lista de pares de resolución dominio-dirección IP que prevalecen sobre las peticiones DNS estándar. Por lo tanto, cuando el sistema necesita traducir un dominio en su correspondiente dirección IP, primero consulta este fichero y, en caso de no encontrar referencia alguna al dominio buscado, procede a realizar una petición DNS estándar a través de la red. 10

10 Algunos conceptos básicos En las definiciones de los términos adware y spyware no ha existido consenso, lo que ha hecho que se difuminen sus diferencias. Originalmente el adware era el software que se instala con freeware o shareware a condición de permitir su uso total o parcial de forma gratuita. Dicho tipo de software está obligado a identificar el adware que pretenda instalar, así como las finalidades buscadas con el mismo. Este adware legítimo se utiliza para ayudar a financiar el software que lo incluye y no se suele considerar malware. Hoy en día el término adware se utiliza para designar el software que se instala sin consentimiento y es susceptible de tratarse como malware. Cada vez más, el término adware aparece vinculado al de malware. La palabra spyware se utiliza para identificar el adware que incluye el robo de información de carácter personal. Dificultades en el campo del malware Las mayores dificultades se encuentran en su clasificación. El modo en el que se instalan y la información dada sobre sus finalidades determinan su clasificación. Cabe destacar que algunas compañías distribuyen de forma legítima su adware en aplicaciones comerciales o incluso mediante la instalación voluntaria desde su correspondiente sitio web y utilizan a terceros para su instalación fraudulenta. Este doble uso entorpece la toma de decisiones sobre su clasificación, lo cual repercute finalmente en los usuarios. Otra dificultad consiste en confirmar que se produce cesión de datos de carácter personal, por lo que en ocasiones se reclasifica adware como spyware y viceversa. Descargadores de adware y spyware Uno de los efectos del importante crecimiento del adware y el spyware es la popularización de los descargadores (Downloader). Este software hace de puente entre la estación y el adware / spyware. Los descargadores se instalan en el sistema sin informar debidamente de sus intenciones. Durante el año 2004, se produjo el índice de detección más alto de una de las variantes de este tipo de malware, concretamente Downloader.GK. Futuro Se está empezando a experimentar un acercamiento entre el malware dedicado al phishing y el spyware, no sólo en términos de finalidades compartidas (robo de datos de carácter personal), sino también en las técnicas empleadas. Cada vez es más común ver spyware empleando técnicas típicas de troyanos, así como troyanos utilizando técnicas del spyware o el adware. Uno de los recursos típicamente utilizados consiste en instalar plug-in s para Internet Explorer. Esta función se lleva a cabo a través de un objeto COM conocido como BHO (Browser Helper Object). Los BHO se diseñaron para mejorar la flexibilidad y personalizar Internet Explorer. Esta característica ya se ha empezado a ver en algunos troyanos. 11

11 Lucha por el liderazgo entre diferentes creadores de malware Durante el 2004 se sucedieron una serie de escaramuzas entre diversos especímenes de malware. Lo que en principio parecía una mera lucha egocéntrica entre sus creadores se reveló como una lucha por reunir el mayor número posible de víctimas para formar una red desde la que perpetrar actividades fraudulentas. Los creadores de malware implicados no trataban de demostrarse a sí mismos sus habilidades, sino que querían poner en marcha pruebas piloto para atraer la atención del mejor postor. Gusanos de la familia Netsky deshabilitaban gusanos MyDoom o Bagle, y los Bagle trataban de eliminar los gusanos Netsky. Además, instalaban puertas traseras en los sistemas que permitían la descarga y ejecución de cualquier tipo de malware. Dentro de la competición llevada a cabo, cabe destacar el gusano Dabber, que se propagaba mediante una vulnerabilidad en el servidor FTP instalado por Sasser (otro gusano de red). El concepto de la competición entre los creadores no es nuevo, pero durante el año 2004 se recrudeció; y unido a las crecientes sospechas de finalidades económicas, refuerzan la teoría sobre la criminalización del malware. Primeros pasos hacia el malware de dispositivos móviles En el año 2004 se dio la señal de salida en la carrera hacia el desarrollo de malware orientado a dispositivos móviles. Se asistió a la publicación de prototipos de malware destinados a dispositivos móviles más allá de simples pruebas de concepto. Cabe destacar las diferentes variantes de Cabir -centradas en dispositivos Symbian- que contaban con características de propagación vía Bluetooth. Afortunadamente, esto limitaba su radio de acción a la proximidad de otros dispositivos vulnerables. Los dispositivos móviles representan un terreno virgen. Dado el cambio de motivaciones y propósitos perseguidos por los creadores de malware (cada vez más lucrativos), caben esperarse especímenes funcionales y efectivos destinados a dispositivos móviles. La política de los fabricantes de estos dispositivos, incorporando nuevas funcionalidades para el usuario, así como las facilidades de integración de los desarrolladores, crea un caldo de cultivo que será aprovechado por los creadores de malware. Esto adquiere especial relevancia cuando cada vez hay un menor número de sistemas operativos para estos dispositivos, asignando mayores cuotas de mercado para cada alternativa y facilitando la creación de software y de malware. 12