La nueva realidad de los programas delictivos sigilosos

Transcripción

1 Informe La nueva realidad de los programas delictivos sigilosos Dave Marcus, director de investigación en seguridad y comunicaciones en los laboratorios McAfee Labs, y Thom Sawicki, estratega de productos de Endpoint Security Software and Services en Intel Corporation

2 Índice Introducción 3 Cuando el malware echa raíces 3 Los daños 4 Una historia que ha dejado de ser de altos vuelos: por qué todos los responsables informáticos deben preocuparse 5 Antología básica del malware sigiloso 5 Stuxnet: un gusano en la centrifugadora ( A worm in the centrifuge ) 5 Zeus: el padrino de los botnets 6 Zeus en acción 7 La ofensiva contra los rootkits 7 Las defensas deben ir más allá del sistema operativo 7 2

3 Consideremos el sigilo, la creatividad y la paciencia de Stuxnet. Añadamos la comercialización, la amplia distribución y la facilidad de uso de Zeus. Pensemos que, a pesar de sus muchos años de actividad, a fecha de mayo del 2011 ninguno de estos equipos de ciberdelincuentes ha sido descubierto. Sólo en ese momento podremos comprender la fórmula y la potencia del malware de hoy. Así pues, se hace imprescindible contar con una planificación, ya que se necesita algo más que firmas y protecciones a nivel del sistema operativo para proteger la propiedad intelectual y otros activos de los delincuentes que utilizan estas armas. Introducción El sigilo es el arte de moverse sin ser detectado o de hacerse invisible. La tecnología sigilosa permite a los aviones militares, a los ninjas y al malware acercarse silenciosamente al enemigo para lanzar un ataque, obtener información o hacerse con el control de sistemas y datos. Aunque las técnicas sigilosas se utilizaron en ataques complejos como el Conficker o la Operación Aurora, el ataque Stuxnet fue toda una novedad y sentó nuevos precedentes en lo referente a cómo los delincuentes pueden utilizar estas técnicas para robar información o atacar a determinados sistemas informáticos. Las innovaciones de Stuxnet incluían una combinación de cinco vulnerabilidades de día cero, tres rootkits y dos certificados digitales robados. Por otra parte, los potentes conjuntos de herramientas, como las herramientas delictivas de Zeus, han conseguido que desarrollar malware sigiloso sea coser y cantar y no una tarea propia de los programadores más versados. Si bien no hay cifras definitivas del sector, los laboratorios McAfee Labs estiman que alrededor del 15% del malware utiliza técnicas sigilosas complejas para encubrir y difundir amenazas maliciosas que pueden provocar grandes daños 1. Estos ataques son la piedra angular, el componente persistente, de las amenazas persistentes avanzadas. Las innovaciones de Stuxnet junto con los conjuntos de herramientas de programación fáciles de usar como Zeus se traducen en que estos ataques sigilosos complejos se producirán más a menudo y amenazarán los objetivos empresariales principales. Esta será la nueva realidad de los programas delictivos, por lo que las empresas deberán adoptar nuevas herramientas para combatirlos que vayan más allá del sistema operativo tradicional. Cuando el malware echa raíces Las técnicas sigilosas permiten que el malware se adhiera a los endpoints vulnerables de cualquier sector, organismo u organización. Cuando el malware echa raíces en un sistema, los atacantes pueden obtener sin problemas información, recursos informáticos o disfrutar de un lugar privilegiado fuera de toda vista desde el que hacer un reconocimiento. Cuando un sistema ha sido infectado, el atacante puede moverse libremente por la red en busca de vulnerabilidades e información. Una de las cosas más importante que es necesario saber sobre el malware sigiloso como Stuxnet y Zeus es que verdaderamente se convierte en el propietario de los equipos de los que se apodera. Con los rootkits que operan a nivel de usuario, kernel y firmware, el malware puede esconderse, multiplicarse, protegerse a sí mismo de la sobreescritura y desactivar la protección antivirus y otras defensas 2. Dado que el atacante controla el sistema, también puede utilizar técnicas sigilosas para limitar el riesgo de ser descubierto. Los programas delictivos son capaces de reducir al mínimo el impacto en el sistema del usuario, ocultar el movimiento de información en una red de área local, eliminarse y reinstalarse, actualizarse mediante Internet o moverse entre máquinas. Se introducen en el sistema bajo una apariencia inocente y, una vez allí, el código permanece en estado latente aguardando el momento propicio para activarse, descargar su carga nociva y corromper el sistema. Muchos rootkits se pueden reparar a sí mismos e instalarse de nuevo desde un lugar oculto tras haber limpiado el sistema, lo que prolonga el período de permanencia del atacante en el sistema infectado. Quizá estos son los más devastadores, porque si TI cree que ha resuelto el problema, puede pasar por alto futuras alertas del sistema. De esta manera, el atacante puede utilizar el sistema infectado como un refugio seguro a largo plazo. 3

4 Los daños Las organizaciones invierten mucho tiempo y dinero en hacer un seguimiento de los hosts infectados y en recuperarse de las pérdidas de información que suponen. Hoy en día, la mejor práctica para eliminar cualquier infección de software sigiloso consiste en restaurar una copia de seguridad en buen estado o una imagen de confianza. Sin embargo, si el código sigiloso ha permanecido en estado latente durante períodos prolongados, esa copia de seguridad que se considera segura puede no serlo. El recurso más seguro puede ser formatear el equipo y restaurar el sistema operativo y las aplicaciones. La limpieza tiene sus costes. Volver a instalar las imágenes puede durar cinco horas por cada equipo e impide al técnico de TI y al usuario dedicarse a tareas más productivas. A medida que las técnicas sigilosas aumentan en complejidad, los costes de limpieza no pueden más que aumentar. Dado que algún malware puede reencarnarse después de reinstalar las imágenes originales, la estrategia más prudente utilizada hoy en día consiste en reemplazar los equipos infectados, lo que supone un alto coste de capital y productividad. La mayoría de las empresas sólo dan a conocer las filtraciones cuando así lo exige la normativa (normalmente cuando se pierden datos personales), de manera que los costes tangibles pueden ser difíciles de evaluar. Sin embargo, podemos observar algunas tendencias a través de las siguientes cifras: Rápida difusión: los laboratorios McAfee Labs han detectado hasta 6 millones de infecciones nuevas de botnets en un mes. Aumento de la tasa de pérdidas de información: los ataques maliciosos fueron la causa principal del 31% de las fugas de datos analizadas en el estudio de 2011 Cost of a Data Breach (estudio sobre el coste de las fugas de datos) del Ponemon Institute, el porcentaje más alto en los cinco años de historia del estudio 3. Aumento de los costes de las fugas de datos: un registro filtrado tiene un coste promedio de 214 dólares, mientras que la fuga de datos cuesta por término medio unos 7,2 millones 4. Riesgo de incumplimiento de normativas: alrededor de tres cuartas partes de las empresas analizadas por Evalueserve en 2011 afirmó que el descubrimiento de amenazas y vulnerabilidades supuso el mayor reto de la gestión de riesgos 5. Costes de productividad: formatear un sistema tiene un coste medio de cinco horas laborales del administrador de TI y cinco horas más del usuario (10 horas en total). Si el coste aproximado por endpoint es de 585 dólares, en una empresa de nodos una tasa de infección del 1% equivaldría a dólares en costes de limpieza. Rootkits binarios exclusivos descubiertos (acumulativo) Ene Feb Mar 09 Abr 09 May 09 Jun 09 Jul Ago Sep Oct Nov Dic Ene Feb Mar 10 Abr 10 May 10 Jun 10 Jul Ago Sep Oct Nov Dic Ene Feb Mar 11 Figura 1. La investigación de McAfee ha documentado el crecimiento continuado de los rootkits sigilosos, que han pasado de las 42 muestras de 2007 hasta los casi 2 millones de hoy en día. 4

5 Una historia que ha dejado de ser de altos vuelos: por qué todos los responsables informáticos deben preocuparse La historia de la alta tecnología demuestra que las técnicas que tienen éxito con el tiempo salen de los nichos exclusivos para generalizarse. Las técnicas se combinan y se vuelven a combinar en variaciones infinitas. Así pues, cuando se combinen las estrategias de ataque de Stuxnet y Zeus, las marcas comerciales y los gobiernos no serán los únicos que sufran las consecuencias. Un hacker decidido puede construir herramientas que tengan por objetivo las joyas de la corona de cualquier empresa: Información de tarjetas de crédito de minoristas y procesadores de transacciones. Campañas de lanzamiento al mercado y campañas de promoción de agencias publicitarias y empresas de bienes de consumo. Registros sanitarios de los empleados de las empresas que cuentan con seguros propios. Datos de los sistemas de geolocalización (GIS) de las empresas energéticas dedicadas a la exploración. Código fuente de las empresas de desarrollo de software. Diseños de productos de fabricantes. Antología básica del malware sigiloso Los hackers profesionales aprenden pronto a encubrir su rastro durante tanto tiempo como sea posible. Los rootkits son una de las herramientas preferidas, ya que pueden atacar cualquier sistema, desde servidores de bases de datos hasta terminales punto de venta, teléfonos móviles o sistemas electrónicos automovilísticos. Dado que los rootkits pueden operar desde el interior y por debajo del sistema operativo, pueden disfrazar u ocultar los archivos, los procesos y las claves del registro que otro malware haya tocado. Estas características convierten a los rootkits en componentes vitales de las amenazas en varias etapas. Veamos dos ejemplos prácticos: Stuxnet y Zeus, que subrayan la necesidad imperiosa de que las herramientas contra los programas maliciosos vayan más allá del sistema operativo. Stuxnet: un gusano en la centrifugadora ( A worm in the centrifuge 6 ) Según apunta todo, el ataque Stuxnet fue diseñado para irrumpir en los sistemas de control industriales de los programas nucleares iraníes. Stuxnet utilizaba rootkits tanto en modo kernel como en modo usuario además de un rootkit dentro del controlador lógico programable (PLC) que no se había visto hasta ese momento. Los rootkits en modo kernel y en modo usuario escondieron archivos, tras lo cual descifraron e inyectaron el código en los procesos que se estaban ejecutando. La versión de la primavera de 2010 del rootkit en modo kernel incluía controladores de dispositivo firmados y robados para que el rootkit se mostrara ante el sistema operativo como código legítimo. Este conjunto de malware complejo se combinó con cuatro vulnerabilidades de día cero de Microsoft Windows para distribuir y encubrir la carga maliciosa hasta que encontrara su objetivo. Posteriormente, el rootkit específico destinado a los controladores lógicos programables (PLCs) aprovechó una vulnerabilidad de Siemens desconocida hasta entonces. El rootkit para el PLC llegó encubierto por una capa adicional, una envoltura maliciosa que aisló el PLC de los sistemas de control que operaban varias centrifugadoras utilizadas para enriquecer el combustible nuclear. La envoltura interceptó las llamadas al PLC y comunicó al control que todos los sistemas estaban funcionando correctamente cuando, en realidad, el malware había reprogramado las centrifugadoras para inutilizarlas. Lo que hace un botnet - Distribuye spam (los zombis pertenecientes a los 10 principales botnets envían más de mensajes de spam al día, lo que equivaldría a aproximadamente 134 mil millones diarios). - Inicia ataques de denegación de servicio distribuido (DDoS) contra empresas objetivo. - Accede a los archivos de las redes infectadas, como el código fuente de productos nuevos. - Registra las pulsaciones de teclas para averiguar información personal y robar identidades. - Roba software legítimo para revenderlo. - Roba dinero de los anuncios de pago por clic. La combinación de Stuxnet de rootkits de bajo nivel y de vulnerabilidades desconocidas, junto con variados activadores, puede ser la amenaza a la seguridad más compleja que los investigadores hayan podido analizar públicamente 7. 5

6 Zeus: el padrino de los botnets Desde siempre, escribir malware sigiloso ha sido una tarea bastante compleja y, por lo tanto, era relativamente raro. Sin embargo, las operaciones comerciales de programas delictivos como Zeus han hecho cambiar todo el panorama. Mientras que en enero de 2007 McAfee encontró 43 muestras de rootkit, en julio de 2010 esta cifra ascendió a las muestras, lo que pudo coincidir con la divulgación pública de Stuxnet. La organización de Zeus funciona como muchos desarrolladores de software comercial. Además del proceso de distribución formal de versiones que incluyen pruebas beta, Zeus divulga su saber en un conjunto de herramientas gráficas tan fáciles de utilizar que hasta alumnos de informática de secundaria podrían hacerlo. Los franquiciados de Zeus pueden crear rápidamente rootkits en modo kernel para construir un botnet de hosts infectados. El fenómeno de la informática distribuida en Internet también ha llegado a Zeus. Los reticentes a programar pueden alquilar o comprar botnets Zeus en funcionamiento para hacer campañas de spam, ejecutar ataques de DDoS o explorar tipos específicos de información, como derechos de propiedad. Figura 2. Las herramientas de Zeus Spy Eye ayudan a los desarrolladores de malware a crear fácilmente software malicioso encubierto y sigiloso. Al igual que las drogas, las muestras de cosméticos o las pruebas de conducción, el primer conjunto de herramientas de Zeus es gratuito. Pero para muchos no es suficiente. Desea una red virtual (VNC) para controlar remotamente el host y ver la pantalla, los clics del ratón y qué teclas se pulsan? Pues serán 500 dólares. Con esa opción, se ofrece de regalo una actualización de inyección de código en Firefox, que permite agregar campos en cualquier aplicación del navegador. Originalmente diseñada para robar credenciales de los bancos, esta funcionalidad de Zeus permite capturar cualquier otra información valiosa, como datos de inicio de sesión de las cuentas de administrador y aplicaciones internas, o números de DNI, tarjetas de crédito o teléfonos móviles. Zeus es ahora el recurso principal de los ladrones de información 8,9. Zeus en acción Por lo general, Zeus se distribuye mediante sitios web o correos electrónicos infectados. Posteriormente, los delincuentes desvían el tráfico a un sitio web de phishing (sitio web falso), donde una descarga instalará el troyano sin que el usuario intervenga. Para atacar directamente a una comunidad de usuarios específica, es posible que el atacante coloque un troyano Zeus en un sitio auténtico y legítimo. Por ejemplo, si desea hacerse con los planos de diseño de un fabricante de automóviles, podría instalar su código en un sitio web que presume de ser el principal recurso online para los diseñadores de automóviles. 6

7 Los atacantes también pueden incluir sus troyanos Zeus en anexos del correo electrónico, como los PDF corruptos. La utilización de correos electrónicos de phishing, personalizados mediante ingeniería social o redes sociales, aumentará a medida que los atacantes se esfuercen en obtener información específica o en hacerse con los sistemas vulnerables dentro de organizaciones concretas. El conjunto de herramientas de Zeus es sólo un ejemplo. En el último trimestre de 2010 se ofrecían al menos otro tres conjuntos de herramientas de bajo coste para crear ataques y construir botnets utilizando ataques compilados previamente. La cantidad de conjuntos de herramientas disponibles que se basan en la Web y en servidores explica por qué los laboratorios McAfee Labs detectan diariamente alrededor de muestras nuevas de malware. Recientemente, el código fuente del troyano Zeus se publicó en varios sitios web clandestinos. Esta divulgación de código fuente de malware brinda a los desarrolladores de programas delictivos la oportunidad de conseguir herramientas derivadas para sus propios objetivos maliciosos. Como cualquier programador sabe, partir de la base de un programa que ya funciona da un gran impulso a cualquier proyecto. Con el código fuente a mano, un desarrollador avispado puede modificar Zeus para atacar a usuarios o información específicos al mismo tiempo que incorpora tácticas sigilosas más astutas, lo que presagia una oleada aún mayor de ataques nuevos de día cero. La ofensiva contra los rootkits Las empresas han implantado numerosas capas de herramientas de seguridad contra los hackers y el malware tradicionales. Estas herramientas siguen siendo importantes porque la técnicas maliciosas no se jubilan nunca. El arsenal de herramientas de los hackers no hace más que aumentar, de manera que los hackers éticos también deben reforzar el suyo. Los rootkits plantean un reto particular porque los desarrolladores conocen a fondo el funcionamiento del sistema operativo, los controladores de los dispositivos y otros componentes de software. Con este conocimiento en profundidad, burlan el software de seguridad incorporado en la mayoría de los sistemas operativos. Pocas herramientas de seguridad actuales funcionan contra algunos rootkits de hoy en día. Herramientas como los exploradores de virus y los sistemas de prevención de intrusiones en el host funcionan en el nivel del sistema operativo y por encima de él, y pueden explorar la memoria y supervisar los privilegios del modo usuario para detectar y dejar sin efecto los rootkits de nivel relativamente alto, en modo usuario. Sin embargo, las técnicas sigilosas que operan en el kernel y por debajo de él vuelan fuera del radar de las herramientas tradicionales del sistema operativo, de análisis de vulnerabilidades y de búsqueda de virus. Los rootkits en modo kernel tienen privilegios de sistema, de manera que es más difícil detectarlos y reparar el daño. Stuxnet y Zeus demuestran hasta qué punto el ciberdelito de hoy es mucho más complejo si se compara con el de hace sólo unos años. Las defensas deben ir más allá del sistema operativo Los delincuentes actuales saben cómo funcionan el software y las herramientas de protección, y cada vez con mayor frecuencia utilizan este conocimiento para eludir las soluciones de seguridad. Con algo más de dos décadas de experiencia jugando al ajedrez con los ciberdelincuentes, los investigadores de McAfee e Intel creen que se necesita un nuevo planteamiento para detectar y bloquear el malware sigiloso. Debemos poner en práctica nuestro conocimiento sobre los equipos y los delincuentes e ir más allá del sistema operativo, utilizando nuestra capacidad de investigación y herramientas de protección de nuevas formas. Para contener las amenazas de tipo rootkit, la protección de las empresas deberá dejar atrás las pilas de software tradicional para supervisar los movimientos y convertirse en una nueva visión estratégica más cercana e integrada con el hardware. Sabemos que debemos actuar con rapidez. Zeus ya está afectando a los móviles. Hemos descubierto rootkits para los dispositivos Android, y los ataques contra este sistema operativo van en aumento. Es sólo cuestión de tiempo que este tipo de malware se dirija sistemáticamente a toda la gama de dispositivos interconectados, integrados y móviles. Hasta hace poco, la mayoría de proveedores de seguridad se centraban en la pila de software, ya que era donde se producían las amenazas. Dado que los rootkits descienden de los niveles usuario y kernel hacia los de arranque, hipervisor y firmware, los investigadores en seguridad están trabajando con los fabricantes de hardware para migrar la seguridad a niveles inferiores de las plataformas. 7

8 Cuando se anunciaron el programa McAfee Embedded Security y los planes de productos con WindRiver, McAfee recomendó a las organizaciones que empezaran a plantearse establecer relaciones de confianza para que sólo el software aprobado ejecutara o alterara el código. McAfee e Intel ya están trabajando para poner en práctica sus conocimientos de seguridad, software y sistemas, y adelantarse así a los nuevos programas maliciosos como el malware sigiloso, incluso en su paso de los ordenadores personales a los smartphones, a los controles industriales y a todo tipo de dispositivos inteligentes. En los próximos años, las empresas se renovarán y adoptarán nuevas formas de endpoints, implantarán redes de mayor ancho de banda y ampliarán la infraestructura para incorporar los dispositivos móviles. A fin de que las organizaciones, empresas y organismos estén protegidas frente a las infecciones de malware sigiloso, las soluciones de seguridad elegidas deben incluir productos cuya seguridad vaya más allá del sistema operativo. En cada capa de seguridad que se despliegue, desde la autenticación, hasta el cifrado, la inspección o los certificados de confianza, la protección más eficaz contra el malware sigiloso sacará mayor partido de los componentes de la plataforma y se extenderá a ellos. La nueva generación de soluciones de seguridad abarcará hasta el primer ciclo del equipo y ofrecerá una protección continuada. Si desea más información, visite Acerca de los autores Dave Marcus actualmente es director de investigación en seguridad y comunicaciones de los laboratorios McAfee Labs. Su labor principal es hacer llegar a los clientes de McAfee y a la comunidad global de seguridad la amplia investigación en seguridad y la información global sobre amenazas de McAfee. Anteriormente trabajó en McAfee como asesor y estratega de seguridad. Cuenta con más de 10 años de experiencia técnica en seguridad de las tecnologías de la información, rendimiento de redes e integración, soluciones de formación online, así como en gestión y consultoría. Thom Sawicki es estratega de productos de la organización Endpoint Security Software and Services, recientemente creada en el seno del Software and Services Group de Intel. Anteriormente, trabajó en los laboratorios de Intel como estratega tecnológico, donde combinaba su conocimiento en el desarrollo de estrategias, análisis de mercados y comunicaciones tecnológicas para trasladar la innovación en investigación al desarrollo de productos con un éxito jamás visto. Acerca de McAfee McAfee, empresa subsidiaria propiedad de Intel Corporation (NASDAQ:INTC), es líder en tecnología de seguridad. McAfee tiene el firme compromiso de afrontar los más importantes retos de seguridad. La compañía proporciona servicios y soluciones probados y proactivos que ayudan a proteger, redes, dispositivos móviles y sistemas en todo el mundo, permitiendo a los usuarios conectarse a Internet, navegar por la web y realizar compras online de forma más segura. Gracias a la tecnología Global Threat Intelligence (Inteligencia Global de Amenazas), McAfee proporciona protección en tiempo real mediante sus soluciones de seguridad, permitiendo a las empresas, usuarios particulares, organismos públicos y proveedores de servicios cumplir con la normativa, proteger datos, prevenir interrupciones, identificar vulnerabilidades y controlar cualquier tipo de amenaza que pueda poner en peligro su seguridad. En McAfee enfocamos todos nuestros esfuerzos en la búsqueda constante de nuevas soluciones y servicios que garanticen la total seguridad de nuestros clientes. 1 Laboratorios McAfee Labs Ibid. 5 Risk and Compliance Outlook 2011 (Perspectiva de riesgos y cumplimiento de normativas de 2011) de Evalueserve, patrocinado por McAfee Este informe está centrado en las facetas rootkit de Stuxnet. Se pueden encontrar numerosos análisis completos de Stuxnet en Vanity Fair, por ejemplo, o los blogs de McAfee: 8 La nueva era de las redes de bots, McAfee Labs 9 McAfee, S.A. Avenida de Bruselas nº 22 Edificio Sauce Alcobendas Madrid, España Teléfono: McAfee, el logotipo de McAfee y McAfee Labs son marcas comerciales registradas o marcas comerciales de McAfee, Inc. o de sus empresas filiales en EE. UU. o en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Los planes, especificaciones y descripciones de productos mencionados en este documento se proporcionan únicamente a título informativo y están sujetos a cambios sin aviso previo; y se ofrecen sin garantía de ningún tipo, ya sea explícita o implícita. Intel es una marca registrada de Intel Corporation en Estados Unidos y/u otros países. Copyright 2013 McAfee, Inc. e Intel Corp wp_stealth-crimeware_0911_fnl_ETMG