Daniel Navarro Gonzlez Salva Vilar Diaz

Seguridad y Alta Disponibilidad. 2 ASIR

Desmontando el Malware
Existen mltiples definiciones de Malware pero tal vez la ms adecuada para definirlo sea: El malware es trmino genrico utilizado para referirse a cualquier tipo de software malicioso o molesto que puede instalarse en los sistemas informticos para llevar a cabo acciones sin el conocimiento del usuario Para dar respuesta o profundizar en el trmino malware podemos responder las siguientes preguntas fundamentales: Qu busca el creador de malware? Cmo se dispersa el malware? Y por ltimo definir la tipologa y funcionalidades del malware. Qu busca el creador de malware? El dao que produce el malware se ha asociado a una motivacin econmica por parte los creadores y compradores de malware aunque existen otros tipos de motivaciones. La motivacin econmica es una de las principales motivaciones tanto en la creacin, dispersin y utilizacin del malware. Motivacin I: El Dinero. Existen diferentes vas para obtener dinero de forma directa a travs del malware mediante datos de formularios, envo de mensajes Premium y extorsin. Datos de formularios. A travs de los datos de formularios se pueden obtener datos personales de inters. El tipo de formulario ms comn por los atacantes es el correspondiente a las compras online, en los que se introducen datos como nmeros de tarjetas de crdito y tarjetas de coordenadas. Obteniendo este tipo de datos se incrementan los beneficios econmicos. Envo de mensajes Premium. Una forma de obtener dinero inmediato es la existencia de nmeros de telfono destinados a la recepcin de mensajes Premium (suscripciones mediante mensajes de texto) a travs de un Smartphone o Tablet. Este modo fuerza a que un dispositivo enve peticiones de suscripcin a servicios de tarifacin especial siendo beneficiario el atacante. Extorsin. Actualmente el malware hace que incremente la posibilidad del secuestro de dispositivos los cuales contienen informacin privada. As obtener beneficios econmicos por el rescate de dicho dispositivo.

Informacin obtenida de: http://www.inteco.es/file/18H7L9lQPedm-YRQlNJucQ

Daniel Navarro Gonzlez Salva Vilar Diaz Motivacin II: La informacin.

Seguridad y Alta Disponibilidad. 2 ASIR

Otra motivacin que pueden tener los creadores de malware es el de atacar un equipo con el nico objetivo de obtener la informacin que pueda tener guardado como datos de acceso y datos y documentos privados. Datos de acceso. Actualmente para acceder a cualquier servicio se necesita de un nombre de usuario y una contrasea. El malware puede tener como funcin conseguir este tipo de datos accediendo a informacin personal, cuentas de correo de conocidos, etc. Datos y documentos privados. Tambin, el malware, puede estar destinado a obtener documentos privados que se encuentran disponibles en crculos cerrados. En este caso se puede incluir el robo de documentos de mbito personal, fotografas, mensajes, etc. Motivacin III: Control de los recursos de procesamiento del equipo. Utilizar al antojo un equipo infectado puede ser de utilidad para el atacante para conseguir objetivos como el de enviar correo basura o atacar otros sistemas. Este mtodo se conoce como sistemas zombi. Cmo se dispersa el malware? Es conveniente sealar que todo tipo de malware, para poder infectar un sistema, adems de encontrarse guardado en un sistema tambin debe ser ejecutado. Lo habitual es que sea el usuario que consciente o inconscientemente ejecute el malware aunque existen formas de ejecucin automtica realizada por otros programas o por el mismo Sistema Operativo. Existen dos tipos de tcnicas o vas en los que se puede almacenar el malware como Dispositivos extrables, vulnerabilidades o por Ingeniera social. Dispositivos extrables. Los dispositivos extrables desde todos sus soportes como Disquetes, CD, DVD y memorias USB se utilizan como medios de propagacin del malware. Aunque antiguamente las posibilidades de infeccin mediante este mtodo de propagacin eran superiores en la actualidad, la posibilidad de infeccin en los dispositivos extrables es menor.

Informacin obtenida de: http://www.inteco.es/file/18H7L9lQPedm-YRQlNJucQ

Daniel Navarro Gonzlez Salva Vilar Diaz Vulnerabilidades.

Seguridad y Alta Disponibilidad. 2 ASIR

Los posibles errores en el diseo o programacin del software se conocen como vulnerabilidades. De las vulnerabilidades se aprovecha un atacante o el mismo malware para acceder a un sistema. No solamente se pueden aprovechar de los fallos a travs de los ficheros sino que visitando una pgina web puede llegar a dar a conocer una vulnerabilidad del navegador. Un atacante al acceder a un sistema puede introducir cualquier tipo de malware en el sistema afectado. Los atacantes intentan atacar mayoritariamente equipos cuyo Sistema Operativo se encuentra desactualizado pues es ms efectivo el encontrar vulnerabilidades que no se han impuesto soluciones a estas. Ingeniera social. En la mayora de situaciones, es el propio usuario el que introduce una amenaza sin ser consciente de ello. Por esto, existen aplicaciones con funcionalidades interesantes y de aspecto inofensivo que pueden infectar el sistema mediante el envo de archivos adjuntos, falsas actualizaciones, etc. Tipologa y funcionalidades del malware. En esta seccin se definirn todos los tipos de malware describiendo su objetivo o la caracterstica que le hace diferente del resto del malware. Antes, sealar que actualmente el malware se encuentra en evolucin por este motivo es difcil encasillar los diferentes ejemplares de malware dentro de un tipo concreto debido a que pueden presentar caractersticas compartidas entre varios tipos de malware. Los atacantes tienen como objetivo crear un software que consiga llevar a cabo su labor de la forma ms eficaz y efectiva posible. Por esto, aunque un ejemplar de malware posea mltiples caractersticas siempre determina la caracterstica ms notable. Tipologa del Malware. Virus. Es el primer tipo de malware creado que existe y es el trmino ms usado para referirse a todos los tipos de malware. Se define virus como un programa cuyo objetivo es asegurar su propia existencia multiplicndose a s mismo infectando a otros programas. Su nico fin era el de propagarse por tantos sistemas como pudiera sin un objetivo claro para su creador, nicamente la satisfaccin de propagar su malware. En la actualidad, un virus, para multiplicarse ya no necesita de otros programas donde esconderse sino que ahora se copian a s mismos.

Informacin obtenida de: http://www.inteco.es/file/18H7L9lQPedm-YRQlNJucQ

Daniel Navarro Gonzlez Salva Vilar Diaz Dialers o Marcadores telefnicos.

Seguridad y Alta Disponibilidad. 2 ASIR

Otro de los primeros tipos de malware conocidos pero aunque se considera prcticamente desaparecido tenan como objetivo alterar el comportamiento de los mdem y dispositivos de conexin con el motivo de enviar rdenes a los mdems para realizar llamadas dirigidas de tarificacin adicional controlados por los atacantes. Redireccionadores. Este tipo de malware tiene como objetivo redirigir al usuario a ciertas pginas web, que se hacen pasar por otras pginas web ya existentes. As el usuario introducir datos personales pensando que es la pgina que siempre visita. De este modo el atacante se hace con los datos de acceso a diferentes servicios del usuario como servicios bancarios o de correo electrnico. El malware redireccionador puede actuar de dos formas: Modificando el archivo hosts: El malware modifica el fichero hosts para que los dominios que interesan acudan a otra pgina creada en realidad por el navegador. Modificando los DNS: En este caso, el malware modifica los servidores DNS del sistema operativo. Estos servidores DNS son controlados por el atacante, redirigiendo al usuario a cualquier pgina web. Gusanos. Su funcionamiento es similar al del Virus pero los gusanos no tienen como objetivo infectar programas sino multiplicarse haciendo copias de forma automtica de s mismos. Los gusanos ms conocidos son Sasser, Blaster y I Love You. Troyanos. Su nombre hace referencia a los caballos de Troya pero son programas que se presentan como inofensivos tienen funcionalidades ocultas. Este tipo del malware es el ms propagado. Se comporta de forma similar al caballo de Troya y tiene como finalidad controlar totalmente el equipo infectado, funcionando constantemente y siendo capaz de recibir rdenes del atacante. Podemos encontrar varios tipos de Troyanos como: Downloader: Capaz de descargar ficheros de Internet permitiendo seguir teniendo el control del equipo pasando desapercibido. Bancario: Capaces de robar credenciales recurriendo a funcionalidades para obtener de los usuarios, los datos de cliente de bancos.

Informacin obtenida de: http://www.inteco.es/file/18H7L9lQPedm-YRQlNJucQ

Daniel Navarro Gonzlez Salva Vilar Diaz

Seguridad y Alta Disponibilidad. 2 ASIR

Backdoor: Funciona de manera que el atacante pueda acceder de forma remota al equipo infectado. Backdoors. (Puertas traseras) Las puertas traseras tienen como objetivo permitir al atacante controlar el sistema infectado a travs de una va de acceso que se encuentra oculta para el usuario. De este modo un controlador remoto permite realizar cualquier accin sobre el equipo infectado. En los casos de redes zombi, los sistemas infectados (bots) son manipulados por el atacante de una manera ms automatizada, mientras que la manipulacin en el backdoor es personalizada. Principales ejemplos de redes zombi: Ataques DDoS: (Denegacin de Servicio Distribuida) Consiste en ataques realizados por gran cantidad de mquinas con el nico fin de saturar al equipo atacado (servidores web). Su objetivo es generar gran cantidad de trfico y solicitudes de acceso de informacin al sistema infectado produciendo su saturacin haciendo que deje de estar disponible. Generacin de Bitcoins: Se aprovecha de las mquinas (bots) para generar este tipo de monedas (moneda electrnica). El usuario pierde la capacidad de disposicin del equipo infectado. Spam: Los equipos infectados pueden ser utilizados para el envo de correos electrnicos no deseados. Alojar muestras de malware: Los equipos infectados pueden ser usados como repositorios de nuevas muestras de malware que sern descargadas por otros usuarios. Adware. (Software publicitario) Es un tipo de software destinado a generar publicidad no deseada e intrusiva generando un beneficio econmico a su creador y/o comprador. Existen otros tipos de adware como son los clickers que su objetico es pulsar de forma automtica (sin ser conocedor el usuario) sobre los anuncios publicitarios para generar beneficios al anunciante. Spyware. (Software espa) Su funcin es la de recolectar informacin monitorizando cualquier movimiento que se haga desde el equipo o sistema infectado. Entre la informacin de inters, se encuentran las contraseas almacenadas en el equipo (navegador o archivos de configuracin), claves privadas, datos de tarjetas de crdito, etc.

Informacin obtenida de: http://www.inteco.es/file/18H7L9lQPedm-YRQlNJucQ

Daniel Navarro Gonzlez Salva Vilar Diaz Keyloggers.

Seguridad y Alta Disponibilidad. 2 ASIR

Es un software malicioso que registra las pulsaciones de teclas realizadas en el equipo infectado. Su principal fin es el obtener claves y cuentas de usuarios. La recopilacin de todo el contenido tecleado suele ser enviada a travs de internet a servidores controlados por el atacante. Rootkit. El trmino "rootkit" se emplea para referirse a un conjunto de herramientas (kit) que tienen como objetivo que un atacante pueda conseguir y mantener acceso con los mximos privilegios o permisos. (Usuario root) Las tcnicas de rootkit suelen ser utilizadas para evitar o dificultar que tanto los antivirus como los usuarios o analistas los detecten. Bomba lgica. Es una funcionalidad presente en diferentes tipos de malware que permite que un cdigo o programa se ejecute cuando se cumplen ciertas condiciones pre establecidas. Consta de dos partes: Carga til: Es el cdigo que se ejecutara cuando se cumplan las condiciones pre establecidas. Disparador: Es el cdigo que se encarga de comprobar si se dan las condiciones necesarias para lanzar su contenido. Ransomware. Es un tipo de malware aparecido en los 90 pero ha tenido su mayor auge en los ltimos aos. Este tipo de malware recurre al chantaje hacia los usuarios del equipo infectado. En este caso es necesario que el usuario sea consciente de la existencia de un comportamiento anmalo, que ser utilizado para la coaccin al plantearse el pago como nica solucin a ese comportamiento. Para aumentar su efectividad se suele recurrir al bloqueo de cualquier tipo de acceso e interaccin con el equipo. En algunos casos se cifran los datos de inters para el usuario afectado y piden el pago de una cantidad econmica para obtener la clave de descifrado. Rogueware o Scareware. Suele presentarse en forma de antivirus, aunque realmente se trata de un falso antivirus. Su mtodo para causar alarma en la vctima es informar sobre la presencia de diversos tipos de

Informacin obtenida de: http://www.inteco.es/file/18H7L9lQPedm-YRQlNJucQ

Daniel Navarro Gonzlez Salva Vilar Diaz

Seguridad y Alta Disponibilidad. 2 ASIR

malware en el dispositivo tras simular haber realizado un escaneo del equipo. Su nico objetivo una vez instalado en la mquina del usuario es requerir la activacin del supuesto producto a travs de diversas formas de pago. Familias de malware destacadas. A continuacin se destacan algunos de los casos ms reseables de ciertos ejemplares o familias que han alcanzado una gran popularidad por efectividad o gran incidencia. Zeus y SpyEye. Se trata de los dos kits comerciales de troyanos que han destacado por su xito tanto en infecciones como en adquisicin de datos y ventas. Estos kits no precisan de altos conocimientos en programacin por parte de los compradores que deseen ponerlos en funcionamiento. Los kits son adquiridos previo pago y requieren de la posesin de una clave que slo podr ser utilizada en un nico ordenador, evitando as que puedan ser usados sin el control del vendedor. Funcionalidades que presentan: Afectan a la mayora de navegadores ms detectando la visita a entidades bancarias objetivo y modificando su web para requerir los datos que interesan al atacante. Infectar telfonos mviles y conseguir as acceso a los SMS con las claves enviadas por algunas entidades bancarias para el acceso a la banca electrnica. Permiten inyectar cdigo HTML en el navegador. Consiguiendo modificar las pginas web que se deseen para pedir datos que sern enviados a los atacantes y ocultar los movimientos sospechosos en las cuentas de los afectados. Incluyen tcnicas sofisticadas que dificultan su anlisis. Incluyen funcionalidades de "keylogger", "rootkit" y clicker. Toma de capturas de pantalla. (til cuando se utilizan teclados en pantalla) Cuentan con soporte para plugins o extensiones que permiten ampliar an ms sus funcionalidades.

Informacin obtenida de: http://www.inteco.es/file/18H7L9lQPedm-YRQlNJucQ

Daniel Navarro Gonzlez Salva Vilar Diaz Ransomware en nombre de la polica.

Seguridad y Alta Disponibilidad. 2 ASIR

Una de las maneras de chantaje a las potenciales vctimas de un fraude es el caso del "virus de la polica". Este malware es una gran familia con diferentes funcionalidades, mtodos y mejoras. En este caso se recurre a la imagen del Cuerpo Nacional de Polica para intentar dar una mayor credibilidad a la estafa. Tras infectar el equipo de la vctima, se presenta una imagen que impide el uso del ordenador, ocultando la barra de herramientas y el escritorio, ocupando toda la pantalla. La presentacin de datos personales de la mquina como el sistema operativo y navegador que utiliza, direccin IP, pas, etc. intenta amedrentar a la vctima para que realice el pago de la supuesta multa impuesta. Stuxnet, Duqu y TheFlame. El objetivo de las ciber-armas no es robar dinero, enviar correo basura o acceder a datos personales, sino el controlar o espiar en entornos industriales muy especficos e intentan quedarse el mayor tiempo posible dentro de un sistema del que pretenden obtener informacin. Stuxnet: Dirigido al espionaje industrial y sabotaje en instalaciones nucleares iranes. TheFlame: Consigui mantenerse oculto durante al menos cinco aos gracias a que se encontraba firmado por Microsoft. Si bien Microsoft no fue el responsable, los atacantes consiguieron pasar as desapercibido todo ese tiempo.

Informacin obtenida de: http://www.inteco.es/file/18H7L9lQPedm-YRQlNJucQ