(10) Malware

Vista previa del material en texto

Malware
Índice
3
4
10
1 | Conceptos
2 | Tipología
3 | Exploits + infección
Malware | TELEFÓNICA // 3
Actualmente el código malicioso, en adelante malware (una 
acotación de malicious software), es uno de los peligros y amenazas 
más importantes que afectan a la seguridad de los sistemas TIC. La 
magnitud de esta amenaza se debe en parte a la cada vez mayor 
complejidad de software, algo que en última instancia se traduce en 
un creciente número de vulnerabilidades que pueden ser explotados 
por un atacante, contra los usuarios finales y organizaciones.
Definición
El malware en si es software usado para interrumpir la operación de 
los equipos, obtener información sensible o ganar acceso a sistemas 
privados. Una curiosidad del malware es que es tan antiguo como el 
propio software en sí. 
Internet u otras redes propietarias son su principal medio de 
difusión, incluso desconectados de la anterior, mediante páginas 
web, anexos de correo electrónico, dispositivos móviles, etc. u otros 
tipos de medios para su transporte. El malware tiene la capacidad 
de alterar el contenido de un sistema, capturar datos confidenciales 
y propagarse a otros sistemas, lo que hace que sea clave en la 
ciberseguridad.
En el documento de INTECO (actual INCIBE) “Desmontando Malware” 
se hace la siguiente descripción: “Término genérico utilizado para 
referirse a cualquier tipo de software malicioso o molesto que puede 
instalarse en los sistemas informáticos para llevar a cabo acciones 
sin el conocimiento del usuario”.
En conclusión, malware es cualquier programa o código malicioso 
que se ejecuta en un sistema informático sin conocimiento y permiso 
del usuario y le provoca un perjuicio.
Las principales acciones que suele realizar sobre la maquina víctima, 
son las siguientes:
• Envío de correo a gran escala. El malware obtiene direcciones de 
correo electrónico para su propagación.
• Eliminación de archivos. Suele borrar archivos clave sin los cuales 
el ordenador no puede arrancar o funcionar correctamente.
• Modificación de archivos. El software intenta modificar archivos 
para incluir troyanos en archivos ejecutables o actualizaciones 
de Windows. Modificación de claves del registro u otro tipo de 
datos de configuración. Algunos malware intentan desactivar 
anti-virus, anti- spyware, firewall y otros tipos de software para 
poder realizar una mayor explotación y uso no autorizado.
• Degradación del rendimiento. El software malicioso puede 
provocar problemas de rendimiento en el sistema afectado.
• Inestabilidad del sistema. El software malicioso puede provocar 
problemas de estabilidad en el sistema afectado.
• Robo de información corporativa y confidencial. El malware 
puede dar lugar a accesos no autorizados.
• Modificación de la configuración de seguridad. El software 
modifica la configuración de seguridad y abre puertos para 
permitir el uso no autorizado.
1. Conceptos
Malware | TELEFÓNICA // 4
Existe tal variedad de malware, su evolución es tan rápida y sus 
características están tan frecuentemente compartidas entre varios 
tipos, que la realización de una taxonomía o clasificación del mismo 
no es una tarea fácil. Por este motivo se presenta los tipos más 
comunes y sus principales características:
• Virus: es un programa que se integra dentro de otro programa 
aparentemente inocuo, que produce copias de sí mismo en 
la memoria del ordenador, que a su vez las inserta en otros 
programas y ejecutando una acción maliciosa. Existen distintos 
tipos de virus, como aquellos que infectan archivos ejecutables 
(exe, com, dll, etc.), los sectores de boot y la tabla de partición de 
los discos. Las técnicas utilizadas por los virus para propagarse y 
subsistir necesitan de la intervención humana
• Gusano: es un programa malicioso, pequeño, autónomo que 
se replican a través de una red sin intervención humana y por 
lo general lleva a cabo una acción destructiva. Suelen ocupar 
archivos que contienen el código sin utilizar o archivos binarios.
• Troyanos: es un programa aparentemente útil y de apariencia 
inocente, que contiene oculto en su interior instrucciones de 
carácter malicioso. Normalmente se encuadran dentro de un 
programa normal que funciona correctamente para el usuario. 
Este tipo de programas vana a proporcionar al atacante:
 − Control del sistema, con capacidad de ser controlado desde 
el exterior.
 − Descarga de ficheros con otro tipo de malware como un 
rootkit, puerta trasera, etc.
 − Robo de datos para obtener beneficios económicos, como 
credenciales de banca online, números de tarjetas, etc.
• Rootkits: es un tipo de software malicioso de gran peligrosidad 
y difícil eliminación que modifican ficheros y librerías del sistema 
operativo de la máquina objetivo, para ocultar su existencia y 
mantener el acceso o incluso permitiendo al intruso tomar el 
control del equipo.
 − Modo usuario. se ejecuta con los permisos, privilegios y 
configuración de seguridad de un usuario dado de alta en 
el sistema.
 − Modo Kernel: opera al mismo nivel que los controladores 
del hardware de la tarjeta gráfica, tarjeta de red, o el 
ratón, lo que hace que su detección y eliminación sea 
altamente compleja. Uno de los inconvenientes que tiene 
este tipo de malware es que está implementado para una 
versión específica de sistema operativo, por lo que las 
actualizaciones que modifiquen el kernel hacen que este 
tipo de rootkits no funcionen.
2. Tipología
Malware | TELEFÓNICA // 5
• Bootnet: son un tipo de malware, de crecimiento espectacular en 
los últimos años, que se instala en el sistema objetivo a través de 
una vulnerabilidad del equipo o usando técnicas de ingeniería social 
y consiste básicamente en la creación de una red de ordenadores 
zombis o robots de software autónomos, que son controlados 
remotamente mediante un sistema de mando y control «C2» por 
el ciberatacante normalmente a través de un canal de Chat IRC. Un 
equipo infectado por un bot pasa a estar dentro de la botnet o red 
de zombis, sin que el usuario se percate de este hecho.
Los principales pasos del uso de una botnet:
a. Infecta el equipo.
b. Gestiona los equipos infectados.
c. llega a un acuerdo económico por el uso de los equipos 
infectados.
d. el atacante cede el uso del bot a su “cliente”.
e. Los equipos infectados comienzan a funcionar bajo las 
órdenes del “cliente”.
Tendencias de ataques hoy en día
En el punto anterior se han detallado los principales malwares a los 
que nos solemos enfrentar, pero en la actualidad hay multitud de 
nuevas técnicas que hacen que los usuarios estemos expuestos ante 
peligro de manera inconsciente. En este apartado, se van a detallar 
algunas de las nuevas tendencias de ataques y malware actuales:
• Drive-by Download: se trata de un malware que se instala en tu 
equipo (o dispositivo móvil) con el sólo hecho de visitar páginas 
en Internet que están infectadas por este tipo de amenaza. Pese 
a que no tiene una traducción en sí, se puede traducir como 
“descarga al pasar”.
No requiere interacción explícita, este malware se encuentra en 
el mismo código HTML de las páginas infectadas y el sólo hecho 
de cargarlas en tu navegador de Internet hace que el equipo se 
infecte. Un ejemplo de este ataque fue el sufrido por la cadena 
NBC, que infectó a los visitantes de su web.
• Inyecciones de código: las inyecciones de código son el número 
1 del TOP 10 de OWASP en cuanto a Riesgos de Seguridad. Las 
fallas de inyección, tales como SQL, OS, y LDAP, ocurren cuando 
datos no confiables son enviados a un intérprete como parte de 
un comando o consulta. Los datos hostiles del atacante pueden 
engañar al intérprete en ejecutar comandos no intencionados o 
acceder a datos no autorizados.
Un caso famoso de este ataque fue el sufrido por Sony Pictures 
Entertainment. En este ataque se robó los datos personales de 
un millón de usuarios incluyendo contraseñas, direcciones de 
correo electrónico, direcciones postales y fechas de nacimiento.
Esta técnica, aunquees muy famosa, sigue estando vigente en 
multitud de compañías que exponen a sus clientes y/o usuarios 
a la pérdida de su información.
Malware | TELEFÓNICA // 6
• Expolits kits: son un conjunto de herramientas, o kits, que 
permiten fácil y rápidamente explotar vulnerabilidades 
conocidas, de manera que muchas veces personas con mínimos 
conocimientos técnicos sean capaces de explotarlas. Estos kits 
incluyen un interfaz de usuario muy fácil de manejar que ayuda a 
quien lo desee a lanzar un ataque. La facilidad de uso y su alcance 
es lo que hace que un kit sea más popular, tenga más usuarios 
y haga que su creador pueda llegar a ganar grandes cantidades 
de dinero.
Estos exploit kits funcionan debidos a que las empresas y 
usuarios aún les cuestan mantener actualizados sus sistemas; 
no sólo hablamos de los sistemas operativos, sino de los 
navegadores web y todos los programas y herramientas que se 
utilizan diariamente. Esta falta de actualización es lo que permite 
que muchos ciberdelincuentes recojan información sobre 
vulnerabilidades conocidas y creen exploit kits para explotarlas.
Un caso importante de este tipo de ataques es el exploit kit 
Angler, que no es detectado por las herramientas de seguridad y 
que aprovecha multitud de CVE existentes en la actualidad.
• Robo de indentidad / fraude: La usurpación de identidad es uno 
de los ciberdelitos más comunes y como casi todos los ataques 
suele tener una finalidad económica como puede ser la compra 
de bienes o la contratación de servicios a cargo de la identidad 
afectada, o bien un fin relacionado con el ciberacoso, buscando 
en ambos casos provocar problemas a la víctima.
En la actualidad gran parte de nuestra vida se vive en el contexto 
digital, lo que hace que nuestra presencia física sea prescindible 
en muchas ocasiones, tanto en nuestras relaciones personales 
como en las contrataciones comerciales. Ejemplos de esto 
serían las redes sociales y el comercio electrónico. Si a todo ello 
le sumamos que actualmente existe una falta de cultura de la 
privacidad y de la ciberseguridad que afecta a la práctica totalidad 
la población, obtenemos como resultado que las probabilidades 
de existir de este tipo de ataques son muy altas.
El robo de identidad, es un riesgo muy alto, como ejemplos 
podemos citar los casos de Nicolas Sarkozy, e incluso del famoso 
creador de facebook Mark Zuckerberg.
De hecho, Telefónica y Zurich, han creado un seguro para esta 
problemática, que cubriendo la exposición de los menores a las 
amenazas de Internet y la protección de la identidad digital de la 
familia.
Malware | TELEFÓNICA // 7
• Denegación de servicio (DDoS): es el que se realiza cuando una 
cantidad considerable de sistemas atacan a un objetivo único, 
provocando la denegación de servicio de los usuarios del sistema 
afectado. La sobrecarga de mensajes entrantes sobre el sistema 
objetivo fuerza su cierre, denegando el servicio a los usuarios 
legítimos.
Como ejemplos más destacables, tenemos el sufrido por la 
empresa DYN que dejó sin servicio a sus clientes, entre ellos 
Spotify o Twiter y el de octubre de 2012 que dejó a todo el país 
de Myammar desconectado.
• Phishing: es una táctica usada por cibercriminales y estafadores 
para robar información sensible de las personas (como puede ser 
la información personal o los datos bancarios). Suele presentarse 
en forma de correos electrónicos engañosos, mensajes de texto 
y alertas de mensajería instantánea, por nombrar algunas, son 
las vías más comunes por las que tratan de que los usuarios 
entreguen sus datos personales.
Dentro de las técnicas de phishing existe una que despunta 
sobre el resto, el spear phishing. A diferencia de las estafas por 
phishing, que pueden lanzar ataques amplios y dispersos, el 
spear phishing se centra en un grupo u organización específicos. 
La intención es robar propiedad intelectual, datos financieros, 
secretos comerciales o militares y otros datos confidenciales 
centrándose en un objetivo base y no lanzando el ataque de 
manera discriminada.
• Spam: es un concepto más que conocido por todos que consiste 
en el envío de correo electrónico no solicitado de manera masiva 
a un número muy amplio de usuarios. Generalmente el envío 
es con el fin de comercializar, ofertar o tratar de despertar el 
interés con respecto a algún producto o servicio, aunque suelen 
ser consideramos como el factor inicial de ciberdelitos como el 
phishing o el scam.
Con respecto a los tipos de spam, partiendo de diferentes 
clasificaciones, se puede distinguir diferentes modalidades en 
función del contenido de los mismos:
 − El spam con fines comerciales. Es el pionero de todos los 
tipos. Trata de difundir la posibilidad de adquirir algún 
producto o servicio a un precio inferior al de mercado. En 
algunos casos este tipo de mensajes está relacionado con 
tipos delictivos ya que viola leyes de propiedad intelectual, 
patentes o normativas sanitarias al vender joyas, fármacos 
o música.
 − El bulo (en inglés hoax). Son mensajes de correo con 
contenido falso o engañoso. Este tipo de mensajes es 
enviado de forma encadenada y se solicita al receptor que 
prosiga la cadena de envíos. Su contenido son historias 
inverosímiles relativas a injusticias sociales o fórmulas 
para conseguir éxito. Este tipo de mensajes busca captar 
direcciones de correo electrónico (que se acumulan durante 
el proceso de reenvío) para utilizarlas posteriormente como 
objeto de spam. No constituyen un delito en sí al no tratarse 
de comunicaciones comerciales, pero su relación con el 
cibercrimen es evidente y se amparan en el vacío legal 
existente.
 − El spam con fines fraudulentos. En muchos casos el spam 
puede ser la cabeza de puente para cometer phishing, scam 
u otras modalidades fraudulentas a través de mensajes 
electrónicos que son enviados de forma masiva a un gran 
número de usuarios.
Malware | TELEFÓNICA // 8
• Rogueware / scareware: son antivirus y antispyware que no son 
realmente lo que dicen ser, sino que son todo lo contrario ya que 
son un tipo de malware. Bajo la promesa de solucionar falsas 
infecciones la aplicación infecta los sistemas cuando el usuario 
instala estos programas.
Estos “sistemas de seguridad” están diseñados para mostrar 
un resultado predeterminado (siempre de infección) y no 
hacen ningún tipo de análisis real en el sistema, simplemente 
muestran una pantalla con varias infecciones a la vez que nos 
recomienda comprar su “versión completa” para poder eliminar 
esas supuestas infecciones.
Este tipo de malware está asociado a organizaciones de 
cibercriminales que cuentan con amplios recursos que les 
permiten tener la capacidad de conseguir varios nombres de 
dominios, servidores webs, así también como diseñar tanto las 
páginas webs como las interfaces de sus programas visualmente 
muy profesionales.
Las vectores habituales de infección son los siguientes:
 − Al descargar algún falsos codecs o falso plugin que se nos 
ofrece como necesario al intentar ver un video en Internet 
(por lo general videos del tipo erótico/pornográfico)
 − Al visitar algunos sitios directamente fraudulentos o que su 
código web ha sido comprometido para descargarnos uno 
de estos Rogue Antivirus sin nuestro consentimiento.
 − A través de troyanos
• Data Breach: una violación de datos es la liberación intencional o 
no intencional de información segura a un entorno no confiable. 
Otros términos para este fenómeno incluyen divulgación de 
información no intencional y fuga de datos. Los incidentes van 
desde el ataque concertado de los hackers (pudiendo contar con 
el respaldo de delincuencia organizada o de los propios gobiernos 
nacionales) hasta la eliminación descuidada de equipos usados o 
de medios de almacenamiento de datos.
Existen multitud de casos de robos de información sobre las 
principales compañías del mundo. Desde la siguiente web se 
puede analizar los compromisos de datos sufridos en función del 
volumen de los mismos:
• APT’s: Aunque hablaremoscon más detalle en capítulos 
posteriores, una amenaza persistente avanzada, también 
conocida por sus siglas en inglés, APT (por Advanced Persistent 
Threat), es un conjunto de procesos informáticos sigilosos y 
continuos, a menudo orquestados por humanos, dirigidos a 
penetrar la seguridad informática de una entidad específica. 
Un APT, generalmente, fija sus objetivos en organizaciones o 
naciones por motivos de negocios o políticos. Los procesos del 
APT requieren un alto grado de cobertura durante un largo período 
de tiempo. El proceso avanzado involucra sofisticadas técnicas 
que utilizan software malicioso para explotar vulnerabilidades 
en los sistemas. 
El término ‘persistente’ sugiere que existe un control y 
monitorización externos para la extracción de datos de un 
objetivo específico de forma continua. El término ‘amenaza’ 
indica la participación humana para orquestar el ataque.
Malware | TELEFÓNICA // 9
• Watering hole: fue popularizado por RSA para referirse a esta 
estrategia de ataque informático, en el cual la víctima es un 
grupo particular (organización, industria o región) que el atacante 
observa su comportamiento web para infectar uno varias de las 
webs que estos utilizan, para poder llegar a ellos de manera 
indirecta. El término watering hole es usado en la naturaleza 
para nombrar una poza donde los animales acuden a beber, por 
ejemplo, en la sabana africana. El nombre del ataque pretende 
representar a los leones que, en vez de salir a buscar a sus 
presas, las esperan agazapadas cerca de la charca. Saben que 
tarde o temprano acudirán a beber y cuando las víctimas estén 
relajadas podrán atacar.
En seguridad informática, la poza es una web especializada a la 
que suele acudir la víctima comprometida para explotar alguna 
vulnerabilidad en el navegador del usuario. 
Las diferencias con otros ataques son:
 − Existe un “efecto colateral”, un ataque a un tercero que 
deben comprometer y esperar a que la víctima acuda.
 − Se aprovecha la potencial relajación en seguridad en la 
víctima que visita una web con frecuencia. Por ejemplo, 
si tiene la buena costumbre de usar listas blancas para 
restringir el uso de JavaScript o Java en el navegador, muy 
posiblemente esa web a la que es asiduo, tendrá vía libre y 
facilitará la explotación al atacante.
Como ejemplo destacado de este ataque tenemos el sufrido 
entre otros por otros por Twitter, Facebook, Apple y Microsoft 
(recogido en el reporte de primera mitad del año 2013 de 
F-Secure). Todas estas compañías emitieron comunicados 
admitiendo que habían sufrido alguna intrusión en su red. Al 
parecer, los atacantes comprometieron una popular página de 
programación de aplicaciones para iPhone. Los desarrolladores 
de esas compañías, asiduos a esa web por motivos profesionales, 
quedaron infectados a través de una vulnerabilidad previamente 
desconocida en Java.
Malware | TELEFÓNICA // 10
Los exploits son un tipo de malware. Se trata de programas 
maliciosos que contienen datos o códigos ejecutables, que se 
aprovechan de las vulnerabilidades del software ejecutado en un 
equipo local o remoto.
En pocas palabras: Al utilizar un navegador, hay vulnerabilidades 
que permiten ejecutar “un código arbitrario” (por ejemplo: instalar 
y abrir un programa malicioso) en el sistema sin tu consentimiento. 
A menudo, el primer paso de los atacantes es el de habilitar la 
escalada de privilegios, para poder realizar cualquier acción en el 
sistema atacado.
Los navegadores, junto con Flash, Java y Microsoft Office, son uno 
de los objetivos principales de entre las categorías de software. Son 
omnipresentes y, tanto los expertos en seguridad como los hackers, 
los examinan exhaustivamente, obligando a los desarrolladores a 
lanzar continuamente parches para corregir las vulnerabilidades. Lo 
recomendable es instalar estos parches a la vez, pero, por desgracia 
este no es siempre el caso. Por ejemplo, deberías cerrar todas las 
pestañas del navegador y los documentos que tengas abiertos para 
llevar a cabo una actualización.
Otro problema se encuentra en los exploits de las vulnerabilidades 
desconocidas, descubiertas por los hackers blackhats: los llamados 
ataques de día cero (en inglés zero-day attack o 0-day attack. Los 
proveedores pueden tardar en descubrir que existe un problema y 
solucionarlo.
Vías de infección
Los cibercriminales suelen elegir los exploits entre otras formas de 
infección como la ingeniería social, que puede tener éxito o fracasar; 
el uso de las vulnerabilidades sigue teniendo los resultados 
deseados.
Hay dos formas en las que los usuarios pueden recibir exploits. 
En primer lugar, al visitar una página web que contenga códigos 
de exploit maliciosos. En segundo lugar, abriendo un documento 
aparentemente seguro que esconde un código malicioso. Como se 
puede intuir fácilmente, lo más probable es que sea un spam o un 
correo de tipo phishing el que traerá el exploit.
3. Exploits + infección
Malware | TELEFÓNICA // 11
Los exploits están diseñados para atacar a versiones de software 
específicas que contienen vulnerabilidades. Si el usuario tiene esa 
versión de software, al abrir un objeto o entrar en una página web 
que utilice este software, se dispara el exploit.
Al conseguir acceder mediante una vulnerabilidad, el exploit carga 
malware adicional desde el servidor del atacante, llevando a cabo 
actividades maliciosas como el robo de información personal, 
utilizando el ordenador como parte de un botnet para distribuir 
spam o iniciar ataques DDoS, o cualquier otra cosa que los criminales 
tengan en mente.
Los exploits son una amenaza incluso para los usuarios que son más 
conscientes de estos peligros y mantienen actualizado el software. 
La razón es el lapso de tiempo que hay entre el descubrimiento 
de la vulnerabilidad y el lanzamiento del parche para solucionarla. 
Durante ese período de tiempo, los exploit son capaces de operar 
libremente y amenazar la seguridad de casi todos los usuarios de 
internet, salvo que existan herramientas automáticas para prevenir 
el ataque de los exploits instalados
Y no nos olvidemos del ya mencionado “síndrome de las pestañas 
abiertas”: hay que pagar un precio por las actualizaciones, y no 
todos los usuarios están dispuestos a pagarlo en cuanto el parche 
está disponible.
Los exploits vienen en packs
Los exploits suelen ir en packs para llevar a cabo una comprobación 
de las vulnerabilidades del sistema atacado; y, en cuanto se 
detecta una vulnerabilidad o varias, se dispara el exploit adecuado. 
Además, los exploit kits también utilizan la ofuscación del código 
para evitar ser detectados, y cifran las rutas URL para evitar que los 
investigadores los deshabiliten.
Entre los más conocidos se encuentran:
• Angler: se trata de uno de los kits más sofisticados del mercado 
negro. Fue el que cambió las reglas del juego al ser el primero 
en detectar a los antivirus y las máquinas virtuales (que los 
investigadores de seguridad usan de forma frecuente como 
cebo), enviando archivos cifrados con cuentagotas. Es uno de los 
kits que antes incorporan los nuevos ataques de día cero, y su 
malware se ejecuta desde la memoria, sin tener que escribir en 
el disco duro de sus víctimas.
• Nuclear Pack: ataca a sus víctimas con exploits en Java y Adobe 
PDF, además de introducir el Caphaw, un conocido troyano 
bancario.
• Neutrino: un kit ruso que contiene algunos exploits en Java.
• Blackhole Kit: la amenaza más extendida en la web en 2012. Tiene 
como objetivo las vulnerabilidades de las versiones antiguas de 
navegadores como Firefox, Chrome, Internet Explorer y Safari, 
además de los plugins más populares son Adobe Flash, Adobe 
Acrobat y Java. Tras dirigir a la víctima a una landing page, el kit 
detecta qué hay en el ordenador de la víctima y carga todos los 
exploits a los que este equipo es vulnerable.
Los exploits no siempre pueden detectarse mediante software 
de seguridad. Para detectar con éxito un exploit, el software de 
seguridaddebe emplear análisis del comportamiento, es la única 
forma efectiva de acabar con los exploits. Existen una gran cantidad 
de programas de malware diversos, pero la mayoría de ellos 
presentan unos patrones de comportamiento similares.