Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Las Cinco Fases Del Ataque de Un Programa Malicioso
Las Cinco Fases Del Ataque de Un Programa Malicioso
de un programa malicioso
Gua sobre los ataques web con informacin sobre
tecnologas, herramientas y tcticas para una proteccin
eficaz
Chris McCormack, director principal de marketing de productos
Contents
Web Malware by the Numbers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
How a Web Attack WorksThe Five Stages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Stage 1: Entry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Stage 2: Traffic Distribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
Stage 3: Exploit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
Stage 4: Infection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
Stage 5: Execution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Sophos Web Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
600000
Sitios webs de
phishing
Sitios webs de
malware
400000
200.000
Figura 1: Nmero de usuarios que reciben advertencias a la semana, segn el informe sobre navegacin segura de
Google.
Fuente: Informe de transparencia de Google.
1 Infogrfico: The Incredible Growth of Web Usage [1984-2013], WhoIsHostingThis, 21 de agosto de 2013,
http://www.whoishostingthis.com/blog/2013/08/21/incredible-growth-web-usage-infographic/
2 Google Informe de transparencia
http://www.google.com/transparencyreport/safebrowsing/?hl=en
Punto de entrada
4.878
agentes de distribucin
de malware por ataque (de
media)
$50.000
ganar
en un
da
Ejecucin
82%
5.540
El
Distribucin
Exploit
nuevas vulnerabilidades
detectadas en 2013
Infeccin
$5,4 millones
Fase 1: Entrada
Los ataques comienzan con una descarga automtica en un punto de entrada, por ejemplo, un sitio web
secuestrado o un mensaje de correo electrnico que contenga un enlace malicioso.
Descargas automticas
Una descarga automtica es el proceso mediante el cual se descarga cdigo web malicioso de forma
involuntaria con tan solo visitar una pgina web. Las descargas automticas se producen sin el
conocimiento de los usuarios.
Los iFrames invisibles de 0x0 pxeles que contienen cdigo JavaScript malicioso son el tipo de
descarga automtica ms habitual. Este sofisticado cdigo JavaScript puede estar camuflado (es
decir, ser ilegible) y ser polimorfo (el cdigo cambia cada vez que se visualiza). Las soluciones antivirus
tradicionales basadas en firmas no pueden detectar este tipo de cdigo tan complicado.
3R
ampant Apache website attack hits visitors with highly malicious software, Ars Technica, 3 de julio de 2013, http://
arstechnica.com/security/2013/07/darkleech-infects-40k-apache-site-addresses/
4S
urprise! The Most Dangerous Web Sites Aren't Porn Sites, TechNewsDaily, 4 de junio de 2012,
http://www.technewsdaily.com/4365-porn-dangerous-web-site.html
Monogrficos de Sophos. Noviembre de 2014.
20%
Alojamiento web
16%
Negocios
10%
Compras
8%
Educacin
7%
Tecnologa
7%
Ocio
4%
Automviles
4%
Salud
Mayores de edad
3%
2%
0%
5%
10%
15%
20%
Y por si esto fuera poco, las campaas de publicidad maliciosa (tambin conocidas como malvertising)
pueden llegar a una gama muy amplia de sitios legtimos, haciendo que el problema sea ms difcil de
solucionar mediante el filtrado de direcciones web.
Entonces, cmo se consigue una proteccin eficaz? El filtrado de direcciones web sigue siendo importante,
pero las soluciones ms completas incluyen tambin filtrado por reputacin en directo, que se actualiza
constantemente para detectar sitios recin infectados. Adems, las polticas de navegacin segura solo
resultan eficaces si los usuarios no pueden burlarlas fcilmente. Por lo tanto, asegrese de que bloquea el
uso inadecuado de servidores proxy annimos.
La proteccin avanzada contra amenazas web posiblemente sea la tecnologa ms importante para
hacerles frente en esta capa y ms all. Las soluciones de proteccin ms recientes escanean todo el
contenido descargado en pginas web para detectar programas maliciosos con tecnologas avanzadas
como la simulacin de JavaScript, que permite detectar cdigo sospechoso o malicioso antes de que llegue
al navegador. Dicha proteccin es necesaria no solo en la puerta de enlace de la red, sino tambin en las
estaciones o en el antivirus de escritorio para proteger a los usuarios externos.
Adems, es aconsejable utilizar un navegador compatible con la API de navegacin segura de Google
(https://developers.google.com/safe-browsing/) como, por ejemplo, Chrome, Firefox o Safari, que pueden
detectar sitios maliciosos en los resultados de bsquedas y advertir a los usuarios antes de que intenten
visitar un sitio infectado.
Invierta tambin en formacin sobre navegacin segura para educar a los usuarios menos expertos sobre
cmo evitar trucos de ingeniera social habituales y timos obvios por correo electrnico, y con qu tener
cuidado.
Por ltimo, pero no por ello menos importante, asegrese de que su sitio web no agrava el problema. Utilice
contraseas seguras en el sistema de gestin del contenido del sitio web y los blogs de Wordpress. Audite
tambin el cdigo del sitio para detectar posibles vulnerabilidades. Y proteja el sitio con un cortafuegos de
aplicaciones web para reforzar los formularios y evitar ataques no deseados.
Monogrficos de Sophos. Noviembre de 2014.
Figura 4: Los ciberdelincuentes suelen utilizar soluciones de TDS de consumo como Sutra para ocultar los sitios que alojan
programas maliciosos tras infraestructuras complejas de distribucin del trfico.
Adems, estas redes de TDS suelen filtrar el trfico para que los motores de bsqueda y las
empresas de seguridad no detecten los sitios. Tambin utilizan redes de flujo rpido para alternar
miles de direcciones IP en los registros del DNS y evitar que los sitios que alojan programas
maliciosos se incluyan en listas negras.
Paquetes de explotacin
Normalmente, los ciberdelincuentes adquieren paquetes de explotacin en el mercado negro,
aportando beneficios a sus creadores. Desde que apareci a finales de 2010, el kit de explotacin
Blackhole se ha convertido en uno de los ms destacados y, en torno a l, sus creadores han
construido un sofisticado negocio, vendindolo como servicio por 500 dlares al mes. Incluso
ofrecen una consola web de administracin y soporte tcnico en lnea.
En esta imagen del panel de control de Blackhole, podemos ver cmo controlan los
ciberdelincuentes las tasas de infeccin, el nmero de sitios que alojan programas maliciosos, los
sistemas afectados y la ubicacin de los sitios infectados.
Una vez que el navegador del usuario llega a un sitio que contiene un kit de explotacin Blackhole,
se cargan archivos que aprovechan vulnerabilidades especficas del sistema de la vctima, segn la
informacin disponible en el navegador. Para aprovechar las vulnerabilidades de los sistemas de los
usuarios, suelen utilizarse cuatro tipos de archivos:
PDF: Archivos PDF con JavaScript incrustado intentan aprovechar las vulnerabilidades conocidas
en Adobe Reader.
Flash: para aprovechar las vulnerabilidades de Adobe Flash Player, suelen cargarse dos tipos de
archivos flash con cdigo especialmente diseado.
Java: los archivos JAR con cdigo de applet o JavaScript suelen ser los que mejor funcionan a la
hora de buscar vulnerabilidades.
HTML/JS/VBS: puede descargarse cdigo en tiempo de ejecucin para aprovechar una
vulnerabilidad de la ayuda de Microsoft y el centro de soporte.
Al igual que en las dems fases de los ataques web, las secuencias de comandos, el cdigo y el contenido
cargados durante la fase de descarga del kit de explotacin estn muy camuflados y son polimorfos para evitar
detecciones.
Java Rhino
Por desgracia, Java es el sueo hecho realidad de cualquier ciberdelincuente. Es compatible con todo tipo
de plataformas y millones de dispositivos y navegadores lo incluyen. Java Rhino, un motor de secuencias de
comandos incluido con Java que puede aprovecharse para ejecutar cdigo arbitrario fuera del espacio seguro
de Java, es uno de los exploits ms populares y exitosos. El exploit funciona en gran cantidad de clientes que
ejecutan Java versin 7 y anteriores. A pesar de que ya est disponible un parche, sigue siendo muy eficaz.
Segn Qualys, el 80% de los sistemas empresariales utilizan una versin anticuada de Java y no cuentan con
todos los parches.5
10
Lector de PDF: utilice un nico lector de archivos PDF mayoritario. Active la funcin de
actualizacin automtica para que se instalen todos los parches y recomiende a los usuarios que
instalen los parches en cuanto estn disponibles.
Complementos y barras de herramientas: evite todo tipo de barras de herramientas y
complementos de navegadores. Lo nico que hacen es aumentar la superficie de ataque.
Fase 4: Infeccin
Una vez que el ciberdelincuente aprovecha una vulnerabilidad en una aplicacin para hacerse con
parte del control del equipo, la fase siguiente del ataque consiste en descargar una carga maliciosa
para infectar el sistema. La carga es el propio virus o programa malicioso que robar los datos o
intentar chantajear al usuario para conseguir dinero.
Los ciberdelincuentes pueden elegir entre una amplia variedad de cargas infecciosas. Estas son
algunas de las cargas ms utilizadas hoy en da.
Backdoor
6%
Ransomware 18%
ZAccess
6%
PWS 12%
Downloader 2%
Sinowal
Otro
Zbot
25%
11%
9%
Figura 6: Un
desglose de la
distribucin de
cargas de Blackhole durante un perodo de dos meses (agosto a septiembre de 2012). Fuente: SophosLabs
FakeAV
11%
Zbot (Zeus): Zeus es un troyano que registra pulsaciones en el teclado y marcos del navegador
para robar informacin personal. En un principio estaba dirigido a equipos de Windows, pero ya se
han detectado variedades que infectan tambin dispositivos Android.
Ransomware: el ransomware es un tipo de programa malicioso que restringe el acceso de los
usuarios al equipo o a determinados archivos, y solicita un pago para recuperarlo. Est dirigido
fundamentalmente a Windows, pero tambin ha aparecido recientemente una variedad para Mac,
menos daina pero igual de molesta.
PWS: PWS es un troyano de acceso remoto y robo de contraseas que infecta equipos de Windows.
Sinowal (Torpig): Torpig es una infeccin de redes de bots dirigida a equipos de Windows. Utiliza
un rootkit para robar credenciales y permitir el acceso remoto.
FakeAV: FakeAV (antivirus falso) instala un programa de software de seguridad falso que se hace
pasar por una aplicacin antivirus de escritorio. Escanea el equipo y detecta virus falsos para incitar
a los usuarios a que paguen por "eliminarlos". En un principio afectaba a sistemas Windows, pero
ya se est detectando tambin en equipos Mac.
11
Fase 5: Ejecucin
En esta ltima fase del ataque, la carga maliciosa ya se ha descargado e instalado en
el sistema de la vctima, y su objetivo es proporcionar dinero al delincuente mediante la
obtencin de credenciales, informacin bancaria o nmeros de tarjetas de crdito para
venderlos en el mercado negro, o chantajeando al usuario para que pague directamente.
Tanto el ransomware como los antivirus falsos son ejemplos de programas maliciosos que
chantajean a las vctimas para que paguen dinero. Analicemos algunas de las variedades de
ransomware ms recientes para ver cmo funcionan.
El ransomware de cifrado utiliza tcnicas de cifrado cada vez ms sofisticadas para impedir
el acceso a los archivos hasta que los usuarios pagan el rescate (generalmente, alrededor
de 100 dlares). En 2013 apareci una variedad nueva, denominada Cryptolocker, que cifra
todos los archivos personales y de trabajo, y solo los descifra a cambio de una tarifa de 300
dlares. El cifrado es tan sofisticado que la nica opcin, de no ser posible restaurar una
copia de seguridad, es pagar el rescate.
Existen diferentes variedades de ransomware sin cifrado que impiden el acceso de las
vctimas a sus equipos a cambio de un rescate. Una de ellas muestra un mensaje de
activacin de Windows y una opcin de pago; otra variedad ms enrevesada no solo impide
el acceso del usuario al sistema, sino que adems muestra un mensaje falso de la polica
en el que se solicita el pago de una multa por la posesin de software ilegal o material
pornogrfico. Estas ltimas variedades de ransomware hacen todo lo posible por parecer
legtimas e incluso pueden aparecer traducidas al idioma de la vctima y adaptadas a su pas
de residencia.
12
13
Ransomware para Mac. Con la expansin en aumento de la cuota de mercado de los equipos Mac
de Apple entre los consumidores y los usuarios corporativos, quiz no sea de extraar que ya exista
una variedad de ransomware para Mac. Funciona de manera un poco distinta y utiliza un cdigo de
JavaScript sencillo que se hace con el control del navegador y carga constantemente la misma
pgina para solicitar el rescate, haga lo que haga el usuario. En el caso de esta variedad para Mac
(figura 7), la solucin es bastante sencilla pero no evidente para la mayora de los usuarios, y el
programa malicioso resulta tan pesado que termina siendo muy eficaz y lucrativo (300dlares por
infeccin).
Figura 9: Un mensaje de ransomware para Mac procedente, supuestamente, del FBI. Fuente: Malwarebytes,
http://blog.malwarebytes.org/intelligence/2013/07/fbi-ransomware-now-targeting-apples-mac-os-x-users/
14
Para detectar los programas maliciosos avanzados actuales es necesario un sistema de prevencin de intrusiones
en el host (HIPS) que atrape las amenazas que los motores antivirus normales no pueden bloquear mediante la
deteccin de comportamientos maliciosos. Los motores de los sistemas HIPS estn compuestos por una serie de
reglas avanzadas para detectar comportamientos sospechosos del sistema, y notificar a los usuarios o bloquearlos
antes de que causen daos cuantiosos. Los sistemas HIPS ms avanzados incluyen prcticas recomendadas para
que no tenga que configurar reglas propias y detectar programas maliciosos nuevos sin falsos positivos.
Otra tecnologa que puede combatir las infecciones en esta fase es la deteccin de comunicaciones salientes, una
funcin incluida en algunas puertas seguras de enlace a Internet que puede detectar equipos infectados a partir de
las solicitudes de direcciones web conocidas de comando y control de programas maliciosos. Esta funcin no evita la
infeccin, pero puede ayudar a encontrar sistemas infectados en la red.
Descargar