15 octubre 2010

La propagación del Malware

En la Wikipedia, podremos encontrar una sección denominada "Timeline of computer viruses and worms", que se encarga de enumerar, por orden cronólogico, algunos de los virus, gusanos, troyanos y demás malware con más relevancia de las últimas décadas. Gracias a esta recopilación, tendremos una visión clara de la evolución, tipos de ataques utilizados, coste estimado de daños, tipos de propagación, etc.

De todos los que podemos encontrar en dicha recopilación, vamos a repasar algunos de ellos, describiendo brevemente aquellas características que los hacen únicos, innovadores (en su tiempo) o incluso los que nos ofrecen una idea de lo que está por venir, atendiendo a cómo se propagan:
  • Los adjuntos malditos
Hace tiempo no todo el mundo tenía internet, pero lo que si proliferaron fueron los lugares en los que poder consultarlo. De lo que si disponía casi todo el mundo, además de messenger, era de cuenta de correo. La gran mayoría gestionaba su correo a través de Outlook, muy pocos a través de web, por lo que la diversión, estaba asegurada.

    • ILoveYou: Quizás su coste asociado a posibles daños no no le haga estar entre los primeros, pero seguro que es el que más os suena a la gran mayoría (junto con el virus Anna Kournikova). También se propagaba por e-mail, pero su adjunto, lejos de las extensiones típicas .com, .exe, .pif, esta vez se trataba de un fichero .vbs (lenguaje scripting de visual basic) cuyo código fuente podréis consultar en este enlace. En forma de carta de amor, una vez ejecutado se enviaría a todas y cada una de las direcciones de correo de la agenda de contactos de Windows, además de realizar tareas diversas en el sistema, de ahí que luego si se estimasen las pérdidas a causa de su eliminación de los equipos. El programador alegó que su publicación fue por accidente. En este enlace [pdf], podréis consultar un análisis exhaustivo del ILoveYou por la Universidad de California.
    • MyDoom: La primera vez que apareció este gusano fue en Enero de 2004, propagándose por e-mail en forma de fichero adjunto contemplando un amplio número de extensiones (.exe, .com, .pif, .scr...). Cuando dicho fichero se ejecutaba, en el sistema de la víctima se abriría un puerto TCP del 3127 al 3198 mediante el cual los posibles atacantes se conectarían al equipo. En un principio, se pensó que dicho gusano fue creado con el fin de realizar una denegación de servicio (DoS) contra los servidores del grupo SCO. El autor de dicho malware sigue sin conocerse, y cuenta con multitud de variantes (A, B, U, V, W, X...), cada una de ellas enfocadas, sobre todo, a atacar diferentes sitios de Internet (Microsoft, Google, Altavista, Lycos...). Se catalogó como el gusano con mayor velocidad de propagación por correo electrónico.
    • SoBig: Aún habiendo aparecido la primera variante allá por el 2002, la sexta (SoBig.F) sería la que más ruido haría, sobretodo al ser culpable de colapsar multitud de servicios, pasarelas y servidores de Internet. Programado en Visual C++ 6.0, y comprimido con tElock, una vez se encontraba en el sistema, se dedicaría a recopilar direcciones de correo electrónico de documentos que encontrase, para seguidamente re-enviarse a todas ellas, utilizando su propio agente de correo. Al igual que MyDoom (y que la mayoría de esa época) se propagó sobretodo por e-mail (aunque también mediante recursos compartidos) incluyéndose como fichero adjunto, y además de worm, actuó como un troyano en toda regla. Sigue sin conocerse su autor, pero Microsoft lanzó una campaña con la que ofrecía 250,000 dólares (no sería la única...) a quién ofreciese más información sobre su creador. Lo más curioso, es que fue programado para que dicho gusano cesase sus acciones y se desconectara en Septiembre del 2003. En este enlace encontraréis un documento en el que se exponen hipótesis sobre el posible creador (o creadores) del SoBig.

  • Mediante explotación de vulnerabilidades en Sistema Operativo Windows
Repasemos a continuación algunos malware, de los más conocidos, que se aprovecharon de vulnerabilidades críticas del sistema operativo Windows, capaces de infectar millones de ordenadores a través de redes de recursos compartidos o incluso, aprovechándose de aquellos cuya conexión de su PC a Internet era directa (los routers gratis ADSL, en la mayoría de los casos, aguaron "la fiesta"...)

    • Conficker: Por fin, llegamos a un malware que se propagó explotando alguna vulnerabilidad en los sistemas afectados. En este caso, Conficker se aprovechaba de la vulnerabilidad crítica descrita en el boletín MS08-067, que afectaba al servicio servidor de Windows 2000, 2003 y XP. Tras la infección, Conficker comenzaría a desactivar servicios del sistema operativo asociados a su seguridad (Windows Update, Windows Defender,...) y seguidamente se adjuntaría a los procesos explorer.exe, svchost.exe y services.exe para finalmente, iniciar su propagación por diferentes métodos, según la variante. En la Malware Encyclopedia de Microsoft encontraréis más información sobre Conficker, además de sus diferentes variantes y versiones.
    • Blaster y Sasser: ¿Recordáis esa época maravillosa en la que un familiar o amigo, se compraba un ordenador, lo enchufaba por primera vez a Internet, y al rato se reiniciaba sin dar tiempo ni siquiera a instalar el edonkey2000? Blaster explotaba una vulnerabilidad de desbordamiento de búfer en el RPC DCOM de Windows (MS03-026), mientras que Sasser aprovechaba una vulnerabilidad en el servicio LSASS (MS04-011). Automáticamente, ambos escanearían rangos de direcciones en busca de nuevos sistemas con puertos de red vulnerables para ser explotados. Tanto del Blaster como del Sasser podréis encontrar sendos análisis técnicos por parte del Inteco aquí y aquí, respectivamente. No sólo se explotaban automáticamente...no resultaba muy complicado descargar herramientas públicas y gratuitas enfocadas a la ¿verificación? de redes y redes de direcciones IP en busca de ambas vulnerabilidades. RPCScan y DSScan de Foundstone realizaban dicha tarea...
  • Explotando tipos de servidores en sistemas
No es saña, simplemente, si es lo que la mayoría usa, normal que tenga más alcance. Toca hablar de servicios propios de servidores de tipo Windows, como son el servidor web IIS y los servidores de bases de datos MSSQL.


    • Code Red: En esta ocasión, la principal víctima de este gusano fueron los servidores web IIS de Microsoft, en el año 2001, explotando la vulnerabilidad de desbordamiento de búfer descrita por el boletín MS01-033, que afectaba más concretamente al servicio Index Server. Una vez explotada la vulnerabilidad, este gusano modificaría (deface) la página principal del servidor afectado colocando un bonito mensaje: "HELLO! Welcome to http://www.worm.com! Hacked By Chinese!". Después, y dependiendo del día del mes, realizaría tres acciones diferentes:
      • Los primeros 20 días de mes, búsqueda de nuevos servidores vulnerables desde el servidor comprometido.
      • A partir del día 20, y durante una semana, denegaciones de servicio a un determinado número de direcciones IP.
      • Del 28 al resto de días de mes, descansa...
      En este enlace tenéis un extenso análisis técnico de este gusano realizado por los descubridores, investigadores de la compañía eEye.
    • SQL Slammer: Le tocó el turno a los servidores SQL Server 2000. Aún ya teniendo inyecciones de código SQL, este gusano aprovecharía una vulnerabilidad de desbordamiento de búfer en el propio servidor, reportada por primera vez en el 2002, en el boletín MS02-039 de Microsoft. En este enlace podréis consultar un decompilado del gusano y aquí un análisis técnico detallado.

  • La propagación 2.0
La ecuación es sencilla: todo el mundo pertenece a las redes sociales, todo el mundo comparte información en redes sociales, se publica algo malvado en las redes sociales, por consiguiente, lo malvado llega a todo el mundo. Propagación más fácil, imposible.

    • Samy XSS - El caso del Cross-Site Scripting persistente de MySpace, protagonista de uno de nuestros hackeos memorables, en el que encontraréis más información al respecto, además del código fuente y barreras a las que se tuvo que enfrentar para que su ataque resultase satisfactorio, tanto como para conseguir casi 1.000.000 de solicitudes de amistad en menos de 24 horas.
    • Los XSS de Twitter - Los Cross-Site Scriptings de Twitter, hace poco, parecían más una nueva funcionalidad que la explotación de una vulnerabilidad que evidenciaba la incompleta validación de parámetros. Hace poco recordaréis el caso 'onmouseover', el cual referenciamos, una vez pasó la tormenta, en este artículo.
    • Koobface:  El gusano Koobface no se hizo efectivo mediante una vulnerabilidad en el propio servicio de Facebook, pero si que utilizaría la plataforma para su propagación, enviando mensajes a todos los amigos de la víctima. Una vez el usuario era infectado (ejecutable en forma de falsa actualización del reproductor Flash de Adobe), en su sistema se instalarían las herramientas necesarias para redirigir a las víctimas a páginas llenas de anuncios y más bichos cuando intentasen acceder a diferentes buscadores. Sus variantes se dedicarían a atacar otros tipos de redes, como son MySpace, Twitter, msn.com, etc. Trend Micro cuenta con un detallado análisis sobre Koobface (en PDF)
  • Propagación típica, pero objetivo diferente
Los tiempos han cambiado, y mucho. Los objetivos cada vez son más ambiciosos, y las amenazas, más complejas. 

    • Stuxnet: Es la principal amenaza actual, ya que sus objetivos son los sistemas de control industrial (ICS). De entre sus características (se necesitan varios posts para describir de lo que es capaz este malware), contiene el primer rootkit para controladores de lógica programable (PLC). Desde 2009 ya se empieza a contar con sus primeras muestras, y a medida que se analizaba, más características se descubrían. Lo mejor es que le echéis un vistazo a los análisis técnicos detallados (últimamente, veréis que se publican muchos), de los cuales os recomendamos el análisis de Symantec sobre Stuxnet de Octubre 2010 y el análisis de ESET que ya referenciamos en el Enlaces de la SECmana 38.
[+] Códigos fuente de diferentes virus: http://62nds.com/pg/e90.php

7 comments :

Anónimo dijo...

Buena recopilación ;), me gustó el post.

Saludos

Santiago dijo...

Buenísimo! Muy informativo y muy interesantes los links, gracias!

José A. Guasch dijo...

¡Gracias a ambos por vuestras palabras!

damontero dijo...

Me uno a las felicitaciones. Una muy buena entrada.

¡Saludos!

José A. Guasch dijo...

¡Gracias a ambos por vuestras palabras!

Santiago dijo...

Buenísimo! Muy informativo y muy interesantes los links, gracias!

Anonymous dijo...

Buena recopilación ;), me gustó el post.

Saludos