Cómo ha evolucionado el malware en 10 años.
Ya bastante que he tocado el tema del malware y sus consecuencias, a diario escucho cualquier barbaridad sobre el malware, todavía hay quienes sostienen que las casas antivirus son las que crean los malware para así poder vender su software. El asunto es que para poder defenderte de un enemigo, debes conocerlo y mejor aun, saber como actúa.
Han pasado más de 10 años desde un artículo titulado "The attack of the superworms" en el que, en 2002, varios representantes de compañías de seguridad pronosticaban hacia dónde podía ir el malware y cuáles serían las características del código malicioso de hoy.
¿Acertaron?
2002 es la prehistoria del malware actual. Nada tenían que ver con el malware actual aquellos gusanos que principalmente aprovechaban los agujeros en Outlook Express o la ingeniería social para propagarse. La banca por internet no estaba tan popularizada, y lo más parecido a redes sociales se podía resumir en el Messenger y los chats. Veamos algunas predicciones de entonces:
Stephen Trilling, director de investigación de Symantec, afirmó en aquel momento:
"Veremos gusanos con una mayor sofisticación... con nuevas formas de difusión... que se podrán replicar a través de la mensajería instantánea... robarán documentos e información privada de cada ordenador. Crearán nuevos agujeros de seguridad en el sistema, y una vez que mantengan el control total de la máquina, usarla como base para lanzar nuevos ataques".
Por supuesto que el malware es más sofisticado, y por supuesto que existen nuevas maneras de difusión. Quizás, en aquel momento se centraron demasiado en la mensajería instantánea, por ser lo más parecido a las redes sociales del momento. Sin embargo, hoy la difusión hoy está clara: la web. Atrás quedaron los clientes de correo vulnerables y hoy la difusión por web (bien en páginas comprometidas o directamente de los atacantes) es el vector más peligroso, junto con el correo y la ingeniería social.
La afirmación "robarán documentos e información privada" es curiosa. Lo que hoy consigue el malware común principalmente es robar dinero de la cuenta del banco, realizando transacciones no deseadas. Aunque ha existido malware que ha robado documentos, o bien se han tratado de ataques dirigidos o no han tenido demasiado éxito. Como mucho, el resurgir del ramsonware actual secuestra el sistema o los documentos alegando que necesita un rescate para desbloquearlo, pero la mayoría de las veces realmente no roba nada ni le interesan los documentos o fotos más allá de que se realice el pago del rescate.
"Crearán nuevos agujeros de seguridad" puede ser ambiguo. Algunas muestras desactivan el cortafuegos o eliminan algunas características de seguridad del navegador, pero solo si lo necesitan para funcionar "cómodamente" en el sistema. Pocos son los troyanos que dejan la puerta abierta al paso de otros ni mucho menos se han visto gusanos que "creen" vulnerabilidades en sí... otra cosa es que solo las conozcan ellos (0-day).
"Una vez con el control del sistema, la usarán para lanzar nuevos ataques". Esto ya se hacía entonces: una gran cantidad de gusanos usaban el sistema afectado para instalar un pequeño MTA y enviar spam. Hoy se sigue usando, pero menos.
George Bakos, del Institute for Security Technology Studies en la Universidad de Dartmouth en Hanover, decía:
"Los gusanos híbridos serán cada vez más comunes. Atacarán múltiples vulnerabilidades quizás en múltiples sistemas operativos. Establecerán un canal de comunicación con el controlador. También serán polimórficos para ocultar su presencia".
Bakos no iba desencaminado. Si bien hoy no son los propios gusanos los que atacan múltiples vulnerabilidades, sí que los kits de exploits son la norma. Estos alojan varias vulnerabilidades e intentan explotarlas según el perfil que les visita. Igualmente, si en vez de "sistema operativo" hablamos de "navegador", estos exploits están preparados para atacar a los más populares y sus plugins. A lo que no se ha llegado aún es la "equidad" en cantidad de malware para diferentes plataformas o al multiplataforma. Sigue ganando Windows por goleada, aunque existe un repunte importante en el malware para Android. Sobre el poliformismo, en esto quizás jamás podían imaginar hasta dónde se ha llegado. Ya no es solo que el malware "mute" sino que se crean prácticamente ficheros únicos para cada víctima, haciendo imposible además que funcione en otro sistema que no sea en el que se ha creado en primera instancia. Por supuesto, acertó de lleno con el canal de comunicación con el controlador (aunque esto ya se hacía entonces).
Dan Woolley, de SilentRunner, hablaba en 2002 de los "gusanos durmientes":
"Infectarán un sistema pero no atacará automáticamente sino que esperará una señal, que podría ser una fecha y hora predeterminada o la llegada de un cierto correo o por ejemplo la decimoséptima vez que el usuario se presenta en el sistema".
Esta afirmación es extraña. Esporádicamente han aparecido ejemplares que esperaban una fecha para su activación, pero no han pasado de la anécdota. No es práctico para ellos esperar a un momento determinado puesto que corren el riesgo de que se les descubra. Lo que sí ocurre actualmente es que el malware bancario no se activa hasta que lo necesita, o sea, cuando el usuario se presenta en su página de banca electrónica. Aunque existen troyanos bancarios que, nada más ser lanzados, muestran una pantalla al usuario pidiendo las contraseñas, los más sofisticados esperan pacientemente a que la víctima ingrese en su banco y es ahí cuando se activan. Esto es mucho más realista y reporta mejores beneficios. Sí es cierto que también se ha convertido en habitual que el malware no funcione cuando se cree "estudiado". Por ejemplo evitan las máquinas virtuales, lanzarse más de una vez desde una máquina con la misma IP, o esperan al siguiente reinicio para eludir los análisis automáticos. Woolley continúa:
"El gusano espera y resucita hasta que pienses que has limpiado tu sistema, sin que tengas ni idea de que están ahí. Los gusanos pueden ser muy silenciosos y pueden ocultarse en un fichero que ni siquiera sabes que existe. No es algo que cualquier script kiddie vaya a hacer. Es muy sofisticado"
El malware actual, desde hace años, no va asociado a archivos sino que son ficheros en sí mismos (DLL, drivers, ejecutables...). Y tampoco se ocultan más de lo necesario, puesto que no han encontrado un enemigo a la altura al que tener miedo (esto es, no temen demasiado a los antivirus). Si el "pueden ser muy silenciosos" significa que burlarían fácilmente la detección en el sistema... acertó de pleno. Lo cierto es que también estamos viviendo un resurgimiento del malware que infecta al MBR y efectivamente, eso los hace muy silenciosos y es una zona que muchos usuarios "ni siquiera saben que existe".
2002 es la prehistoria del malware actual. Nada tenían que ver con el malware actual aquellos gusanos que principalmente aprovechaban los agujeros en Outlook Express o la ingeniería social para propagarse. La banca por internet no estaba tan popularizada, y lo más parecido a redes sociales se podía resumir en el Messenger y los chats. Veamos algunas predicciones de entonces:
Stephen Trilling, director de investigación de Symantec, afirmó en aquel momento:
"Veremos gusanos con una mayor sofisticación... con nuevas formas de difusión... que se podrán replicar a través de la mensajería instantánea... robarán documentos e información privada de cada ordenador. Crearán nuevos agujeros de seguridad en el sistema, y una vez que mantengan el control total de la máquina, usarla como base para lanzar nuevos ataques".
Por supuesto que el malware es más sofisticado, y por supuesto que existen nuevas maneras de difusión. Quizás, en aquel momento se centraron demasiado en la mensajería instantánea, por ser lo más parecido a las redes sociales del momento. Sin embargo, hoy la difusión hoy está clara: la web. Atrás quedaron los clientes de correo vulnerables y hoy la difusión por web (bien en páginas comprometidas o directamente de los atacantes) es el vector más peligroso, junto con el correo y la ingeniería social.
La afirmación "robarán documentos e información privada" es curiosa. Lo que hoy consigue el malware común principalmente es robar dinero de la cuenta del banco, realizando transacciones no deseadas. Aunque ha existido malware que ha robado documentos, o bien se han tratado de ataques dirigidos o no han tenido demasiado éxito. Como mucho, el resurgir del ramsonware actual secuestra el sistema o los documentos alegando que necesita un rescate para desbloquearlo, pero la mayoría de las veces realmente no roba nada ni le interesan los documentos o fotos más allá de que se realice el pago del rescate.
"Crearán nuevos agujeros de seguridad" puede ser ambiguo. Algunas muestras desactivan el cortafuegos o eliminan algunas características de seguridad del navegador, pero solo si lo necesitan para funcionar "cómodamente" en el sistema. Pocos son los troyanos que dejan la puerta abierta al paso de otros ni mucho menos se han visto gusanos que "creen" vulnerabilidades en sí... otra cosa es que solo las conozcan ellos (0-day).
"Una vez con el control del sistema, la usarán para lanzar nuevos ataques". Esto ya se hacía entonces: una gran cantidad de gusanos usaban el sistema afectado para instalar un pequeño MTA y enviar spam. Hoy se sigue usando, pero menos.
George Bakos, del Institute for Security Technology Studies en la Universidad de Dartmouth en Hanover, decía:
"Los gusanos híbridos serán cada vez más comunes. Atacarán múltiples vulnerabilidades quizás en múltiples sistemas operativos. Establecerán un canal de comunicación con el controlador. También serán polimórficos para ocultar su presencia".
Bakos no iba desencaminado. Si bien hoy no son los propios gusanos los que atacan múltiples vulnerabilidades, sí que los kits de exploits son la norma. Estos alojan varias vulnerabilidades e intentan explotarlas según el perfil que les visita. Igualmente, si en vez de "sistema operativo" hablamos de "navegador", estos exploits están preparados para atacar a los más populares y sus plugins. A lo que no se ha llegado aún es la "equidad" en cantidad de malware para diferentes plataformas o al multiplataforma. Sigue ganando Windows por goleada, aunque existe un repunte importante en el malware para Android. Sobre el poliformismo, en esto quizás jamás podían imaginar hasta dónde se ha llegado. Ya no es solo que el malware "mute" sino que se crean prácticamente ficheros únicos para cada víctima, haciendo imposible además que funcione en otro sistema que no sea en el que se ha creado en primera instancia. Por supuesto, acertó de lleno con el canal de comunicación con el controlador (aunque esto ya se hacía entonces).
Dan Woolley, de SilentRunner, hablaba en 2002 de los "gusanos durmientes":
"Infectarán un sistema pero no atacará automáticamente sino que esperará una señal, que podría ser una fecha y hora predeterminada o la llegada de un cierto correo o por ejemplo la decimoséptima vez que el usuario se presenta en el sistema".
Esta afirmación es extraña. Esporádicamente han aparecido ejemplares que esperaban una fecha para su activación, pero no han pasado de la anécdota. No es práctico para ellos esperar a un momento determinado puesto que corren el riesgo de que se les descubra. Lo que sí ocurre actualmente es que el malware bancario no se activa hasta que lo necesita, o sea, cuando el usuario se presenta en su página de banca electrónica. Aunque existen troyanos bancarios que, nada más ser lanzados, muestran una pantalla al usuario pidiendo las contraseñas, los más sofisticados esperan pacientemente a que la víctima ingrese en su banco y es ahí cuando se activan. Esto es mucho más realista y reporta mejores beneficios. Sí es cierto que también se ha convertido en habitual que el malware no funcione cuando se cree "estudiado". Por ejemplo evitan las máquinas virtuales, lanzarse más de una vez desde una máquina con la misma IP, o esperan al siguiente reinicio para eludir los análisis automáticos. Woolley continúa:
"El gusano espera y resucita hasta que pienses que has limpiado tu sistema, sin que tengas ni idea de que están ahí. Los gusanos pueden ser muy silenciosos y pueden ocultarse en un fichero que ni siquiera sabes que existe. No es algo que cualquier script kiddie vaya a hacer. Es muy sofisticado"
El malware actual, desde hace años, no va asociado a archivos sino que son ficheros en sí mismos (DLL, drivers, ejecutables...). Y tampoco se ocultan más de lo necesario, puesto que no han encontrado un enemigo a la altura al que tener miedo (esto es, no temen demasiado a los antivirus). Si el "pueden ser muy silenciosos" significa que burlarían fácilmente la detección en el sistema... acertó de pleno. Lo cierto es que también estamos viviendo un resurgimiento del malware que infecta al MBR y efectivamente, eso los hace muy silenciosos y es una zona que muchos usuarios "ni siquiera saben que existe".
Stephen Trilling, de Symantec, también decía entonces:
"Llevarán consigo un número de exploits dentro una "cabeza nuclear" [...] encontrarán algo que no esté parcheado y te pillarán. No creo que ninguna compañía esté totalmente parcheada [...] piensa en todas las vulnerabilidades que salen hoy cada día y en número de servidores de una gran organización. Los administradores no tienen tiempo."
Seguía centrándose en los gusanos, como ente independiente que gestionaba todo el ataque y la infección. El malware está dividido hoy en servidor y cliente (o agente infector e infraestructura), donde es el servidor el que maneja la inteligencia y gestiona la explotación o recopila los datos robados. Existe poco malware que funcione por sí mismo en un entorno sin red. Lamentablemente, las circunstancias sobre las vulnerabilidades que retrata, siguen totalmente vigentes hoy en día.
Trilling añadía:
"Con la mensajería instantánea, estás conectado todo el tiempo así que eres vulnerable todo el tiempo"
Acierta en su propuesta de a mayor conectividad, mayor exposición. Pero quizás no supieron prever la "nube" (y la exposición absoluta del navegador), y la conectividad de multitud de servicios a través de HTTP.
"Llevarán consigo un número de exploits dentro una "cabeza nuclear" [...] encontrarán algo que no esté parcheado y te pillarán. No creo que ninguna compañía esté totalmente parcheada [...] piensa en todas las vulnerabilidades que salen hoy cada día y en número de servidores de una gran organización. Los administradores no tienen tiempo."
Seguía centrándose en los gusanos, como ente independiente que gestionaba todo el ataque y la infección. El malware está dividido hoy en servidor y cliente (o agente infector e infraestructura), donde es el servidor el que maneja la inteligencia y gestiona la explotación o recopila los datos robados. Existe poco malware que funcione por sí mismo en un entorno sin red. Lamentablemente, las circunstancias sobre las vulnerabilidades que retrata, siguen totalmente vigentes hoy en día.
Trilling añadía:
"Con la mensajería instantánea, estás conectado todo el tiempo así que eres vulnerable todo el tiempo"
Acierta en su propuesta de a mayor conectividad, mayor exposición. Pero quizás no supieron prever la "nube" (y la exposición absoluta del navegador), y la conectividad de multitud de servicios a través de HTTP.
Lo que no predijeron
Por supuesto que es muy complicado acertar en estos aspectos, y no se puede reprochar absolutamente nada a quien se aventura a pronosticar por dónde irán las tendencias del futuro. Es complejo y solo sirve como ejercicio curioso.
Quizás se centraron en la auto propagación (gusanos) como estrategia ganadora del malware común en el futuro de 2002. El hecho es que hoy, los gusanos están "en extinción", incluso el malware que se autoreplica es escaso. Hoy la propagación es a través del navegador y la ingeniería social en el correo.
No supieron ver el malware para los dispositivos móviles como un futuro provechoso mientras que hoy el malware para Android sigue creciendo, a la espera de que se popularice Windows 8 en tabletas y teléfonos. Esto puede traer un panorama interesante porque probablemente, se podrá infectar el teléfono desde el ordenador y viceversa. Tampoco se intuyó la explosión del malware "hágalo usted mismo" donde se proporcionan frameworks completos para crear tu propio troyano y distribuirlo o del tráfico de vulnerabilidades y del malware como servicio que todo esto acarrearía...
En resumen, sí parece que se intuía la capacidad técnica que podía llegar a desarrollar el malware, su relación con las vulnerabilidades y su persistencia en el sistema. Olvidaron quizás el aspecto práctico y el cariz de industria que ha tomado el mundo vírico. No es necesario ser vistoso ni grandes fuegos artificiales para funcionar y perdurar: como cualquier empresa, la industria del malware necesita inversión, investigación, gestión de recursos y eficacia, y para ello gestiona y explota los recursos actuales a su conveniencia. Pero... ¿fue un error centrarse demasiado en los puntos más "sensacionalistas"?
Lo que predijeron
Curiosamente, esa capacidad "fantasiosa" con la que describen las capacidades de los "gusanos", puede (con todas las salvedades posibles) incluso ajustarse a la predicción si jugamos en otra liga fuera del malware "común". Con Stuxnet como referente y el espionaje industrial, encontramos que "contenía" vulnerabilidades previamente desconocidas, actuaba como gusano, usaba certificados válidos para pasar desapercibido (algo al alcance de pocos) y robaba información confidencial... cualidades nombradas en cierta manera en ese artículo de 2002 y que reunía Stuxnet, descubierto en 2010. Incluso, el malware usado en la operación Aurora contra Google, se propagó por mensajería instantánea en 2009. Si bien algunos de los aspectos que nombraron podían sonar "futuristas" para 2002, este tipo de código (Duqu, Flame...) funcionaba así en algunos aspectos y sorprendieron a todos, incluso hace pocos años.
Curiosamente, esa figura de los "supergusanos" que dibujan está más cerca del cómo se desarrollarían los ataques exclusivos a objetivos concretos, que del malware común del día a día de los usuarios.
Más información:
No hay comentarios:
Publicar un comentario