Archivo de la etiqueta: Bootnet

Se vende o alquila Kneber (alquiler de habitaciones por 50 céntimos)*

por Rik Ferguson

Soy consciente de que puedo estar ganándome una reputación de cascarrabias, siempre con mi jarro de agua fría listo para cuando lo exija la situación, pero de nuevo me siento obligado a escribir sobre los anuncios a bombo y platillo.

“Al parecer, no hay ningún motivo para estos extraordinarios disgustos intergalácticos. Solo el Dr. Hans Zarkov, que trabajó antes en la NASA, ha dado alguna explicación”*

Recientemente, la prensa se ha mostrado aterrada por la magnitud de una “nueva” red zombi llamada Kneber. Según un informe de NetWitness, una red zombi en concreto que utiliza el crimeware ZeuS ha logrado infiltrarse en miles de empresas y cientos de miles de equipos. Desde luego, se trata de una terrible noticia para las empresas afectadas y, por supuesto, pueden aprenderse muchas lecciones sobre seguridad corporativa de situaciones tales como esta.

Sin embargo, lo que es importante señalar aquí es que no hay nada “nuevo” o “sin precedentes” en el hecho de que una red zombi utilice ZeuS o una red zombi de este tamaño, ya que ZeuS (o ZBot) existe desde por lo menos 2007. En el submundo en línea, ZeuS es el equivalente al crimeware de materias primas. Se comercializa abiertamente en foros en línea tanto como producto de software como en forma de redes zombi ya infectadas. Los proveedores son cada vez más conscientes de que deben añadir servicios a su oferta criminal, o Crimeware como servicio.

Captura de pantalla de un foro del submundoCaptura de pantalla de un foro del submundo

Las versiones anteriores del software pueden descargarse de forma gratuita, aunque suelen sufrir ataques de puerta trasera por parte de otros delincuentes. Entre los ladrones no existe el honor. De hecho, hay tanta oferta de redes zombi, que el precio de los equipos ya infectados es sorprendentemente bajo.

Captura de pantalla de un foro del submundo
175.000 programas robot en venta… en todo el mundo.

Por supuesto, si no se tienen medios o ganas de dirigir una red zombi propia, siempre se puede recurrir a comprar simplemente el resultado…

Soy leñador y estoy bien. Se vende leña.

https://zeustracker.abuse.ch/index.php

Un rápido vistazo al sistema de seguimiento de ZeuS nos muestra que están siguiendo a casi 1.300 servidores de comando y control para varias redes zombi ZeuS, de las cuales casi la mitad están en línea ahora mismo. Demuestran que la tasa de detección binaria media (el modo de detección de los productos antivirus, mediante firmas o archivos de patrones) es de solo un 49,62%, lo que de algún modo explica la elevada tasa de infección.

Es bien sabido que los creadores de malware y otros delincuentes ya han averiguado cómo superar los métodos tradicionales de protección antimalware, que se basan en actualizaciones de firmas o patrones. No tienen más que modificar su código con la mayor frecuencia posible. Se calcula que, en la actualidad, vemos un código binario malicioso exclusivo cada 1,5 segundos.

Así que esta es la primera lección de seguridad corporativa que hay que extraer de esta reciente publicidad…

Hay que asegurarse de que la solución antimalware no se basa simplemente en la capa de infección (“a qué se parece el archivo“), además de investigar la capa de exposición (“de dónde procede el archivo y de quién depende“). Si el sistema de seguimiento de ZeuS sabe dónde están los servidores de los malos, lo mismo debería ocurrir con todos tus puntos finales. Llegados a ese punto, la apariencia del código binario real pasa a ser un asunto secundario.
Por cierto, aquí hay una herramienta gratuita para comprobar si se forma parte de una red zombi.

* Mis disculpas a Roger Miller y Queen

2010, ¿el año de los zombis?

2009 ha sido un año importante para el malware y la actividad maliciosa en Internet por diversas razones, varias de las cuales tienen que ver con lo que se conoce como redes robot. Un zombi o robot es un PC infectado por malware que lo pone bajo el control remoto de un delincuente. Los delincuentes dirigen redes que pueden abarcar desde miles hasta millones de equipos infectados y las utilizan para cometer la mayor parte de los delitos informáticos que vemos hoy en día, como el spam, ataques DDoS, scareware, phishing y alojamiento de sitios Web maliciosos o ilegales. Están presentes allí donde haya algo que de lo que un ciberdelincuente pueda beneficiarse.

Durante la primera mitad del año, el gusano Conficker (también conocido como Downadup o Kido) acaparó todos los titulares del mundo del malware. Finalmente, se vio que la red robot Conficker llevaba la misma carga explosiva que otros ciberdelincuentes estándar, como robots de spam y antivirus falsos (o scareware), para gran decepción de algunos de los comentaristas más histéricos. Solo porque la epidemia recibió tanta atención que se extinguió igual de rápido de lo que había aparecido, no debemos engañarnos y pensar que la amenaza ha desaparecido. El Grupo de trabajo sobre Conficker, una alianza de proveedores, investigadores y otras organizaciones comerciales relacionados con la seguridad, indica actualmente que alrededor de 6 millones de direcciones IP únicas parecen estar infectadas por este malware.

Otra tendencia del 2009 fue el aumento exponencial en el mal uso de proveedores de redes sociales para fines maliciosos. Las enormes poblaciones de usuarios activos en sitios tales como Facebook, Twitter y MySpace han demostrado ser un aliciente muy atractivo para el crimen informático organizado y sus timos de antivirus falsos, reclutamiento de robots y lucro económico. Facebook ha sufrido el mal uso de aplicaciones maliciosas diseñadas para engañar a los usuarios de forma que hagan clic en enlaces que remuneran a su creador mediante redes de publicidad afiliadas (pagan al creador por cada clic que hagan los usuarios). También se ha utilizado para difundir malware por diversos medios, enlaces maliciosos en publicaciones en el muro y mensajes, malware diseñado específicamente para piratear cuentas y ataques externos a aplicaciones legítimas de Facebook. La familia de malware Koobface (también una red robot) ha evolucionado durante el transcurso del 2009; en un principio se difundía mediante mensajes maliciosos y publicaciones en el muro con enlaces a sitios de YouTube falsos que llevaban a un supuesto códec para poder ver el vídeo. El códec, por supuesto, no era tal, y provocaba una infección y el pirateo de la cuenta. Ahora, sin embargo, Koobface ha evolucionado hasta el punto de que es perfectamente capaz de crear sus propias páginas de perfil de Facebook, completas, con dirección de Gmail confirmada, fotografía y datos biográficos. Estas cuentas falsas se dedican a continuación a unirse a redes y a enviar solicitudes de amistad; todo ello, de nuevo, de forma totalmente automática.

Aquí es donde la cosa se pone interesante; además del spam y el malware, los sitios Web 2.0 han sufrido nuevos y preocupantes tipos de ataque durante el transcurso del 2009. Twitter y Google Reader se han utilizado como página de inicio para campañas de spam, para tratar de sortear el filtrado de URL en los mensajes de correo electrónico. En los últimos meses, Twitter, Facebook, Pastebin, Google Groups y un Google AppEngine se han utilizado como servidores sustitutos de comando y control para redes robot. Estos foros públicos se han configurado para emitir comandos cifrados a redes robot distribuidas por todo el mundo. Hasta ahora, se pensaba que un PC que estableciera una conexión Web estándar con Facebook, Google o Twitter, incluso varias veces al día, estaba funcionando con total normalidad. Sin embargo, esto ha dejado de ser así, ya que los propietarios de redes robot y los grupos de delincuentes tratan de seguir disipando su infraestructura de comando y control y mezclarse entre el ruido general de Internet.

No es coincidencia que gran parte de la innovación alcanzada en 2009 se refiera a sistemas de comando y control para redes robot. La gran mayoría de las redes robot de la vieja escuela, controladas por IRC, se apagan tras 24 horas y los robots de redes de igual a igual suelen dejar también firmas visibles, lo que conduce a su neutralización en cada equipo. Un aspecto de los controles de redes robot para Web 2.0 que no me extrañaría que estuvieran estudiando actualmente los ciberdelincuentes es el único punto flaco que constituye el basarse en un solo proveedor como Facebook o Google, ya que con solo cerrar la página de Facebook maliciosa ya se está desactivando la red robot. Los creadores de redes robot han invertido grandes cantidades de tiempo y código en distribuir su infraestructura de gestión, en fast-flux y en protocolos de igual a igual. Podemos estar totalmente seguros de que trasladarán las lecciones que han aprendido a la nueva red robot «habilitada para Internet». Justo la semana pasada se anunció que la red robot Zeus está utilizando los servicios EC2 de Amazon para el comando y control. Es completamente posible que la capacidad de la última variante de Koobface para crear varios perfiles automáticos se aproveche para solucionar el único punto flaco inherente al uso de un solo perfil de Facebook o Twitter como canal encubierto.

Cuando se trata de redes robot, estaría muy bien poder decir que “la cosa va mejorando”. Pero no es el caso. Cada vez hay más equipos infectados y las infecciones duran cada vez más tiempo.