Hace poco he tenido el placer de colaborar en el desarrollo del Paper Net of the Living Dead: Bots, Botnets and Zombies junto a dos grandes de la industria antimalware David Harley (autor y colaborador de 9 libros relacionados a seguridad) y Andrew Lee CTO de ESET.

Les recomiendo la lectura del mismo debido a que se hace un repaso general del estado actual de las botnets y los equipos zombies.

El Paper también hace referencia a mi artículo anterior Botnets, redes organizadas para el crimen desarrollado el pasado año.

Cristian

• Botnets en la prensa
• Botnets: la amenaza silenciosa
• ¡Arrastrándose por la bot!

Categorias: Informes
Sin Comentarios »

Días atrás hemos lanzado un Informe sobre malware en América Latina, correspondiente a los análisis realizados por nuestro Laboratorio durante 2007.

Las amenazas en el idioma en español y completamente focalizadas en América Latina se masificaron, y por eso cobra aún más importancia la localización de un laboratorio de investigación, ya que genera tiempos de respuesta mucho menor.

Para aquellos interesados en conocer lo que sucede en la zona en lo que amenazas y programas dañinos se refiere, de más está decir que recomiendo la lectura del informe.

Cristian

• Tendencias en el malware para el 2008
• Piratería vs Protección
• Nueva amenaza en Latinoamérica

Categorias: Informes
Sin Comentarios »

Como es costumbre a comienzo de año, acabamos de publicar las Tendencias 2008: Qué nos depara el malware en el futuro, el informe anual preparado por ESET Latinoamérica con lo que se espera para este año.

En este informe analizamos los siguientes temas:

• Abuso de confianza del usuario
• Abuso de recursos de Internet
• Vulnerabilidades
• Nuevas tecnologías
• Las amenazas de siempre potenciadas
• Las redes organizadas para el crimen

Espero lo disfruten.

Cristian

• Juegos olímpicos, excusa para propagar malware
• Jugadores, víctimas de las amenazas (PSW.OnLineGames)
• Tendencias del malware

Categorias: Informes
Sin Comentarios »

Tal y como comentábamos ayer se ha encontrado gran cantidad de sitios conocidos y confiables (incluso mucho de ellos educativos, gubernamentales y de la lista Fortune 500) que apuntan a scripts hosteados en sitios chinos y que permiten la descarga de archivos ejecutables dañinos.

En este momento, se registran alrededor de 120.000 sitios afectados, de los cuales un porcentaje importante son sitios en español:

Aparentemente, a través de un ataque de SQL Injection, decenas de miles de sitios que utilizan Microsoft SQL Server han sido modificados agregando enlaces a sitios dañinos en sus tablas de la base de datos.

A través de estas modificaciones se ha logrado que cada vez que se ingresa al sitio atacado, se carga en el navegador del usuario un Javascript que invoca a otros scripts que explotan diversas vulnerabiliades en el sistema operativo, navegador y aplicaciones del usuario:

• Vulnerabilidad MDAC (Microsoft Data Access Components), ya corregida por Microsoft en abril de 2006 con la actualización MS06-014.
• Vulnerabilidad en Yahoo! Messenger ya corregida.
• Una vulnerabilidad en Real Player solucionada en octubre de 2007 y otra vulnerabilidad en RealPlayer reportada este 3 de enero y aún no corregida. Si Ud. dispone de Real Player instalado, extreme la precauciones.

A modo de ejemplo analicemos un caso de un conocido (y muy visitado) sitio de musica latinoamericano que se ha visto afectado. Al momento de escribir el presente, este sitio ya ha solucionado y solventado el ataque.

Al ingresar al sitio lo único que se notará es una carga “más lenta” del mismo. Esto sucede debido a que múltiples sitios y archivos están siendo invocados y descargados en este momento de otros servidores. En el sitio puede verse lo siguiente:

Al descargar el código fuente pueden verse los enlaces al script dañino en el sitio uc8010[dot]com (o ucmal[dot]com en otros casos) y ejecutando el archivo Javascript 0.js múltiples veces. Si Ud. es administrador de red le recomendamos bloquear estos sitios de inmediato.

Esto es debido a que la inyección SQL ha impactado en diversas tablas y esto permite la modificación masiva de las cabeceras del archivo HTML involucrado. Los dominios mencionados han sido registrados el 28 de diciembre pasado y evidentemente el único fin ha sido el de crear este ataque masivo.

A continuación, si el usuario dispone de algunas de las vulnerabilidades mencionadas, y no cuenta con una protección antivirus adecuada, se procederá a ejecutar 4 scripts ofuscados que descargan al menos 3 archivos ejecutables dañinos. Estos archivos ejecutables son detectados por la Heurística Avanzada de ESET NOD32.

Parte del código fuente del archivo 0.js es el siguiente, donde se invoca a un nuevo script llamado w.js:

Este script a su vez invoca a nuevos scripts y también ya puede verse el primer código ofuscado que comienza a realizar pruebas de vulnerabilidades en el sistema del usuario:

Este proceso de descarga de archivos Javascripts ofuscados (e incluso un Vbscript) continúa y luego de seguir todo el proceso completo se contará con los siguientes archivos descargados:

Como puede intuirse con los nombres de los mismos, cada uno de ellos explota una de las vulnerabilidades ya mencionadas. Si estos exploits tienen éxito, el sistema resultará infectado con algún tipo de malware. Los 3 archivos ejecutables que pueden verse en la imagen son troyanos ladrones de contraseñas de juegos en línea. Estos archivos ejecutables son detectados por la Heurística Avanzada de ESET NOD32 cuando intentan ser descargados:

Si Ud. es administrador de un sitio web recomendamos:

• Ser muy cuidadosos cuando suceden este tipo de ataques
• Verificar el código fuente de sus aplicaciones para evitar ataques de SQL Injection (hardening de aplicaciones)
• Verificar su sitio continuamente para detectar posibles vectores de ataques
• Bloquear los sitios mencionados en el presente
• Si Ud. es una de las víctimas, informar a sus clientes y visitantes, bajar el sitio si es necesario y solucionar el inconveniente (recuperar la base de datos, sanitizar el código fuente, etc.)

Si Ud. es usuario recomendamos:

• Aplicar las actualizaciones del sistema operativo y las aplicaciones que utiliza
• Bloquear los sitios mencionados en el presente
• Instalar un antivirus con capacidades de detección heurística que evite la descarga de archivos dañinos

Cristian

• Des-ofuscando código JavaScript
• Nuevos sitios infectados masivamente
• Servidor y cliente “colaboran” para infectar al usuario

Categorias: Educación, Informes, Malware
7 Comentario »

Teniendo en cuenta que existe en el “mercado” actual del malware una gran variedad de opciones, resulta sumamente importante y gratificante conocer de qué manera funcionan los códigos maliciosos.

Por ello, en el día de hoy, quiero recomendarles la lectura de un artículo recientemente publicado en nuestra página web llamado Virtumonde: Crónica de una muerte anunciada, y que fue escrito por Cristian.

Se trata del análisis de un Adware, que al desplegar sus funcionalidades, posee la capacidad de recolectar información de los usuarios sin su consentimiento, característica típica de los Spyware.

Por otro lado, se describen las técnicas defensivas que este código malicioso utiliza para dificultar su detección. Pero sin entrar en detalles, los dejo para que disfruten de su lectura.

Jorge

• Falso correo con muerte de Verónica Castro
• Correo con la muerte Felipe Calderón
• ¿Murio Fidel Castro?

Categorias: Educación, Informes, Malware
Sin Comentarios »

ENISA (European Network and Information Security Agency) acaba de publicar un interesante artículo titulado botnets: la amenaza silenciosa.

El mismo ha sido desarrollado por David Barroso de la empresa S21Sec y revisado por otros profesionales con trayectorias semejantes en Seguridad de la Información.

Cristian

• Botnets en la prensa
• Artículo sobre botnets y zombies
• Cuidado, imágenes en el MSN

Categorias: Informes
Sin Comentarios »

Algunas personas están hablando acerca de una técnica llamada “whitelisting” como si fuese el caballero montando al caballo blanco a punto de salvar al mundo. Esto es así… en las novelas de fantasía.

Creo tener algo de experiencia cuando se habla de whitelisting. Fue mi trabajo en Microsoft por más de siete años. Mi trabajo era asegurarme que Microsoft no lanzara ni firmara digitalmente ningún código malicioso. ¿Como hacía eso? Usaba mucho, como sabrán, software antivirus. Utilicé ESET NOD32 Antivirus para contar con la mejor detección de amenazas desconocidas que nadie había visto antes y de las cuales no había firmas actualizadas.

Esta es la historia del club de fans de Whitelistening. Los antivirus no pueden protegernos de nuevas amenazas para las que no hay firmas. Whitelistening sólo permite ejecutar programas conocidos, para prevenir ataques de los cuales no se tiene conocimiento.

Para empezar, ESET NOD32 Antivirus detecta y bloquea amenazas desconocidas desde hace ya varios años. Utilizamos, como muchas empresas de AV, una técnica llamada “Heurística” que nos permite identificar amenazas desconocidas, a pesar de no estar en las firmas. El fans club de whitelist no ha mirado a ninguna tecnología antivirus desde que Windows 95 era un sistema totalmente nuevo.

Whitelistening no sólo nos permite ejecutar únicamente programas “benignos”, sino que también nos permite ejecutar cualquier programa que nosotros definamos como “benigno”. Si definimos un programa malicioso en una whitelist, el mismo se va a ejecutar y realizar acciones malignas, sin importar si el producto puede detectarlo ya sea por heurística o por base de firmas.

Hay varios tipos y formas de whitelistening, realicemos un vistazo:

Las firmas digitales están desarrolladas para hacer whitelist en programas y sitios web. La idea es que, si un programa o sitio web está firmado digitalmente por una fuente confiable y tiene un “certificado de autoridad”, entonces se puede usar tranquilamente el programa o sitio web. Microsoft usa firmas digitales para sus archivos ejecutables. Si el archivo cambia, el certificado digital se rompe, por lo tanto, usted no lo va a ejecutar. Si se confía en certificados equívocos, puede ser un problema. Este es uno de los ataques contra este tipo de white list.

Incluir sitios web en la lista puede ser otra solución para la seguridad. La idea es que usted solamente navegue en sitios conocidos y definidos como “benignos”. Esto no tiene nada que ver cuando un sitio “benigno” y conocido es hackeado, como ocurrió con el sitio de Miami Dolphins, en el último Super Bowl. Los hackers colocaron un exploit en el sitio, del cual se descargaba un troyano que comprometía el equipo de los usuarios.

Hay miles de sitios web conocidos y supuestamente benéficos que han sido comprometidos. MSN, Tomshardware.com, y recientemente Monster.com, todos sitios de alto tráfico, y de buen perfil, sitios “benignos” que probablemente se encuentren en este tipo de white list.

Incluir programas ejecutables en la lista, es otro tipo de whitelist. Algunos piensan que es la salvación. Incluso si no se agregan sitios web a la whitelist, el programa que intenta descargarse no se ejecutará porque no se encuentra en la misma.

La forma obvia de sobrepasar esto, es usando un exploit que modifique un proceso en memoria. No hay necesidad de utilizar ningún archivo y la técnica es utilizada por rootkits y otras amenazas que son capaces de deshabilitar cualquier software de seguridad, como pueden ser antivirus, firewalls, programas de white listing, y probablemente cualquier otro software similar.

¿Cómo hacen las compañías para agregar programas a la white list? Utilizan mucho software antivirus. Las aproximaciones usadas para el whitelisting son imperfectas, basándonos en que no verifican si un programa es benigno, verifican que están confiando en la fuente que les dice que ninguna amenaza ha sido encontrada en el programa. La única forma de saber que un programa es realmente benigno es accediendo al código de fuente del mismo y observarlo, o descompilarlo e ir verificando por el archivo entero para ver qué es lo que está realizando realmente. Esto no es realizado por las compañías de whitelisting y no puede ser realizado por ellos. Es por ello que estas empresas recaen en confiar en la fuente y terminan utilizando software antivirus.

En la práctica, los programas malignos están en la whitelist todo el tiempo. ¿No llamaríamos nosotros “maligno” a un programa con una seria o critica vulnerabilidad? Por supuesto que si, pero todos los programas, como Acrobat, Quicktime, y los sistemas operativos de Microsoft, Apple, Linux y otros, estarían listados. El problema es que no podemos parchear estos programas hasta que el parche esté listado. ¿Nos quedamos con el archivo inseguro listado o lo eliminamos? En algunos casos, las compañías podrían querer seguir usando el archivo imperfecto por una razón legítima de negocios, pero si no se encuentran en la whitelist, entonces necesitarían crear exclusiones y quitar las mismas.

La enorme cantidad de nuevos programas desarrollados día a día, que son genuinos y benignos, hacen que mantener una whitelist sea una tarea que requiera mucha atención y por sobre todo, tiempo y dinero.

Whitelisting puede ser una valiosa adición en una estrategia de defensa profunda, pero no es una completa defensa.

¿Podría imaginarse diciéndole a alguien, que como los airbag le agregan seguridad a los autos, no se necesita más el cinturón de seguridad? Bueno, la persona que le dice que el whitelisting reemplaza a los antivirus, es como un airbag llamando obsoleto a un cinturón de seguridad.

Randy Abrams
Director of Technical Education

Categorias: Educación, Informes, Productos
Sin Comentarios »

BSA publica informes anuales sobre el porcentaje de piratería en el mundo.

Nuevamente América Latina tiene el “orgullo” de posicionarse como el continente con mayores índices de piratería.

“Un nuevo estudio reveló que el 66% del software instalado en el año 2006 en computadoras personales (PCs) en Latinoamérica fue obtenido ilegalmente, lo que representó más de 3.000 millones de dólares en pérdidas debido a la piratería de software.”

Otro estudio de IPI dice algo similar con respecto a las pérdidas económicas:

“…la piratería de películas, música, software y videojuegos causarían esos 58.000 millones de dólares anuales.”

Una pregunta que nos suelen hacer es qué tiene que ver esto con la seguridad antivirus y cómo influyen estos niveles en la seguridad de nuestro sistema.

Las posibles respuestas a esta pregunta son:

• si el software de seguridad que instalamos procede de fuentes no confiables y fidedignas, no se puede asegurar que los niveles de seguridad ofrecidos son los ideales.
• si el producto es descargado de sitios no oficiales, es muy probable que el mismo haya sido modificado (caso de los warez) para violar la protección de licencias. Esta modificación puede haber dañado el producto.
• si el producto es modificado por programas tipo patch, puede dañarse el producto original y dejar de proteger al usuario.
• si producto ha sido modificado, ¿quién asegura que el mismo no dispone de puertas traseras o troyanos con fines maliciosos? Es decir, que hemos instalado un software de seguridad que en realidad instala un programa dañino en el sistema. Esta acción es de lo más común en el under.
• Los autores de los cracks son programadores que suelen cometer errores al realizar sus acciones, lo que puede dejar inactivos ciertas funcionalidades del producto de seguridad.

Por mencionar un caso, existen cracks para ESET NOD32 que aseguran una actualización eterna (99.999 días o similares). Esto no es tal y en realidad ciertas funcionalidades del producto permanecerán sin funcionar, lo que no brindará protección al usuario.

Cristian

• ESET NOD32 Antivirus 3.0, como pan caliente
• Consejos para una Semana Santa sin infecciones
• Soluciones de ESET para Linux/BSD

Categorias: Estadísticas, Informes, Piratería
1 Comentario »

Como veníamos adelantando la proliferación de códigos ofuscados que explotan vulnerabiliades en el navegador para instalar otros malware y formar botnets se afianza en Internet.

En septiembre se sigue haciendo notar este tipo de códigos y ya debemos a saber que se perfilan como LAS amenazas a combatir en el futuro cercano.

Me deja tranquilo que nuestro nuevo producto ESET Smart Security llegará justo a tiempo para darle de palos y seguirá protegiéndo al usuario de la mejor manera, como lo ha hecho ESET NOD32 hasta el momento.

Cristian

• Falsos perfiles de MySpace explotados por sitios chinos
• Errores 404 con malware
• ¡Felices fiestas!

Categorias: Informes, Malware
Sin Comentarios »

Sin duda, una de las cuestiones más consultadas a ESET es aquella acerca de sus capacidades proactivas y específicamente sobre heurística.

Para aclarar el tema David Harley, Security Author and Consultant y Andrew Lee, Chief Research Officer de ESET, han escrito este Análisis Heurístico: detectando malware desconocido en donde se explica el funcionamiento de la tecnología Antivirus, haciendo especial énfasis en el análisis heurístico para la detección proactiva de códigos maliciosos desconocidos.

Que lo disfruten.

Cristian

• De comparativas, proactividad y falsos positivos
• Heurística de fin de semana
• Viendo la Heurística

Categorias: Educación, Heurística, Informes
Sin Comentarios »