Teniendo en cuenta que existe en el “mercado” actual del malware una gran variedad de opciones, resulta sumamente importante y gratificante conocer de qué manera funcionan los códigos maliciosos.

Por ello, en el día de hoy, quiero recomendarles la lectura de un artículo recientemente publicado en nuestra página web llamado Virtumonde: Crónica de una muerte anunciada, y que fue escrito por Cristian.

Se trata del análisis de un Adware, que al desplegar sus funcionalidades, posee la capacidad de recolectar información de los usuarios sin su consentimiento, característica típica de los Spyware.

Por otro lado, se describen las técnicas defensivas que este código malicioso utiliza para dificultar su detección. Pero sin entrar en detalles, los dejo para que disfruten de su lectura.

Jorge

Vota primero

Categorias: Educación, Informes, Malware
Dejar un comentario »

ENISA (European Network and Information Security Agency) acaba de publicar un interesante artículo titulado botnets: la amenaza silenciosa.

El mismo ha sido desarrollado por David Barroso de la empresa S21Sec y revisado por otros profesionales con trayectorias semejantes en Seguridad de la Información.

Cristian

Vota primero

Categorias: Informes
Dejar un comentario »

Algunas personas están hablando acerca de una técnica llamada “whitelisting” como si fuese el caballero montando al caballo blanco a punto de salvar al mundo. Esto es así… en las novelas de fantasía.

Creo tener algo de experiencia cuando se habla de whitelisting. Fue mi trabajo en Microsoft por más de siete años. Mi trabajo era asegurarme que Microsoft no lanzara ni firmara digitalmente ningún código malicioso. ¿Como hacía eso? Usaba mucho, como sabrán, software antivirus. Utilicé ESET NOD32 Antivirus para contar con la mejor detección de amenazas desconocidas que nadie había visto antes y de las cuales no había firmas actualizadas.

Esta es la historia del club de fans de Whitelistening. Los antivirus no pueden protegernos de nuevas amenazas para las que no hay firmas. Whitelistening sólo permite ejecutar programas conocidos, para prevenir ataques de los cuales no se tiene conocimiento.

Para empezar, ESET NOD32 Antivirus detecta y bloquea amenazas desconocidas desde hace ya varios años. Utilizamos, como muchas empresas de AV, una técnica llamada “Heurística” que nos permite identificar amenazas desconocidas, a pesar de no estar en las firmas. El fans club de whitelist no ha mirado a ninguna tecnología antivirus desde que Windows 95 era un sistema totalmente nuevo.

Whitelistening no sólo nos permite ejecutar únicamente programas “benignos”, sino que también nos permite ejecutar cualquier programa que nosotros definamos como “benigno”. Si definimos un programa malicioso en una whitelist, el mismo se va a ejecutar y realizar acciones malignas, sin importar si el producto puede detectarlo ya sea por heurística o por base de firmas.

Hay varios tipos y formas de whitelistening, realicemos un vistazo:

Las firmas digitales están desarrolladas para hacer whitelist en programas y sitios web. La idea es que, si un programa o sitio web está firmado digitalmente por una fuente confiable y tiene un “certificado de autoridad”, entonces se puede usar tranquilamente el programa o sitio web. Microsoft usa firmas digitales para sus archivos ejecutables. Si el archivo cambia, el certificado digital se rompe, por lo tanto, usted no lo va a ejecutar. Si se confía en certificados equívocos, puede ser un problema. Este es uno de los ataques contra este tipo de white list.

Incluir sitios web en la lista puede ser otra solución para la seguridad. La idea es que usted solamente navegue en sitios conocidos y definidos como “benignos”. Esto no tiene nada que ver cuando un sitio “benigno” y conocido es hackeado, como ocurrió con el sitio de Miami Dolphins, en el último Super Bowl. Los hackers colocaron un exploit en el sitio, del cual se descargaba un troyano que comprometía el equipo de los usuarios.

Hay miles de sitios web conocidos y supuestamente benéficos que han sido comprometidos. MSN, Tomshardware.com, y recientemente Monster.com, todos sitios de alto tráfico, y de buen perfil, sitios “benignos” que probablemente se encuentren en este tipo de white list.

Incluir programas ejecutables en la lista, es otro tipo de whitelist. Algunos piensan que es la salvación. Incluso si no se agregan sitios web a la whitelist, el programa que intenta descargarse no se ejecutará porque no se encuentra en la misma.

La forma obvia de sobrepasar esto, es usando un exploit que modifique un proceso en memoria. No hay necesidad de utilizar ningún archivo y la técnica es utilizada por rootkits y otras amenazas que son capaces de deshabilitar cualquier software de seguridad, como pueden ser antivirus, firewalls, programas de white listing, y probablemente cualquier otro software similar.

¿Cómo hacen las compañías para agregar programas a la white list? Utilizan mucho software antivirus. Las aproximaciones usadas para el whitelisting son imperfectas, basándonos en que no verifican si un programa es benigno, verifican que están confiando en la fuente que les dice que ninguna amenaza ha sido encontrada en el programa. La única forma de saber que un programa es realmente benigno es accediendo al código de fuente del mismo y observarlo, o descompilarlo e ir verificando por el archivo entero para ver qué es lo que está realizando realmente. Esto no es realizado por las compañías de whitelisting y no puede ser realizado por ellos. Es por ello que estas empresas recaen en confiar en la fuente y terminan utilizando software antivirus.

En la práctica, los programas malignos están en la whitelist todo el tiempo. ¿No llamaríamos nosotros “maligno” a un programa con una seria o critica vulnerabilidad? Por supuesto que si, pero todos los programas, como Acrobat, Quicktime, y los sistemas operativos de Microsoft, Apple, Linux y otros, estarían listados. El problema es que no podemos parchear estos programas hasta que el parche esté listado. ¿Nos quedamos con el archivo inseguro listado o lo eliminamos? En algunos casos, las compañías podrían querer seguir usando el archivo imperfecto por una razón legítima de negocios, pero si no se encuentran en la whitelist, entonces necesitarían crear exclusiones y quitar las mismas.

La enorme cantidad de nuevos programas desarrollados día a día, que son genuinos y benignos, hacen que mantener una whitelist sea una tarea que requiera mucha atención y por sobre todo, tiempo y dinero.

Whitelisting puede ser una valiosa adición en una estrategia de defensa profunda, pero no es una completa defensa.

¿Podría imaginarse diciéndole a alguien, que como los airbag le agregan seguridad a los autos, no se necesita más el cinturón de seguridad? Bueno, la persona que le dice que el whitelisting reemplaza a los antivirus, es como un airbag llamando obsoleto a un cinturón de seguridad.

Randy Abrams
Director of Technical Education

Vota primero

Categorias: Educación, Informes, Productos
1 Comentario »

BSA publica informes anuales sobre el porcentaje de piratería en el mundo.

Nuevamente América Latina tiene el “orgullo” de posicionarse como el continente con mayores índices de piratería.

“Un nuevo estudio reveló que el 66% del software instalado en el año 2006 en computadoras personales (PCs) en Latinoamérica fue obtenido ilegalmente, lo que representó más de 3.000 millones de dólares en pérdidas debido a la piratería de software.”

Otro estudio de IPI dice algo similar con respecto a las pérdidas económicas:

“…la piratería de películas, música, software y videojuegos causarían esos 58.000 millones de dólares anuales.”

Una pregunta que nos suelen hacer es qué tiene que ver esto con la seguridad antivirus y cómo influyen estos niveles en la seguridad de nuestro sistema.

Las posibles respuestas a esta pregunta son:

• si el software de seguridad que instalamos procede de fuentes no confiables y fidedignas, no se puede asegurar que los niveles de seguridad ofrecidos son los ideales.
• si el producto es descargado de sitios no oficiales, es muy probable que el mismo haya sido modificado (caso de los warez) para violar la protección de licencias. Esta modificación puede haber dañado el producto.
• si el producto es modificado por programas tipo patch, puede dañarse el producto original y dejar de proteger al usuario.
• si producto ha sido modificado, ¿quién asegura que el mismo no dispone de puertas traseras o troyanos con fines maliciosos? Es decir, que hemos instalado un software de seguridad que en realidad instala un programa dañino en el sistema. Esta acción es de lo más común en el under.
• Los autores de los cracks son programadores que suelen cometer errores al realizar sus acciones, lo que puede dejar inactivos ciertas funcionalidades del producto de seguridad.

Por mencionar un caso, existen cracks para ESET NOD32 que aseguran una actualización eterna (99.999 días o similares). Esto no es tal y en realidad ciertas funcionalidades del producto permanecerán sin funcionar, lo que no brindará protección al usuario.

Cristian

Vota primero

Categorias: Estadísticas, Informes, Piratería
1 Comentario »

Como veníamos adelantando la proliferación de códigos ofuscados que explotan vulnerabiliades en el navegador para instalar otros malware y formar botnets se afianza en Internet.

En septiembre se sigue haciendo notar este tipo de códigos y ya debemos a saber que se perfilan como LAS amenazas a combatir en el futuro cercano.

Me deja tranquilo que nuestro nuevo producto ESET Smart Security llegará justo a tiempo para darle de palos y seguirá protegiéndo al usuario de la mejor manera, como lo ha hecho ESET NOD32 hasta el momento.

Cristian

Vota primero

Categorias: Informes, Malware
Dejar un comentario »

Sin duda, una de las cuestiones más consultadas a ESET es aquella acerca de sus capacidades proactivas y específicamente sobre heurística.

Para aclarar el tema David Harley, Security Author and Consultant y Andrew Lee, Chief Research Officer de ESET, han escrito este Análisis Heurístico: detectando malware desconocido en donde se explica el funcionamiento de la tecnología Antivirus, haciendo especial énfasis en el análisis heurístico para la detección proactiva de códigos maliciosos desconocidos.

Que lo disfruten.

Cristian

Vota primero

Categorias: Educación, Heurística, Informes
Dejar un comentario »

Hemos tenido el agrado de que nuestros Artículos y White Papers de investigación sobre Botnets hayan llegado a la prensa, lo cual es un punto muy importante para difundir estas investigaciones y también lograr que las conclusiones de las mismas lleguen al público en general.

El artículo original puede obtenerse desde “Botnets, redes organizadas para el crimen” y la nota de prensa puede leerse aquí.

Cristian

Vota primero

Categorias: Educación, Informes
Dejar un comentario »

Era una gallina disfrazada.

El 1ero de Julio a las 12:41 AM CET ESET descubrió un falso positivo. Algunos banners publicitarios fueron incorrectamente detectados como un Troyano JavaScript JS/Tivso.14a.gen Trojan. A las 2:00 AM CET salió la actualización 2366, corrigiendo esta falsa detección. Mas tarde, investigadores de ESET descubrieron que la firma genérica que cubría al JS/Tivso.14a.gen también generaría un falso positivo y a las 7:01 PM la actualización 2368 fue liberada para eliminar todos los problemas restantes de falsas detecciones de esta amplia familia de amenazas.

¿Como sucedió esto? Hay varios troyanos en la familia del JS/Tivso. Personas malintencionadas están constantemente modificando el código para evadir la detección de los antivirus. Además de realizar cambios menores, estas personas ofuscan los scripts utilizados para escribir los troyanos. Esto significa que cifran el código para intentar hacer más difícil la detección del software malicioso. Para poder detectar las nuevas variantes antes de que sean creadas, ESET utiliza una tecnología llamada firmas genéricas. Las firmas genéricas comparan archivos, o en este caso scripts, con cosas que sabemos que son malas. Es como cuando vemos un pato, pero no sabemos qué tipo de pato es. Sabemos que es un pato de todas formas, porque se parece mucho a los otros patos que hemos visto.

Desafortunadamente, algunos auspiciantes deciden utilizar ciertas técnicas en sus banners publicitarios que son extremadamente parecidas a las técnicas que utilizan los usuarios malintencionados. Por alguna razón, los auspiciantes no quieren que sepas cuales son los programas que ellos están corriendo en tu sistema sin tu conocimiento. Este tipo de problemas es encontrado sólo en páginas web donde alguien quiere que tu navegador ejecute un código sin tu consentimiento, o que no descubras fácilmente qué está pasando. Realmente parecía un pato, ni siquiera tenia gusto a gallina .

ESET no recibió reportes de usuarios que estuvieran insatisfechos debido a que una propaganda que quería ocultar lo que estaba haciendo no pudo ser ejecutada, de todas formas, los pop-up de advertencia sobre la amenaza eran un poco desconcertantes.

ESET esté comprometida en mejorar nuestra habilidad de proveer la mejor protección proactiva contra nuevas amenazas. En el raro caso de un falso positivo, nuestros investigadores están listos para resolver rápidamente el problema, aunque sea en la medianoche de un fin de semana.

Randy Abrams
Director of Technical Eduaction

Vota primero

Categorias: Informes, Malware
Dejar un comentario »

Recientemente los casos de toolkits de infección como MPack, Dream System (ambos del mismo autor sash), Zunker, DKCS FTP-Toolz han abierto la caja de Pandora sobre este tipo de infecciones, las cuales no son originales y se vienen utilizando desde hace tiempo por los diseminadores de malware. Lo que hace singular a estos casos es la masividad con la que se han logrado las infecciones a través de hostings vulnerables.

La forma de funcionamiento e infección es relativamente sencilla pero requiere un elemento generalmente poco considerado: vulnerar un servidor web que aloje cientos o miles de sitios:

1. Un atacante logra acceso a un hosting más o menos popular que aloja sitios web. Este ingreso generalmente se debe a vulnerabilidades en el software instalado en el servidor (sistema operativo, herramientas de administración, programas de control remoto, etc) y a la incorrecta administración de los servidores web y a prácticas de seguridad deficientes por parte de los administradores.
2. Una vez dentro, se modifican las páginas web de todos los sitios alojados. Esta modificación es masiva y consiste en incluir un pequeño trozo de código que hace referencia a la descarga del malware propiamente dicho.
3. Los usuarios visitan las páginas web ignorando que el sitio ha sido modificado
4. Los usuarios son infectados con diversos tipos de malware. Esta infección ocurre debido a que generalmente se aprovechan diversas vulnerabilidades del navegador o sistema operativo del usuario.

En el caso en particular de Mpack, el kit se vende en foros underground de Rusia y facilita crear una infraestructura web para infectar automáticamente a los usuarios que visitan los sitios web atacados, aprovechando diversas vulnerabilidades, según se explica en el gráfico anterior.

A modo ilustrativo este tipo de paquetes suele rondar los U$S $1.000 y cuenta con administración para controlar y llevar estadísticas sobre las infecciones realizadas. El paquete se ofrece como si se tratara de un software legal, con servicio de soporte incluido y actualizaciones para el mismo.

Como alternativa a la mencionada existen sitios que pagan a otros sitios web (generalmente de contenido sexual, cracks y warez) para que alojen los scripts dañinos que infectan al usuario. De esta forma se aseguran una alta tasa de infección entre los usuarios que visitan los sitios web mencionados. Obviamente estas infecciones repercuten en mayores ganancias económicas.

Randy nos cuenta más en MPack, el generador de revuelos.

Cristian

Vota primero

Categorias: Informes, Malware
Dejar un comentario »