miércoles, 6 de julio de 2011

Malware. Algo raro está sucediendo

Hoy en día la sofistificación de los programas de malware, botnets y demás "joyas" hacen muy complicado la defensa. ¿Antivirus ?. Bueno, menos da una piedra. Pero amigo, no creas que el tener un antivirus actualizado te garantiza que tu máquina está libre de infecciones. Es más, existen "kits" de creación de botnets como Zeus o Spyeye que ponen a tu disposición un "framework" para crearte tu propio malware a medida y con relativa facilidad , y por supuesto el resultado invisible a antivirus.

Por ejemplo en este vídeo vemos un ejemplo con Spyeye que se está convirtiendo en el sucesor de Zeus:


Desde la explosión de la web 2.0 (y del malware 2.0), las botnets han descubierto en el HTTP un método mucho más eficaz de controlar a sus zombis. HTTP es un protocolo que no suele ser filtrado "hacia afuera" en un sistema, puesto que impediría la navegación estándar. Poco a poco Internet migra hacia el navegador como contenedor de toda la experiencia en la Red y esto no es diferente para los atacantes. Para ellos también resulta mucho más cómodo controlar una botnet desde el navegador. El malware ha ido migrando hacia este sistema, que permite cifrado sencillo (SSL) y pasar más desapercibido para las soluciones de seguridad.

Identificando la infección

Buff, complicado. Pero siendo observadores podemos sospechar que algo extraño sucede:

• Aparecen nuevas barras de herramientas, vínculos o favoritos que no se han agregado intencionadamente al explorador web.
• Su página principal, el puntero del mouse o el programa de búsqueda cambia de forma inesperada.
• Escribe la dirección de un sitio concreto, como un motor de búsqueda, pero se le dirige a otro sitio web sin previo aviso.
• Los archivos se eliminan automáticamente del equipo.
• Ve anuncios emergentes aunque no esté en Internet.
• Su equipo de repente comienza a funcionar más lento de lo habitual. 

• De pronto se muestran mensajes o imágenes inesperados se reproducen sonidos o música inusuales de forma aleatoria.
• Su cortafuegos le informa de que algunas aplicaciones intentan conectarse a Internet, aunque usted no las haya iniciado.
• Sus amigos mencionan que han recibido mensajes desde su dirección, y usted está seguro de no que usted no los ha enviado.
• Su bandeja de entrada contiene muchos mensajes sin la dirección del remitente o encabezado.
• Su ordenador se paraliza con frecuencia o encuentra errores.
• Su ordenador se vuelve lento cuando se inician los programas.
• El sistema operativo no puede cargarse.
• Los archivos y carpetas han sido borrados o su contenido ha cambiado.
• Su disco duro es accedido con mucha frecuencia.

Cualquiera de estos síntomas podrían indicar que formamos parte de una botnet y nuestra máquina es un "zombie"

Recomendaciones


Linux
Yo como usuario de Linux, recomiendo usar linux y tenerlo actualizado. Evitarás con ello la mayor parte de los problemas. No considero windows un mal sistema pero sí es el objetivo de la mayoría de ataques y software malintencionado.

Si usas windows:
No confíes en el antivirus.
Mantén actualizado el sistema operativo y los programas. Windows Update y Secunia (gracias, Héctor)
Sé inteligente, no ignores las alertas de seguridad de certificados ni aceptes sin más la ejecución de programas que no conoces.
Crackers, generadores de seriales etc,etc. Te la juegas.
Usa software reconocido y de fuentes fiables.

Contramedidas

Si ya crees que estás infectado  por software malicioso, empieza por echar un vistazo a los puntos clave de tu sistema: procesos, conexiones abiertas (netstat) y utilizar software especializado.


Utilidades de Sysinternals: Proceso. Process explorer es muy bueno, no te fies del "explorador de tareas"

Utilidades de Sysinternals: Funciones de red. TCPview
Proceso de una botnet y conexión abierta


De Nirsoft recomiendo CurrportsIPNetInfo
CurrPorts de Nirsoft

Otro punto importante es comprobar la integridad de los ejecutables del sistema, es decir, comprobar que los programas y librerias son las auténticas y no han sido sustituidas por copias falsas de malware. Para ello debemos comprobar la firma y podemos usar Sigcheck de Windows Sysinternals


Update:
Como comenta Héctor , muy interesante también analizar los programas que se ejecutan en el inicio. Para ello podemos usar , también de Sysinternal Autoruns

Igualmente completar el test de firmas de procesos con un análisis de Rootkits, para ello usad RootkitRevealer, del amigo Russinovich.

Secunia para mantener todo el software actualizado

Mucha paciencia, y sobre todo ser previsor y prudente. Mas vale prevenir que curar

Mucha suerte

2 comentarios:

  1. Dale duro a los zombies.
    Muy rico el artículo.

    Yo añadiría "Secunia", fundamental para mantener actualizado no sólo el soft de MS y alguna herramienta para el control de los programas que se ejecutan al inicio, como el "Autoruns" de SysInternals o el "CCleaner". Éstos últimos suelen cantar muchísimo.


    PD: Revisa el enlace del Process Explorer, que creo que se te ha ido la mano.

    ResponderEliminar
  2. Gracias el apunte, Héctor. Corregido y actualizado

    Tengo en mente continuar el asunto con una entrada para explicar como podemos pasar de víctima a atacante, aprovechando que el malware nos ha conectado con su "creador" seguir la conexión, identificar quién está al "otro lado", reconocer sus vulnerabilidades y lanzar un metasploit contra él. En la ekoparty dieron una charla sobre el asunto y se pueden sacar unas ideas muy, muy buenas.

    Saludos

    ResponderEliminar