Han
pasado más de 10 años desde un artículo titulado "The attack of the superworms" en el que, en 2002, se pronosticaba hacia dónde podía ir el malware
y cuáles serían las características del código malicioso de hoy. ¿Acertaron?
George Bakos, del Institute for
Security Technology Studies en la Universidad de Dartmouth en Hanover, decía:
"Los gusanos híbridos serán cada vez más comunes. Atacarán múltiples vulnerabilidades quizás en múltiples sistemas operativos. Establecerán un canal de comunicación con el controlador. También serán polimórficos para ocultar su presencia".
 |
| George Bakos |
Bakos no iba desencaminado. Si bien hoy no son los propios gusanos los que
atacan múltiples vulnerabilidades, sí que los kits de exploits son la norma.
Estos alojan varias vulnerabilidades e intentan explotarlas según el perfil que
les visita. Igualmente, si en vez de "sistema
operativo" hablamos de "navegador",
estos exploits están preparados para atacar a los más populares y sus plugins.
A lo que no se ha llegado aún es la "equidad"
en cantidad de malware para diferentes plataformas o al multiplataforma. Sigue
ganando Windows por goleada, aunque existe un repunte importante en el malware
para Android. Sobre el poliformismo, en esto quizás jamás podían imaginar hasta
dónde se ha llegado. Ya no es solo que el malware "mute" sino que se crean prácticamente ficheros únicos para
cada víctima, haciendo imposible además que funcione en otro sistema que no sea
en el que se ha creado en primera instancia. Por supuesto, acertó de lleno con
el canal de comunicación con el controlador (aunque esto ya se hacía entonces).
Dan Woolley, de SilentRunner,
hablaba en 2002 de los "gusanos
durmientes":
"Infectarán un sistema pero no atacará automáticamente sino que esperará una señal, que podría ser una fecha y hora predeterminada o la llegada de un cierto correo o por ejemplo la decimoséptima vez que el usuario se presenta en el sistema".
Esta afirmación es extraña.
Esporádicamente han aparecido ejemplares que esperaban una fecha para su
activación, pero no han pasado de la anécdota. No es práctico para ellos
esperar a un momento determinado puesto que corren el riesgo de que se les
descubra. Lo que sí ocurre actualmente es que el malware bancario no se activa hasta que lo necesita, o sea,
cuando el usuario se presenta en su página de banca electrónica. Aunque existen
troyanos bancarios que, nada más ser lanzados, muestran una pantalla al usuario
pidiendo las contraseñas, los más sofisticados esperan pacientemente a que la
víctima ingrese en su banco y es ahí cuando se activan. Esto es mucho más
realista y reporta mejores beneficios. Sí es cierto que también se ha
convertido en habitual que el malware no funcione cuando se cree "estudiado". Por ejemplo evitan las
máquinas virtuales, lanzarse más de una vez desde una máquina con la misma IP,
o esperan al siguiente reinicio para eludir los análisis automáticos. Woolley
continúa:
"El gusano espera y resucita hasta que pienses que has limpiado tu sistema, sin que tengas ni idea de que están ahí. Los gusanos pueden ser muy silenciosos y pueden ocultarse en un fichero que ni siquiera sabes que existe. No es algo que cualquier script kiddie vaya a hacer. Es muy sofisticado"
El malware actual, desde hace
años, no va asociado a archivos sino que son ficheros en sí mismos (DLL,
drivers, ejecutables...). Y tampoco se ocultan más de lo necesario, puesto que no han encontrado un enemigo a la altura al
que tener miedo (esto es, no temen demasiado a los antivirus). Si el "pueden ser muy silenciosos"
significa que burlarían fácilmente la detección en el sistema... acertó de
pleno. Lo cierto es que también estamos viviendo un resurgimiento del malware
que infecta al MBR y efectivamente, eso los hace muy silenciosos y es una zona
que muchos usuarios "ni siquiera
saben que existe".
Veremos otras afirmaciones y las
conclusiones en la siguiente entrega.
Más información:
Coming Soon: Attack Of The Super Worms
Sergio de los Santos
Twitter: @ssantosv
Fuente: Hispasec
No hay comentarios:
Publicar un comentario