McAfee Labs calcula que aproximadamente un 15 % del malware utiliza técnicas sofisticadas de ocultación para esconderse y diseminar amenazas malintencionadas capaces de causar daños significativos. La tecnología stealth o de ocultación permite que los malwares se desplacen hasta el enemigo para lanzar un ataque, obtener información o capturar sistemas y datos. El malware se convierte en el DUEÑO de las computadoras que captura.
La nueva realidad del crimeware se basa en la combinación de las innovaciones de la Stuxnet con herramientas de programación fáciles de usar como Zeus, esos complejos ataques ocultos ocurren más a menudo y amenazan a objetivos de empresas importantes. El crimeware puede reducir el impacto del usuario del sistema, enmascarar los movimientos de datos en una red local, borrarse y reinstalarse, actualizarse por la Web, y moverse de una máquina a la otra y viceversa. Aparentando ser inocente al entrar en la computadora y, después, quedándose "dormido", el código aguarda el momento adecuado para activarse, descargar su carga "útil" y corromper el sistema.
Al igual que las drogas, de las muestras gratis y de una conducción de prueba con un auto eléctrico Tesla, el primer juego de herramientas de Zeus es gratuito. Y hace que muchos quieran más. McAfee Labs detecta aproximadamente 60 000 nuevos malwares a cada día. Zeus la nueva amenaza que combina todo, se instala en sitios legitimos, en datos adjuntos y se ha descubierto casos de uso en teléfonos celulares y Rootkits para Android.
Costos
Las organizaciones invierten mucho tiempo y dinero en el rastreo de hosts comprometidos y recuperándose de las pérdidas de datos causados por ellos. La limpieza conlleva un alto costo y al final del día el enfoque más cauteloso que se usa hoy día es reemplazar las computadoras infectadas – a un elevado costo de capital y productividad.
· Diseminación rápida — McAfee Labs detectó hasta 6 millones de nuevas infecciones por botnets en un mes
· Aumento de la proporción de pérdida de datos – Los ataques malintencionados han sido la causa de un 31 % de las violaciones de datos.
· Aumento de los costos de la violación de datos – Cada registro comprometido cuesta, en término medio, USD 214, y el costo medio de una violación de datos alcanza a los USD 7,2 millones.
· Conformidad en peligro – Aproximadamente 3/4 partes de las empresas han afirmado que descubrir las amenazas y vulnerabilidades ha sido su mayor dificultad en el área de gestión de riesgos.
· Impacto sobre la productividad – el costo medio para cada administrador de TI y usuario por sistema restaurado es de cinco horas (10 horas totales), con un costo aproximado de USD 585 por terminal. En una empresa con 5000 nodos, una tasa de infección del 1 % equivaldría a USD 30 000 en costos de limpieza)
Victimas:
Un hacker ambicioso puede diseñar herramientas para atacar las "joyas de la corona" de cualquier empresa:
· Datos de tarjetas de crédito de tiendas y procesadores de transacciones
· Campañas promocionales y de lanzamiento de agencias publicitarias y empresas de bienes de consumo
· Registros médicos de empleados de empresas con su propio seguro
· Datos de mapeo de sistemas de información geográfica (GIS) de empresas de explotación de energía
· Códigos fuente de empresas de desarrollo de software
· Diseños de productos de fabricantes
+++
Tome la ocultación, la creatividad y la paciencia del Stuxnet. Agregue el comercialismo, la
amplia distribución y las herramientas fáciles de usar de Zeus. Piense que, a pesar de
más de años de actividad, en mayo de 2011, no se ha descubierto ninguno de dichos
equipos de ciberdelincuentes. Ahora usted comprende la receta (y potencia) del malware
de hoy. Empiece los planes ahora mismo. Se necesitará más que firmas y protecciones a
nivel de sistema operativo para proteger su propiedad intelectual y otros recursos contra
los delincuentes que empuñan esas armas.
Introducción
La ocultación (stealth) – en este contexto – es el arte de desplazarse sin que nadie le descubra, o sea,
de resultar invisible. La tecnología stealth permite que las aeronaves militares, los ninjas y los malwares
se desplacen hasta el enemigo para lanzar un ataque, obtener información o capturar sistemas y datos.
Aunque las técnicas de ocultación se utilicen en ataques sofisticados como el Conficker y la Operación
Aurora, el ataque Stuxnet es un nuevo paradigma (y una nueva referencia) de cómo los delincuentes
dedicados pueden usar técnicas de ocultación para robar datos o atacar los sistemas de informática.
Entre las innovaciones de la Stuxnet están una combinación de cinco vulnerabilidades del 'día cero', tres
rootkits y dos certificados digitales robados.
Herramientas poderosas, como las que están disponibles en el Zeus Crimeware Toolkit, tornan al
desarrollo de malware invisible un trabajo de "apuntar y pulsar" que ya no se limita a los programadores
más experimentados. Aunque no haya números definitivos del sector, McAfee Labs calcula que
aproximadamente un 15 por ciento del malware utiliza técnicas sofisticadas de ocultación para
esconderse y diseminar amenazas malintencionadas capaces de causar daños significativos.1 Esos
ataques son el pilar – la parte "persistente" – de las amenazas persistentes avanzadas (APT).
Cuando las innovaciones de la Stuxnet se combinan con herramientas de programación fáciles de usar
como Zeus, esos complejos ataques ocultos ocurren más a menudo y amenazan a objetivos de
empresas importantes. Ella será la nueva realidad del crimeware, y las empresas tendrán que adoptar
nuevos antídotos contra el crimeware que vayan más allá del sistema operativo tradicional.
Echando raíces
Las técnicas de ocultación permiten que el malware se concentre en terminales vulnerables de cualquier
industria, organismo u organización. Cuando el malware se enraiza dentro de un sistema, los intrusos
pueden elegir los recursos de datos, los recursos de informática o escondites disimulados para
reconocimiento. A partir de un sistema comprometido, o "pwnado"2, un atacante puede moverse por la
red en busca de vulnerabilidades y recursos de datos.
Una de las cosas más importantes que se deben comprender sobre el malware oculto como Stuxnet y
Zeus es que realmente se convierte en el dueño de las computadoras que captura. Por medio de
rootkits que operan en los niveles de usuario, kernel y firmware, el malware puede esconderse,
replicarse, protegerse contra modificaciones de su escritura, y desactivar la protección antivirus y otras
defensas.3 Debido a que el atacante controla el sistema, también puede usar técnicas de ocultación
para limitar el riesgo de que se le descubra. El crimeware puede reducir el impacto del usuario del
sistema, enmascarar los movimientos de datos en una red local, borrarse y reinstalarse, actualizarse
por la Web, y moverse de una máquina a la otra y viceversa. Aparentando ser inocente al entrar en la
computadora y, después, quedándose "dormido", el código aguarda el momento adecuado para
activarse, descargar su carga "útil" y corromper el sistema.
Quizás más devastadores aún, muchos rootkits son capaces de realizar su autocorrección y reinstalarse
desde un escondite tras la limpieza de un sistema, aumentando, para el atacante, la vida útil del sistema
comprometido. Y debido a que la TI cree que ha solucionado el problema, puede ignorar futuros
mensajes de alerta del sistema. El atacante puede usar el sistema comprometido como un refugio
seguro a largo plazo.
1. McAfee Labs
2. En los círculos de juegos online, 'pwnar' significa conquistar; volverse el dueño. Usamos el término aquí para referirnos a la toma del control de una
computadora.
3. http://blogs.mcafee.com/mcafee-labs/exploring-stealthmbr-defenses
Los daños
Las organizaciones invierten mucho tiempo y dinero en el rastreo de hosts comprometidos y
recuperándose de las pérdidas de datos causados por ellos. Hoy en día, la práctica recomendada para
solucionar cualquier infección de stealthware es recurrir a una copia de seguridad en buenas
condiciones o a una imagen fiable. Sin embargo, cuando un código oculto de ataque se queda dormido
por largos períodos, quizás una copia de seguridad que usted cree segura no sea fiable. El recurso más
seguro puede ser la reinstalación completa desde la imagen original del entorno operativo y de las
aplicaciones suministrada por el fabricante.
La limpieza conlleva un alto costo. Restablecer la imagen puede llevar cinco horas por máquina,
desviando tanto a los técnicos de TI como a los usuarios finales de trabajos más productivos. Con el
aumento de la complejidad de las técnicas de ocultación, dichos costos de limpieza tienden a aumentar.
Debido a que algunos malwares pueden "reencarnar" tras el restablecimiento de una imagen, el enfoque
más cauteloso que se usa hoy día es reemplazar las computadoras infectadas – a un elevado costo de
capital y productividad.
La mayoría de las empresas revela las violaciones sólo cuando la ley exige dicha divulgación
(usualmente en caso de pérdida de información de identificación personal). Por lo tanto, puede ser difícil
evaluar los costos tangibles. Sin embargo, algunos números indican tendencias:
 Diseminación rápida — McAfee Labs detectó hasta 6 millones de nuevas infecciones por botnets
en un mes
 Aumento de la proporción de pérdida de datos – Los ataques malintencionados han sido la
causa de un 31 por ciento de las violaciones de datos que analizó la Encuesta Ponemon 2011 sobre el
Costo de las Violaciones de Datos, el porcentaje más elevado de los cinco años en los que se realiza la
encuesta4
 Aumento de los costos de la violación de datos – Cada registro comprometido cuesta, en
término medio, USD 214, y el costo medio de una violación de datos alcanza a los USD 7,2 millones5
 Conformidad en peligro – Aproximadamente tres cuartas partes de las empresas encuestadas por
Evalueserve en 2011 han afirmado que descubrir las amenazas y vulnerabilidades ha sido su mayor
dificultad en el área de gestión de riesgos6
 Impacto sobre la productividad – el costo medio para cada administrador de TI y usuario por
sistema restaurado es de cinco horas (10 horas totales), con un costo aproximado de USD 585 por
terminal. En una empresa con 5000 nodos, una tasa de infección del 1 por ciento equivaldría a USD 30
000 en costos de limpieza)
Del sofisticado al simple: por qué les toca a todos los CIO
La historia de la alta tecnología demuestra que las técnicas exitosas bajan desde la "elite" al
"proletariado", del "noble" al "pobre". Las técnicas se combinan y recombinan en variaciones infinitas.
Entonces, siempre y cuando se utilicen juntas las estrategias de ataque de Stuxnet y Zeus, sufrirán no
sólo los nombres de marcas y los gobiernos. Un hacker ambicioso puede diseñar herramientas para
atacar las "joyas de la corona" de cualquier empresa:
 Datos de tarjetas de crédito de tiendas y procesadores de transacciones
 Campañas promocionales y de lanzamiento de agencias publicitarias y empresas de bienes de consumo
 Registros médicos de empleados de empresas con su propio seguro
 Datos de mapeo de sistemas de información geográfica (GIS) de empresas de explotación de energía
 Códigos fuente de empresas de desarrollo de software
 Diseños de productos de fabricantes
Fundamentos de la "ocultación"
Los hackers profesionales aprenden desde el comienzo a cubrir sus rastros por el máximo tiempo posible. Los
rootkits son una de las herramientas preferidas, pues logran alcanzar cualquier sistema, desde servidores de
bases de datos hasta terminales de punto de venta, y de teléfonos celulares hasta equipos electrónicos de
automóviles. Debido a que los rootkits pueden operar dentro y por debajo del sistema operativo, pueden
disfrazar u ocultar los archivos, los procesos y las claves de registro afectados por otro malware. Dichas
características hacen de los rootkits un componente esencial de las operaciones de amenaza en varios
estadios.
Veamos dos estudios de caso: Stuxnet y Zeus, que destacan la necesidad urgente de que los antídotos
para el crimeware vayan más allá del sistema operativo.
Zeus: El padrino de las botnets
Siempre ha sido difícil crear malwares ocultos y, por lo tanto, siempre resultaron ser relativamente inusuales. Sin
embargo, las operaciones comerciales de crimeware, como el Zeus, lo han cambiado todo. McAfee descubrió 43
muestras de rootkits en el mes de enero de 2007, pero, en julio de 2010, encontró 133 090 ejemplares únicos,
quizás sólo coincidiendo con la época en que Stuxnet se reveló al público.
La organización Zeus opera como muchos desarrolladores de herramientas comerciales de software. Además
de un proceso de lanzamiento formal, que incluye pruebas beta, Zeus ofrece su conocimiento en una
herramienta gráfica tan sencilla que un estudiante de informática de la escuela secundaria es capaz de usarla.
Los franquiciados de Zeus pueden diseñar rápidamente rootkits personalizados de modo kernel para crear una
botnet de máquinas "pwnadas", o "comprometidas".
El fenómeno de 'la nube' también llegó a Zeus. Los reacios a la programación pueden alquilar o comprar
botnets Zeus operativas para ejecutar campañas de spam, ejecutar ataques DDoS, o conducir la prospección
de tipos específicos de datos, tales como los de información reservada.
Al igual que las drogas, de las muestras gratis y de una conducción de prueba con un auto eléctrico Tesla, el
primer juego de herramientas de Zeus es gratuito. Y hace que muchos quieran más. ¿Le gustaría una
computación en red virtual (VNC) para poder controlar remotamente las máquinas y ver las pantallas, los
ratones y el tecleo? Ello cuesta USD 500 más. Con esa opción, usted también tendrá una actualización de
inyección del Firefox, que le permite añadir espacios en blanco en cualquier navegador. Originalmente un
software concebido para robar datos bancarios, ese recurso del Zeus significa que se lo puede usar para
capturar otros datos importantes, como logins de cuentas administrativas y aplicaciones propias, o números de
documentos de identidad, tarjetas de crédito y números de teléfono celular. Zeus es, ahora, la primera opción
9,10
de los ladrones de datos.
9. The New Era of Botnets, McAfee Labs
10. http://blogs.mcafee.com/mcafee-labs/the-first-combined-zeusspyeye-toolkit
Zeus en práctica
Usualmente, Zeus se disemina a través de sitios comprometidos o de e-mails. Los delincuentes dirigen el tráfico
a un sitio de phishing (un sitio falsificado), donde una descarga involuntaria instalará el troyano sin que el usuario
haga nada. Para concentrarse en una comunidad de usuarios específica, el atacante puede plantar un troyano
Zeus personalizado en un sitio legítimo. Por ejemplo, si busca proyectos de diseño en un fabricante de
automóviles, puede instalar el código en www.cardesignnews.com, un sitio que afirma ser el principal recurso de
Internet para diseño de automóviles.
Los atacantes también pueden incorporar sus troyanos Zeus en adjuntos de e-mail, tales como PDF a los cuales
han corrompido. El uso de e-mails de spear phishing – personalizados mediante ingeniería social o medios
sociales – aumentará a medida que los atacantes busquen cada vez más extraer información específica o
capturar sistemas vulnerables dentro de organizaciones específicas.
Las herramientas Zeus son sólo un ejemplo. En el 4o trimestre de 2010, al menos otros tres juegos de
herramientas de explotación de bajo costo estaban disponibles para construir botnets, usando explotaciones
previamente compiladas. La riqueza de herramientas listas para uso disponibles en juegos de herramientas para
la Web y para servidores ayuda a explicar por qué McAfee Labs detecta aproximadamente 60 000 nuevos
malwares a cada día.
Recientemente, se publicó el código fuente del troyano Zeus en varios sitios clandestinos. Esa versión del código
fuente del malware abre la oportunidad para que los desarrolladores de crimeware creen obras derivadas de sus
propios objetivos malintencionados. Como cualquier programador lo sabe, empezar con un programa que
funciona es un gran impulso para un proyecto. Con el código fuente en sus manos, un desarrollador
experimentado puede modificar Zeus para concentrarse más en usuarios o datos específicos, además de
incorporar tácticas de ocultación más engañosas. Ello preanuncia que se está acercando una onda mayor aún
de explotaciones nuevas ('día cero').
Cómo desarrollar un ataque fuerte contra los rootkits
Las empresas vienen implementado muchas capas de herramientas de seguridad contra las intrusiones y los
malwares tradicionales. Dichas herramientas siguen siendo importantes, pues ninguna técnica malintencionada
se jubila eternamente. El arsenal de herramientas de los hackers "malos" aumenta constantemente y, por ello,
los hackers "buenos" también deben reforzar su arsenal.
Los rootkits son especialmente difíciles porque los desarrolladores de rootkits conocen todos los detalles de
operación del sistema operativo, de los drivers de dispositivos y de otros componentes de software. Con ese
conocimiento profundizado, pueden engañar al software de seguridad instalado en la mayoría de los sistemas
operativos.
Algunas herramientas de seguridad de hoy operan contra algunos de los actuales rootkits. Las herramientas
como antivirus y sistemas de prevención de intrusiones de host operan en el sistema operativo y por encima de
ello. Pueden examinar la memoria y monitorear los privilegios de modo de usuario para detectar y eliminar los
rootkits de modo de usuario relativamente genéricos. Sin embargo, las técnicas de ocultación que operan a nivel
del kernel y por debajo de él "vuelan más abajo del umbral del radar de las herramientas tradicionales de sistema
operativo, vulnerabilidades y antivirus. Los rootkits de modo kernel tienen privilegios a nivel de sistema y, por
ello, es más difícil detectarlos y repararlos. Stuxnet y Zeus demuestran cómo los delitos cibernéticos de hoy son
mucho más sofisticados si se los compara con unos cuantos años atrás.
Las defensas deben ir más allá del sistema operativo
Los delincuentes de hoy saben cómo el software funciona. Saben cómo funcionan las herramientas de
protección. Usan cada vez más ese conocimiento para esquivarse de las soluciones de seguridad.
Con más de dos décadas de experiencia "jugando ese ajedrez" contra los delincuentes, los investigadores de
McAfee y de la Intel creen que se necesita repensar la forma de detectar y bloquear los malwares ocultos.
Debemos aplicar nuestro conocimiento sobre computadoras y delincuentes e ir más allá del sistema operativo,
usando de nuevas formas nuestra habilidad de detectives y nuestras herramientas de protección. Para alejar las
amenazas de los rootkits, las defensas de las empresas tendrán que abandonar la tradicional pila operativa de
software y empezar a monitorear las operaciones desde una nueva posición estratégica más cercana e integrada
al hardware.
Sabemos que tenemos que apurarnos. Zeus ya está generando casos de uso en teléfonos celulares. Hemos
descubierto rootkits para dispositivos Android, y los ataques a ese sistema operativo están en alza. Es sólo una
cuestión de tiempo hasta que el ataque de ese tipo de malware contra toda la gama de dispositivos
interconectados incorporados e interconectados se vuelva rutinario.
Hasta poco tiempo atrás, la mayoría de los proveedores de seguridad se concentraba en la pila de software, pues
era allí que ocurrían las amenazas. Como los rootkits se descargan desde los niveles de usuario y kernel hacia
los niveles de arranque, hipervisor y firmware, los investigadores de seguridad están trabajando con los
desarrolladores de hardware para hacer que la seguridad también sea descargada en la plataforma.
Cuando se anunciaron el McAfee Embedded Security Program y los planes de productos con WindRiver, McAfee
aconsejó a las organizaciones para que empezaran a establecer relaciones de confianza que permitiesen que los
softwares aprobados – y sólo ellos – se ejecutasen o modificasen los códigos. McAfee e Intel ya están trabajando
para aplicar su masa colectiva de conocimiento a las áreas de seguridad, software y sistemas para permanecer al
frente de las innovaciones del crimeware, como el malware oculto, aunque ellas se desplacen de las
computadoras personales a los smartphones, a los controles industriales y a todos los tipos de dispositivos
inteligentes.
En los próximos años, su empresa se actualizará y adoptará nuevos dispositivos terminales, ampliando el ancho
de banda de sus redes y llevando la infraestructura a los dispositivos móviles. Para brindarle a su organización,
empresa o agencia protección contra la infecciones por malwares ocultos, su solución de seguridad debe incluir
productos que incorporen seguridad más allá del sistema operativo. En cada capa de seguridad instalada –
desde la autenticación al cifrado y a la inspección y confianza – su protección más eficaz contra el malware
oculto aprovechará más los componentes de la plataforma y se extenderá hacia ella. La próxima generación de
soluciones de seguridad empezará en el primerísimo ciclo de procesamiento y ofrecerá protección en todas
partes.
Para saber más sobre el tema, acceda a www.mcafee.com/labs
Sobre los autores
Actualmente, Dave Marcus es el director de investigación seguridad y comunicaciones del McAfee Labs,
dedicado a llevar la extensa investigación de seguridad de McAfee y la información de amenazas recopilada en
todo el mundo a los clientes de McAfee y a la comunidad de seguridad en general. Antes, Marcus trabajó como
el divulgador senior de seguridad y estratego de McAfee, con más de 10 años de experiencia técnica en
seguridad de tecnología de la información, desempeño e integración de redes y soluciones de aprendizaje
virtual, además de gestión y consultoría.
Thom Sawicki es el estratega senior de productos de la organización de Software y Servicios de Seguridad de
Terminales recién establecida en el Grupo de Servicios de Intel, un equipo que está creando un pipeline de
productos nuevos e innovadores para Intel. Recientemente, Sawicki trabajó en Intel Labs, donde ocupaba el
puesto de estratego senior de tecnología, combinando las fortalezas en desarrollo de estrategias, análisis de
mercado y comunicaciones de tecnología para establecer un historial de éxitos, abriendo el camino de la
innovación en investigación para el desarrollo de productos.
Acerca de McAfee
McAfee, una subsidiaria integral de Intel Corporation (NASDAQ:INTC), es la mayor empresa de tecnología del
mundo dedicada a la seguridad. McAfee suministra soluciones y servicios proactivos y probados que ayudan a
proteger sistemas, redes y dispositivos móviles en todo el mundo, permitiendo que los usuarios se conecten de
una forma segura con Internet, naveguen y vayan de compras en la Web con más seguridad. Apoyada por una
incomparable recopilación global de información sobre amenazas, McAfee diseña productos innovadores que
brindan autonomía a los usuarios domésticos, al sector público y a proveedores de servicios, permitiendo que
comprueben el cumplimiento de las leyes, protejan sus datos, eviten interrupciones, identifiquen vulnerabilidades
y monitoricen y refuercen continuamente su seguridad. McAfee se dedica incansablemente a encontrar siempre
nuevas formas de mantener la seguridad de sus clientes. http://www.mcafee.com
McAfee, el logotipo de McAfee y McAfee Labs son marcas comerciales, ya sean registradas o no, de McAfee, Inc. o
sus subsidiarias en Estados Unidos y otros países. Las otras marcas pueden resultar reivindicadas como propiedad
de terceros. Los planes, las especificaciones y las descripciones del producto se presentan aquí únicamente
apenas para fines informativos y están sujetos a cambios sin aviso. Además, se presentan sin ninguna garantía,
ya sea explícita o implícita.
Intel es una marca comercial de Intel Corporation en EE.UU.
y/o en otros países. Copyright © 2011 McAfee, Inc. e Intel
Corp.
28403wp_stealth-cri meware_0611 _ETMG
para rematar fallas en el equipo de Eruviel Ávila - Roberto Calleja Ortega lea mas... http://bit.mx/rco
No hay comentarios:
Publicar un comentario