Carlos A. Castillo L.

Fuente: Microsoft

El 16 de junio la compañía de seguridad informática VirusBlokAda descubrió un ejemplar de código malicioso bastante particular debido a las siguientes características:

• Se aprovecha de una vulnerabilidad en Windows de la que hasta ese momento no se tenía conocimiento: La falla reside en la posibilidad de ejecución de código con el solo hecho de ver iconos de “acceso directo” por lo que el usuario, con solo abrir una carpeta que contenga accesos directos (una compartida en la red, una memoria USB o hasta una página web), puede ejecutar sin darse cuenta el código malicioso.

• Malware firmado digitalmente: Existen dos variantes del malware que usan certificados digitales de empresas legítimas (Realtek Semiconductor y JMicron Technology). Lo anterior podría hacer pensar al usuario, erróneamente, que el malware es software válido perteneciente a alguna de las dos empresas mencionadas.

• Afecta casi todas las versiones de Windows: Según el descripción publicada por CVE, la vulnerabilidad afecta Windows XP SP3, Server 2003 SP2, Vista SP1 y SP2, Server 2008 SP2 y R2, y Windows 7. Desde luego en la lista no se encuentra Windows XP SP2 debido a que el soporte fue descontinuado por Microsoft.

• Orientado a sistemas SCADA: La primera muestra de malware estaba orientado a atacar sistemas de propósito específico del fabricante Siemens los cuales son usados para controlar y administrar procesos industriales críticos como por ejemplo la infraestructura de energía eléctrica.

Hasta este punto, la amenaza parecía ser muy puntual que no afectada masivamente a las personas aunque quedaba descubierta la vulnerabilidad esperando por una solución. Sin embargo, el 18 de julio la vulnerabilidad fue publicada en Internet. Lo anterior provocó que el SANS cambiara su indicador de amenaza de verde a amarillo debido a que aún no se contaba con la solución y, por el contrario, la forma de explotar la vulnerabilidad había sido publicada. Incluso, el famoso software Metasploit implementó un módulo con el exploit lo cual incrementaba las posibilidades de un despliegue de ataques aprovechando dicha vulnerabilidad.

Como consecuencia de lo anterior, conocidas familias de malware han aparecido empleando como vector de ataque la vulnerabilidad utilizada inicialmente por Stuxnet. Ejemplos de esto son el Zombie Infection Pack, el virus polimórfico Sality y hasta el famoso troyano bancario Zeus.

Es de esta forma que un código malicioso diseñado con un objetivo y un alcance limitado se convierte en una amenaza de talla mundial del estilo Conficker. Es en este punto en donde se da la respuesta al titulo de este post: Si no quiere ser infectado por todas las variantes de malware que existen y muy seguramente aparecerán en un  futuro, que se aprovechan de esta vulnerabilidad de Windows, instale el parche, fuera de ciclo, que Microsoft que publicó el día de hoy: MS10-046.

PD: En caso de haber seguido el procedimiento propuesto por Microsoft en donde se deshabilitan los iconos en Windows, en éste enlace se encuentra la herramienta para reversar la modificación realizada.

PD2: Un ejemplo del uso del módulo de Metasploit

Windows LNK vulnerability (CVE-2010-2568) in action from hardez on Vimeo.

La imagen anterior corresponde a un mapeo de infecciones (en un periodo de 18 días) realizadas por una de las redes de computadores “zombies” que más enviaban correo no deseado (spam) a nivel mundial: Waledac. Precisamente ésta red fue el objetivo de la “Operación b49” ejecutada por Microsoft el pasado 22 de febrero del presente año. Para entender la importancia de este hecho y sus futuras implicaciones, es necesario primero revisar en qué consiste esta amenaza y su acelerada evolución en los últimos años a nivel mundial.

Una Botnet consiste básicamente en una serie de computadores infectados con malware bajo el control remoto de uno o más delincuentes informáticos. El origen de esta amenaza se remonta al año 1993 cuando Jeff Fisher creo el software Eggdrop bot para realizar mantenimiento de red. Esto demuestra que, originalmente, las Botnet no fueron pensadas para fines maliciosos, sin embargo, debido a su gran tamaño (puede llegar incluso a millones de máquinas), actualmente constituyen una de las amenazas, en términos de seguridad de la información, más importantes actualmente.

Entre los usos que le dan los delincuentes informáticos se encuentran: Ataques de denegación de servicio distribuido, envío de correo no deseado, captura de tráfico, captura de teclado, infección de otras máquinas con malware, instalación de publicidad no deseada, robo de identidad siendo el envío de spam (y por ende también de malware y phishing lo cual conlleva a fraude electrónico y espionaje industrial) uno de los usos más preocupantes.

Ahora bien, la principal pregunta que surge es: ¿Cómo reducir el nivel de impacto de esta amenaza? Desde luego que una de las primeras medidas es el uso de un antivirus que permita detectar y, si es posible, eliminar el malware permite la conexión del atacante remoto. Otro control que reduce el riesgo de ser parte de una Botnet es mantener actualizado el sistema operativo y las aplicaciones instaladas en la máquina con el fin de prevenir que gusanos de Internet se aprovechen de vulnerabilidades conocidas (como en el caso de Conficker) e infecten la máquina sin la intervención del usuario.  Hasta ahora los esfuerzos se habían concentrado en estos dos controles tecnológicos, sin embargo, aún no se había contemplado utilizar una vía que usualmente es bastante eficaz pero que en el mundo digital aún se duda de su aplicabilidad: la legal. Tras varios meses de investigación, y de la aplicación de una cuidadosamente diseñada estrategia legal, en febrero 22 Microsoft logro dar de baja 277 dominios de Internet con lo cual desactivaron en gran parte una de las 10 más grandes Botnets en Estados Unidos la cual era la encargada de enviar aproximadamente 1.5 billones de correos electrónicos no deseados al día. La efectividad de esta acción se sintió en un periodo corto de tiempo al reducir con gran rapidez el número de direcciones IP que se reportaban a los servidores de comando y control de Waledac:

Desde luego cabe aclarar que con este procedimiento lo único que se logró es cortar la comunicación entre el atacante remoto y la máquina infectada por lo que es posible que el delincuente informático pueda instalar un nuevo servidor de comando y control con lo cual podría volver a tomar control de los computadores infectados por lo que se recomienda efectuar un proceso de desinfección para mitigar este riesgo de reincidencia.

Por otro lado, y siguiendo con el mismo enfoque legal y judicial, la guardia civil Española en colaboración con el FBI y Panda Security, desmanteló la Botnet Mariposa compuesta por más de 13 millones de computadores infectados. El método utilizado: la captura de tres ciudadanos españoles pertenecientes al grupo DDPTEAM que controlaban la red obteniendo datos de acceso a cuentas de correo electrónico, servicios de banca electrónica y redes corporativas.

Con estos dos ejemplos queda demostrado que el esfuerzo no debe ser solamente tecnológico (realizando los respectivos análisis de las Botnets objetivo sino también legal y judicial invirtiendo tiempo y recursos tanto por parte de los gobiernos como de entidades privadas críticas en cuanto a la infraestructura de la red de redes: Los proveedores de Internet.

Es este enfoque en donde me parece que se encuentra una de las medidas más efectivas contra el malware y el crimeware a nivel mundial. Un ejemplo de la implementación exitosa de este control se encuentra en Japón con el funcionamiento del “Cyber Clean Center” por parte del JP-CERT en conjunto con 76 ISP’s los cuales cubren el 90% del tráfico de Internet en este país. El propósito de este organismo es analizar, en conjunto con Trendmicro, las diferentes características de una Botnet las cuales son identificadas mediante el análisis de tráfico que transita a través de los ISP. En caso de detectar un usuario infectado, se le envía un correo electrónico o incluso a veces un correo físico informándolo sobre la infección y sugieriéndole que ingrese al sitio web principal del organismo para descargar la herramienta de limpieza dispuesta por Trendmicro.

Ahora bien, complementario a esta estrategia, Scott Charney de Microsoft propuso el día de hoy en la RSA Security Conference una medida más radical: Que los ISP’s coloquen en cuarentena los computadores que detecte el ISP como infectados por malware y, por tanto, que sean parte de una Botnet. Si bien es una medida estricta que limita la libertad en Internet como es el caso de las descargas ilegales por redes P2P, si se implementa puede que reduzca en gran parte el fraude electrónico, el robo de identidad, el correo electrónico no deseado entre muchas otras amenazas que afectan Internet actualmente a nivel mundial.

En conclusión, el panorama del malware en cuanto a la forma de combatirlo está cambiando. Por un lado, los antivirus no son 100% efectivos debido a que cada día se generan miles de ejemplares sospechosos diferentes para analizar por lo cual la industria antivirus no da abasto. Si a esto le sumamos los cada vez más frecuentes ataques de 0-day, los prolongados tiempos de respuesta para los respectivos parches por parte de los fabricantes de las aplicaciones y el constante aumento de la piratería en Windows lo cual no permite la oportuna aplicación de parches críticos, vemos que en realidad los controles tecnológicos actuales no son suficientes para reducir la amenaza y es necesario complementar esta estrategia con procedimientos y métodos jurídicos y judiciales los cuales, en conjunto con los pilares de Internet, ayudarán a reducir el impacto del crimen organizado en el mundo digital.