Carlos A. Castillo L.

Luego de más de 2 meses de no publicar en el blog, hoy quiero compartir mi primer artículo en el blog central de McAfee: Xirtem Worm Hides in CAB/SFX Files. El objetivo del post era describir una nueva funcionalidad del código malicioso Xirtem y proporcionar varios métodos de desinfección para recuperar los archivos secuestrados por el virus. La idea entonces es describir de una forma más amigable (y en español) lo escrito en el blog de McAfee.

Xirtem es un código malicioso bastante “ruidoso”, es decir, realiza muchos cambios en el sistema de archivos y efectúa una gran variedad de conexiones de red debido a que uno de los métodos principales de difusión es el envío de correos electrónicos no deseados con un archivo adjunto malicioso. El otro método de difusión que utiliza es la creación de directorios comunes para compartir archivos  en redes P2P (Grokster, LimeWire y Morpheus) y dentro de ellos la creación de archivos maliciosos con nombres sugestivos como “PDF to Word Converter 3.0” o “Grand Theft Auto Episodes From Liberty City 2010”. Finalmente el malware utiliza el clásico método de infección mediante memorias USB o pendrives el cual en la mayoría de casos se puede prevenir deshabilitando el autorun en Windows.

Lo novedoso de Xirtem es que últimamente busca archivos ejecutables en unidades de red que se encuentren conectadas al computador que se encuentra infectado. El resultado es un archivo Win32 Cabinet Self-Extractor como “Dummy.exe” que vemos en la siguiente imagen (suponiendo que nuestro ejecutable limpio se llama también Dummy):

Adicional a que durante la ejecución otro código malicioso es instalado y ejecutado en el sistema (Hiloti), si ejecutamos el archivo Dummy.exe  se instalará el malware y se ejecutará nuestro archivo .exe. Para realizar la limpieza del sistema y recuperar nuestro ejecutable, propongo dos métodos:

1. Ejecutar el siguiente comando en una línea de commandos (cmd): archivo.exe /T:<carpeta temporal> /C /Q (por ejemplo X:\>notepad.exe /T:X:\temp /C /Q). Este comando extraerá los dos archivos (tanto el malicioso como el de nosotros) en la carpeta temp. Luego de esto, podemos ejecutar un escaneo en esta carpeta con nuestro antivirus o simplemente borrar el archivo malicioso.
2. Instalar un programa para descomprimir archivos (winrar, 7-zip) y abrirlo con este software para poder extraer los archivos y recuperar el original. Luego de esto, ejecutar un escaneo general con el software antivirus que se tenga instalado.

Es importante mencionar que para que los archivos sean comprimidos en un CAB/SFX es necesario que la unidad de red se encuentre conectada al computador infectado mediante la opción Mi PC -> Herramientas -> Conectar a Unidad de Red, sin embargo, para evitar infectarse con este tipo de virus es recomendable no descargar/abrir/ejecutar archivos adjuntos de correos no deseados, evitar descargar archivos desconocidos de redes P2P, deshabilitar la funcionalidad de Autorun en Windows y tener un software antivirus actualizado.

Luego de varios días de ausencia, debido en gran parte a que cambié de trabajo y estuve bastante ocupado entregando mis funciones en un lado y recibiendo el nuevo cargo en mi nueva posición laboral, vuelvo a escribir para ustedes motivado porque el fin de semana pasado capturé un interesante, pero preocupante, mensaje de error en una máquina automática de pago de parqueadero en un concurrido centro comercial de la ciudad de Bogotá.

Lo anterior me recuerda una polémica bastante mencionada el año pasado sobre código malicioso corriendo en cajeros automáticos. Todo comenzó con el reporte de la empresa Trustwave de mayo de 2009 en donde analizan un ejemplar de código malicioso instalado en un cajero automático de Europa del Este en julio de 2005. Básicamente el malware se encarga de “capturar datos de la banda magnética y claves digitadas en el PIN pad” lo cual es suficiente para realizar cualquier acción con la cuenta robada debido a que se ha violado la autenticación de dos factores: Algo que se tiene (tarjeta) y algo que se sabe (la clave). Lo más inquietante del asunto es que el código malicioso fue encontrado en cajeros automáticos que corren el sistema operativo WINDOWS XP (es correcto, el mismo sistema operativo que se ve en la imagen superior).

Desde luego la respuesta del mayor fabricante de cajeros automáticos, Diebold, no se hizo esperar. En junio del mismo año el fabricante publicó una actualización crítica a sus sistemas y aprovechó para anunciar que la amenaza se encontraba aislada en Rusia y que el incidente requería de acceso físico al dispositivo (alguna persona de mantenimiento por ejemplo) por lo que una fuga de datos a través de la red no era posible (eso sin tener en cuenta que en el 2003 ya se había presentado un incidente relacionado con un famoso gusano Windows infectando cajeros automáticos)

Luego de revisar los últimos incidentes relacionados con la seguridad de las transacciones en cajeros automáticos, concluyo que es estrictamente necesario empezar a pensar en un cambio radical en cuanto al diseño e implementación de estos dispositivos los cuales son bastante críticos debido a que son el punto de acceso a las finanzas de millones de personas en el mundo. Lo ideal sería volver las condiciones dadas en los sesentas en donde los ATM contaban con sistemas operativos propietarios (como por ejemplo RMX) de único propósito los cuales estaban conectados mediante una línea dedicada directamente a un procesador de transacciones.

Si bien esta solución es muy posible que no sea viable (debido a factores económicos y de compatibilidad), si se deben implementar controles adicionales que refuercen la seguridad de la información en estos dispositivos como por ejemplo realizar la instalación de agentes de monitoreo en las redes de los ATM , procurar instalar Windows Embedded en vez de XP, incluir en los cajeros automáticos en la gestión de aplicación de actualizaciones para evitar infecciones de gusanos a través de la red y desde luego reforzar los controles de acceso del personal que realiza el mantenimiento a los cajeros. Finalmente, y no menos importante, se debe procurar NO INSTALAR WINDOWS XP PIRATA EN UN ATM:

La seguridad informática en dispositivos móviles aún está muy atrasada con respecto a la que se desarrolló pensando en computadores tradicionales. Según mi criterio, una de las razones más importantes es que no existe aún un sistema operativo que domine el mercado de los dispositivos móviles; cosa que si sucede con Windows en los computadores tradicionales. Consecuencia directa de este hecho es que aún no existe una amenaza en seguridad de la información que tenga un amplio alcance, riesgo y velocidad de propagación…hasta hace unos meses con el incidente de la primera Botnet que afecta los famosos iPhone: iKee.B (Duh) (para los interesados en el tema recomiendo leer el análisis realizado por el SRI).

Resumiendo un poco lo sucedido, en noviembre de 2009 usuarios holandeses de iPhones desbloqueados (liberados del control de la AppleStore que se encontraban en el rango de direcciones IP de T-Mobile 3G notaron una extraña imagen en sus dispositivos:

La ventana le notificaba al usuario que su dispositivo había sido vulnerado y que, si deseaba eliminar el código malicioso instalado, debía pagar 5 USD en un sitio web dedicado para ello. El ataque consistía en realizar una conexión SSH utilizando la contraseña por defecto que tiene Applie en sus iPhone: “alpine”. Luego de tener permisos de root (administrador), el delincuente informático podía ejecutar cualquier comando en el dispositivo, incluyendo infectar el dispositivo con el primer gusano para iPhone: iKee.A. En este momento, el código malicioso podía ejecutarse automáticamente infectando otros dispositivos vulnerables, logrando aproximadamente 21.000 víctimas en una semana (SRI). ¿Cuál sería el siguiente paso lógico para realizar acciones delictivas aprovechando la NOTORIA vulnerabilidad de Apple? R/ La amenaza de moda del 2009: Crear una botnet para iPhone. Para realizar esto se le agregó una consola de comando y control al malware con el fin de controlar todos los dispositivos zombies. Con lo anterior se ratifica lo que investigué el trabajo que realice para el premio ESET 2009: Una red de dispositivos infectados que aprovecha la ubiquidad y conectividad que proporciona las redes inalámbricas 3G.

Ahora bien, la seguridad informática en dispositivos móviles ya no es un mito. El alcance de una amenaza de estas ya no se limita por el alcance del protocolo Bluetooth como sucedía hace unos años: Ahora es posible infectarse automáticamente solamente conectándose a Internet utilizando un dispositivo vulnerable. Es por esto que es importante comenzar a pensar en mecanismos de seguridad informática que existen actualmente en los computadores tradicionales como los analizadores de tráfico (sniffers). Toda esta introducción es para hablar sobre pirni, el primer sniffer de red nativo para iPhone (pirni):

Esta es una interesante iniciativa la cual puede evolucionar a un IPS (Intrusion Prevention System) que pueda analizar el tráfico y bloquear el que considere sospechoso. Desde luego es un desarrollo primitivo que tiene ítems por mejorar, como por ejemplo que sólo funciona en iPhone liberados, sin embargo, es un primer paso en el desarrollo de herramientas que permitan la protección de información confidencial en dispositivos móviles.

Por supuesto que un sniffer también puede ser usado para violar la privacidad de otros realizando ataques de ARP Spoofing o de MitM (Man in the Middle / Hombre en el medio), y ésta no es la excepción. Es por esto que es importante utilizar este tipo de herramientas con responsabilidad y uno de los usos que se me ocurren en este momento es, por ejemplo, detectar el intenso escaneo de dispositivos vulnerables que realiza iKee cuando su iPhone está infectado.