| |
Home / Bitácora / mayo 2009
Bitácora del analista antivirus
Revisión de los documentos de AMTSO |
|
La semana pasada escribí sobre los documentos que los miembros de AMTSO acababan de aceptar. Durante las próximas semanas, explicaré en detalle el contenido de cada uno de los documentos y por qué son importantes. El primer documento que estudiaremos será el de Las mejores prácticas para validar las muestras (Best Practices for Validation of Samples), pdf en inglés. Las muestras que se toman son un componente crucial de una buena prueba. Existen aspectos importantes, como que los productos estén configurados de manera apropiada y que se interpreten los resultados del análisis de forma óptima. Pero cuando pensamos en pruebas, las muestras son lo primero y más importante que pasa por nuestra mente. Cuando hablamos de validación, nos referimos de manera estricta a asegurarnos de que todas las muestras utilizadas funcionen. Así que esto no incluye definir la relevancia ni la clasificación de las muestras. ¿Por qué es importante la validación? Porque los archivos que no se pueden cargar no representan ninguna amenaza para el usuario. Por esta razón, los programas de seguridad no los detectan, ni deberían hacerlo. El tener estos archivos entre las muestras influiría en los resultados de la prueba. Veamos un ejemplo teórico: Tenemos un gran gusano de red de 100KB, que los productos antivirus A, B y D lo detectan, pero el C no lo hace.
Ahora veamos qué sucede cuando el gusano se carga. Mientras el gusano trata de infectar un ‘honey pot’ la conexión se rompe cuando se han transferido tan solo 80KB del archivo. De pronto los resultados de la prueba comienzan a variar:
- El producto A sigue detectando el archivo porque tiene una signatura en los primeros 80KB del archivo original.
- El producto B deja de detectar el archivo porque su signatura estaba basada en los últimos 20KB del archivo.
- El producto C nota que hay una diferencia entre la información en el encabezado PE y el tamaño real del archivo y comienza a detectarlo de forma heurística.
- El producto D deja de detectarlo porque tiene un modo de detección basado en emulación. Como el archivo ya no se puede cargar, no puede emularse.
El documento se concentra principalmente en la validación de archivos PE (portátiles ejecutables) porque éstos conforman la mayor parte del malware hoy en día. Lo ideal sería que quien esté manejando las muestras trate de ejecutar la prueba en un ambiente seguro para obtener los resultados más precisos. Si esto no es posible por razones como tiempo o recursos, el documento presenta algunos datos para revisar de forma estadística si una muestra puede cargarse. Aquí puede leer los documentos recién publicados.
Spammers alemanes se estancan en navidad |
|
Ya estamos en mayo y a casi medio año de la Navidad. Faltan más de seis meses hasta la próxima nochebuena. Pero al parecer esa no es razón suficiente para dejar de enviar spam con motivos navideños. Después de todo, cualquier festividad es buena para el negocio. Así que, ¿por qué no aprovechar la popularidad de esta fiesta en febrero, marzo, abril o mayo?
Abajo les mostramos algunos mensajes que recibimos el 27 de marzo y 29 de abril. 
Este mensaje contiene el típico texto explicando los beneficios del Viagra. Al final del mensaje se ofrecen 12 tabletas gratis por navidad. Cuando en febrero recibí los mensajes en alemán que contenían felicitaciones navideñas, pensé que los spammers habían olvidado eliminar las líneas extra que ofrecían felicitaciones y regalos. Pensé lo mismo en marzo. En abril estaba un poco confundida. Pero hoy, al recibir la oferta de 12 tabletas de viagra por Navidad, me di cuenta de que lo más probable era que los spammers estén anticipándose a la fecha. 
Uno nunca sabe, tal vez lo que los spammers querían decir era que si compras un paquete de Viagra ahora recibirás otro gratis en Navidad. ¿Quién sabe lo que pasa por sus cabezas? De cualquier modo, el que ofrezcan productos gratis no es nada novedoso.
En vivo desde Interop Las Vegas |
Estoy en el evento Interop Las Vegas que una vez más se está llevando a cabo en el centro de convenciones Mandalay Bay. Es la primera vez que visito Las Vegas y es una experiencia maravillosa. Ayer hablé sobre los peligros de las redes sociales y el problema aún mayor de la confianza ciega que los usuarios tienen en ellos. Hoy hablaré sobre los métodos que utilizan los atacantes y sobre cómo funciona el ecosistema del malware. Como muchos de nuestros competidores, también tenemos un espacio en Interop. Así que si están cerca pueden pasar por el stand #1212 y visitarnos cuando tengan tiempo. 
| Dmitry Bestúzhev | 20 mayo 2009 | 16:28 MSK |
Comentar
|
La semana pasada los medios de comunicación le prestaron bastante atención a un nuevo ataque phishing que afecta a Facebook, una de las redes sociales más usadas, con alrededor de 200 millones de usuarios registrados. Se cree que los delincuentes atacaron Facebook para aprovechar su popularidad y la gran cantidad de usuarios que tiene. Lo interesante es que los ataques a redes sociales más pequeñas pero igual de conocidas también están basados en la ingeniería social. Por ejemplo, hace poco detectamos una nueva ola de ataques phishing que afectaba al sitio Odnoklassniki (‘compañeros de clase’ en Ruso), que es muy popular entre los internautas de la antigua Unión Soviética. En la actualidad el sitio cuenta con alrededor de 35 millones de usuarios. Los atacantes utilizan un método similar: Un contacto de confianza te envía un mensaje con un enlace a un recurso externo. El mensaje falso parece legítimo porque contiene el nombre del usuario y a veces hasta un sobrenombre que sólo sus amigos conocen. {¡Hola Diman! Ayer Nastya me mostró un concurso interesante. Entra a
http://furnish.comforts.me ¡es genial!} 
{¡Hola Diman! Ayer Nastya me mostró un concurso interesante. Entra a t
http://furnish.comforts.me ¡es genial!}
El usuario que ‘envía’ este tipo de mensajes debe haber entregado su contraseña sin darse cuenta a estafadores virtuales o su ordenador debe estar infectado con un programa nocivo que roba contraseñas.
Al pulsar en el vínculo del mensaje se abre una ventana que imita al sitio de Odnoklassniki, en la que se ofrece a los usuarios la oportunidad de participar en un concurso. Después se pide al usuario que escriba sus datos de acceso al sitio (dirección de correo y contraseña). 
Después se le pide que envíe un mensaje SMS desde un teléfono móvil para recibir un código especial que necesita para participar: 
Un solo mensaje SMS cuesta a los usuarios rusos entre 150 y 200 rublos, el equivalente a 6 dólares estadounidenses. Por supuesto, el usuario no recibe ningún código. Los más persistentes y entusiasmados pueden enviar un segundo mensaje SMS y acabará gastando $12. Una vez que las víctimas se dan cuenta de que no vale la pena mandar más mensajes, ya es demasiado tarde: los usuarios tienen los datos de la cuenta del usuario, que seguramente utilizarán para lanzar más ataques phishing. En este caso particular, los phishers intentan ganar dinero de los mensajes SMS que las víctimas envían. Así que ahora que la conocen, ¡no caigan en la trampa!
|
Durante toda la primera semana de mayo, parte de la comunidad de analistas antivirus se reunió en el soleado Budapest, Hungría. El primer grupo de empresas asistió al tercer taller anual CARO. Más de cien analistas de todo el mundo acudieron al taller. Además del taller se realizó la reunión de miembros de AMTSO. La reunión tuvo muchos menos asistentes que las veces pasadas: alrededor de 40 personas, entre las que estábamos Dennis Nazarov y yo en representación de Kaspersky Lab. Llegamos con un plan para votar en cuatro documentos: - Las mejores formas de validar los ejemplares,
- Las mejores formas de analizar productos de seguridad en la nube,
- Análisis de los procesos de revisión y
- Problemas en la creación de malware para pruebas.
Después de discutir el tema, decidimos que este último punto todavía no estaba listo para someterse a votación. Este es sin duda el documento más controversial en el que AMTSO está trabajando. Existe una clara división entre la gente que cree que está bien modificar y crear malware con el propósito de examinar los productos de seguridad y los que opinan lo contrario. Se ha mantenido un fuerte tabú hacia la creación de malware hasta hace un par de años, tanto por razones técnicas como éticas. Sin embargo cada vez hay más gente que piensa que está bien hacerlo mientras que se tomen las debidas precauciones. Se consideró que los otros tres documentos estaban listos para someterse a votación. Se votó en los tres documentos. El documento de validación se concentra en un tema muy importante: cómo asegurarse de que todos los archivos en un grupo específico sean válidos, es decir, que no estén corrompidos. Como cada vez más productos están adquiriendo ‘habilidades en la nube’, existe el problema de cómo examinar estos productos de forma apropiada. Como la nube siempre está cambiando se vuelve imposible reproducir los resultados de las pruebas. Este documento contiene muy buenas propuestas para abordar el tema. El que seguro tendrá el mayor impacto es el documento de Análisis de procesos de revisión. Este documento contiene los pasos que deben seguir las pruebas publicadas para ser aprobadas de forma oficial por AMTSO. Un comité especial revisará si las pruebas siguen los principios fundamentales de pruebas de AMTSO y verá si tienen validez. Seguimos mejorando algunos de los otros procesos, pero este paso nos tiene muy emocionados. Aquí.puede leer los documentos recién publicados. 
Foto de Costin (izq.) y yo (der.) en la soleada Budapest, no tomamos ninguna en la reunión de AMTSO.
|
Hace poco lanzamos un producto especial para netbooks, así que constantemente estamos realizando pruebas de compatibilidad con cada nuevo netbook que aparece en el mercado. El otro día compramos un M&A Companion Touch nuevo para examinarlo. Tras realizar los primeros análisis, el equipo de examinadores me contactó porque sospechaba que había una infección de virus. ¿Sería posible que este sea otro ejemplo de un aparato que viene infectado de fábrica? Un análisis antivirus detectó los siguientes programas nocivos: Worm.Win32.AutoRun.aayn, Rootkit.Win32.Agent.hwq y Packed.Win32.Krap.g. Por si les interesa, estos son sus MD5s: Worm.Win32.Autorun.aayn: 0x4f90e62489e5a891a1d9520408164b8c
Rootkit.Win32.Agent.hwq: 0x7f289b08a41ef6c26b684dc4d95028ee
Packed.Win32.Krap.g: 0x1928c09bdb7d2c7d1180bf2105e1315a Después de estudiar el caso con mayor profundidad, descubrí que los archivos habían estado en el aparato desde febrero de 2009, mucho tiempo antes de que compráramos el netbook. El gusano AutoRun se propaga a través de dispositivos removibles, aprovechando vulnerabilidades en la forma en que Microsoft ejecuta la funcionalidad. Escribí sobre el problema en el blog de Zdnet (en inglés). Lo que debe haber pasado es que alguien utilizó un dispositivo USB infectado y lo conectó al netbook para instalar algunos drivers del aparato. El verdadero propósito de este gusano es robar las contraseñas de algunos juegos en línea, como el de El señor de los anillos y Maple story. También utiliza un mecanismo especial de descarga. Los archivos PE están codificados y vinculados de forma previa por un encabezamiento RAR falso para burlar a las soluciones de seguridad. Detectamos estos archivos “defectuosos” como Trojan.Win32.Ramag. Este caso demuestra una vez más que hasta los productos nuevos pueden venir infectados desde la fábrica. Protegerse de los dispositivos nuevos que ya vienen infectados es muy difícil. Por lo general lo más efectivo es hacer un análisis con una solución antivirus actualizada sin conexión a la red. Como siempre habrá transcurrido cierto tiempo entre el momento de la infección y el de la compra, tu programa de seguridad no debería tener ningún problema en detectar las amenazas. Como es de esperarse, hemos informado a M&A sobre nuestro descubrimiento. Pero, como los aparatos también están dando vueltas en casas y oficinas, también estamos alertando a los usuarios.
|
Este mes hemos estado bastante ocupados en el laboratorio de spam. Claro, el spam nunca desaparece, pero en mayo hemos tenido spam con el tema del Día de la madre 
y del Día de la victoria, una fiesta muy importante en Rusia que se recuerda el 9 de mayo en honor al fin de la Segunda Guerra Mundial. El simbolismo del mensaje de abajo representa los sentimientos patrióticos del día, pero el texto publicita servicios de impresión. 
También hemos tenido mucho spam sobre Eurovisión. Esto no sorprendente ya que está por terminar. Los sitios de Internet ruso han estado ofertando entradas desde mediados de febrero, pero esto no ha evitado que los spammers ofrezcan entradas que son un 150% o hasta un 200% más caras que las que se ofrecen en los medios oficiales. 
Claro, a quien vende las entradas no le importa recibir dos o tres veces más del valor real. El problema está si eres el comprador y pagas un precio altísimo por algo que resulta ser una estafa. Existen varias herramientas de seguridad para distinguir las entradas originales de las falsas y algunos spammers están utilizando esto a su favor: el correo de abajo (el que tiene el logo en el que los spammers agregaron “ruido”), acaba el mensaje advirtiendo a los destinatarios que tengan “¡Cuidado con las falsificaciones!”. 
¡Este es uno de los rarísimos casos en los que yo, una analista de spam, estoy de acuerdo con los spammers!
El mito de la seguridad de *nix |
|
Es común escuchar que los sistemas *nix son seguros y que no existe ningún virus o malware que los ataque. Esto ha dejado de ser cierto hace mucho tiempo, como demuestran dos programas maliciosos recientes. El primero es Trojan-Mailfinder.Perl.Hnc.a, un script perl que se conecta a un servidor de comandos para recibir textos y listas de destinatarios para enviar correos spam. 
El segundo es Trojan-Dropper.Linux.Prl.a, un ejecutable para Linux y FreeBSD. El archivo decodifica el script perl, ejecuta el intérprete perl y da el script decodificado. 
Se ha detectado el malware en servidores infectados con Trojan-Downloader.JS.Iframe.auy (que se muestra en la imagen de abajo). 
Este programa redirige a los visitantes del sitio a otro que descarga exploits y otros programas maliciosos que se hacen pasar por un códec de video: 
El sitio que propaga spam también contiene una página que promueve programas antivirus falsos, que ofrecen limpiar el ordenador del usuario por $60. (Detectamos esta aplicación fraudulenta como not-a-virus:FraudTool.Win32.MalwareDoctor.e): 
Hasta ahora hemos visto alrededor de 1.000 casos de sitios infectados con Trojan-Downloader.JS.Iframe.auy. También hay varios cientos de servidores infectados con Trojan-Mailfinder.Perl.Hnc.a y Trojan-Dropper.Linux.Prl.a que están enviando spam de forma activa. Los días en que los sistemas *nix estaban a salvo de los ataques de virus se han ido. En mi opinión, los administradores necesitan abrir los ojos; deberían estar al tanto de todas las amenazas en vez de dejar que sus sistemas o, peor aún, sus visitantes, sean víctimas de una infección. Es una vergüenza, muchachos.
|
¡Saludos desde el Oriente Medio! Me encuentro en la ciudad de Kuwait, donde voy a dar una conferencia en el Kuwait ICT Security Forum. ¿El tema de mi presentación? Ataques web 2.0, por supuesto. Uno de los puntos que más enfatizo cuando hablo de las amenazas web 2.0 es la importancia de la ingeniería social, o la “vulnerabilidad humana” como me gusta llamarla, para infectar los ordenadores de los usuarios inocentes. La ingeniería social ha estado presente siempre, mucho antes de que existiera cualquier sitio de interacción social. Pero ahora, como todos utilizan sitios como Facebook, Twitter, etc., me parece que ambos avanzan de la mano. Ingeniería social, interacción social… ¡después de todo no es tan difícil notar que ambos tienen algo en común! Hace poco vimos un gran aumento en los ataques phishing que afectan la página principal de Facebook. Los cibercriminales han estado utilizando el sistema de mensajería interna de Facebook para enviar mensajes cortos a los usuarios dirigiéndolos a fbaction.net, un sitio diseñado para imitar la página principal de Facebook y robar los datos de registro de los usuarios. Pero, ¿por qué los delincuentes quieren recolectar las contraseñas de Facebook? La respuesta es simple: La distribución de código nocivo mediante sitios de interacción social es 10 veces más efectiva que la que se realiza por correo electrónico. Es mucho más probable que los usuarios pulsen en un enlace que les envía un amigo de confianza que en uno proveído en un mensaje spam de remitente desconocido. Evita ser una víctima: considera agregar Facebook o el sitio de ingreso a tu red social preferida a tu lista Favoritos o escribe directamente www.facebook.com en la barra de direcciones del navegador cada vez que lo visites. Mejor aún, escribe la dirección completa, incluyendo HTTPS, en especial si estás conectándote desde una red pública: https://www.facebook.com. Estos consejos no sólo sirven para Facebook, por supuesto. ¡Qué disfruten de una feliz socialización! ¿O debería decir de una socialización segura?
Spam para prevenir la gripe porcina |
No es sorprendente que los spammers hayan saltado al vagón de la gripe porcina. Hemos estado viendo varios mensajes breves y concisos relacionados con este tema, desde unos relativamente inofensivos: Nuevo medicamento para prevenir la gripe porcina http://....com hasta otros que claramente quieren beneficiarse del pánico que siembran en la gente: ¡Evita que la gripe porcina te mate!http://kp....com/ El enlace dirige a un sitio que no ofrece nada nuevo: pasé bastante tiempo navegando en él para encontrar vacunas contra la gripe porcina, pero no encontré nada más que el clásico Viagra, Cialis y remedios contra la gripe común. 
Quizá esto sea lo mejor: cualquier tratamiento contra la gripe porcina que ofrezcan los spammers sin duda sería falso, al igual que la mayor parte de las cosas que ofrecen.
| |
