1
Malware: Historia y Clasificación Luis Fran Cardozo González, Bladimiro García Severiche
Resumen — — Ante la alta conectividad de las empresas y las personas a la red, las amenazas a la seguridad de la información va en constante aumento. La información confidencial que manejan las empresas y las personas son el primordial objetivo de los creadores de malware, ya que por medio de virus, troyanos, gusanos entre otros, pueden cometer fraudes, robos, extorsiones, etc. Ninguno de los antivirus de la actualidad cuenta con mecanismos efectivos para contrarrestarlo, porque no es posible para las compañías antivirus abarcar las miles de muestras que reciben a diario. Los malware pueden ser clasificados según sus efectos: como los Malware infecciosos que dentro de éstos, los más comunes que podemos localizar son Virus y Gusanos; también existen los malware ocultos que tienen como finalidad infiltrarse en los computadores y permanecer siempre oculto para cumplir con sus objetivos. Algunos malware de este tipo que podemos encontrar son los Rootkits y Troyanos; Hay otros que se utilizan para obtener beneficios mostrando publicidades a través de Spyware, los cuales se encarga de solicitar información acerca de las actividades que realiza el usuario sobre su ordenador para luego distribuirlas a empresas de publicidad u otras organizaciones, también podemos mencionar a los Adware, los cuales vienen incluidos en programas Shareware y su función principal es mostrar o descargar publicidades al ejecutarse. Palabras clave — Código cibernético (Crimeware ), ),
malicioso
(Malware ),
Crimen
I. I NTRODUCCIÓN NTRODUCCIÓN La tecnología se vuelve cada día más esencial en nuestras vidas, por lo que la mayoría de los dispositivos electrónicos que utilizamos requieren de una computadora para funcionar. Dependemos de dispositivos como portátil, celulares, Tablet, entre otros, para comunicarnos, trabajar y almacenar información que no podemos perder. Sin embargo, el aumento en el uso de estos dispositivos también significa que la cantidad de datos sensibles en la red, tanto de usuarios como de empresas, va creciendo significativamente. Los Malware [1] siguen siendo un grave problema a pesar de los muchos intentos para detectarlos y evitarlos. Los creadores de malware Siguen desarrollando continuamente nuevos métodos para evadir las detecciones por medio de firmas, como el uso de la encriptación, empaquetamiento y la ofuscación. Se informan de un gran número de nuevos casos de malware cada día, por ejemplo, alrededor de medio millón de muestras de malware se registraron en julio del 2012 [2]. El problema más difícil es la forma de detectar de manera eficiente y eficaz los nuevos malware. La Clasificación de malware es el primer paso en la análisis análisis y detección detección de nuevos nuevos casos de malware. malware. De esta manera nos basamos en explicar detalladamente cómo funcionan, según su clasificación cada uno de estos programas prog ramas maliciosos. De acuerdo con la compañía de antivirus, la mayor amenaza a la seguridad de esos datos confidenciales son los malware, debido a que son desarrollados con el objetivo de obtener dinero de forma ilegal, tales como fraudes, extorsiones, robo de identidad. II.
DESARROLLO
A. ¿Qué es el M alwar e?
Podemos definir que es todo software que tiene propósitos dañinos. Los propósitos que tiene el Malware van desde la simple recolección de información personal del usuario (para poder venderla venderla a otras compañía compañías), s), pasando pasando por el uso de recursos de forma remota o simplemente el dañar la estructura del sistema operativo afectado incluso obtener dinero de forma Ing. Luis Fran Cardozo González y Bladimiro García Severiche ilegal. Dichos propósitos están estrictamente relacionados con la pertenecen a la Maestría Ingeniería de Sistemas y Computación y realizan la persona que los diseña; diseña; algunos algunos lo hacen por simple simple ocio, siguiente investigación como parte del desarrollo de Seguridad en Redes persona (Email:
[email protected] [email protected],,
[email protected] [email protected])). mientras que la gran mayoría lo hace en pos de un beneficio La investigación fue asesorada por el PhD(c) Ing. Enrique Santiago económico. Chinchilla. Le agradecemos al PhD(c) Ing. Enrique Santiago Chinchilla, por su dedicación y muestra de a poyos en nuestra formación.
2
B. Evolución
El desarrollo de programas dañinos se originó a través de la creación de virus informáticos y, aunque inicialmente sus fines se destinaban estrictamente a la investigación, con el tiempo su objetivo derivó en la obtención de reconocimiento por parte de sus autores y en la actualidad con fines lucrativos. PnadaSecurity [ 3], nos ilustra un poco acerca de la evolución de los malware, la cual comenzó en 1949 cuando Von Neumann estableció la idea de programa almacenado y expuso La Teoría y Organización de Autómatas Complejos, donde presentaba por primera primera vez la posibilidad posibilidad de desarrolla desarrollarr pequeños pequeños programas programas replicantes y capaces de tomar el control de otros programas de similar estructura. Si bien el concepto tiene miles de aplicaciones en la ciencia, es fácil apreciar una aplicación negativa de la teoría expuesta por Neumann: los virus informáticos. Pero Fue en 1972 cuando Robert Thomas Morris creó el que es considerado cómo el primer virus propiamente dicho: el Creeper era capaz de infectar máquinas IBM 360 de la red ARPANET (la precedente de Internet) y emitía un mensaje en pantalla pantalla que decía “Soy una enredadera enredadera (creeper), atrápame si puedes”. puedes”. Para eliminarlo, se creó otro virus
otros programas, a partir de su modificación para introducirse en ellos". Además poseen dos características particulares: particulares: Pretender actuar de forma transparente al usuario y tener la capacidad de reproducirse a sí mismo. Todas las cualidades mencionadas pueden compararse con los virus biológicos, que producen enfermedades (y un daño) en las personas, personas, actúa actúann por sí solos solos y se reproducen reproducen (conta (contagian gian). ). Como cualquier virus, los virus informáticos necesitan de un anfitrión o huésped donde alojarse, y este puede ser muy variable: un archivo ejecutable, el sector de arranque o incluso la memoria del ordenador. El daño que un virus puede causar también es extremadamente variable: desde un simple mensaje en pantalla para molest molestar ar al usuario usuario o la elimi eliminació naciónn de archivos archivos del del sistem sistema, a, hasta inhabilitar completamente el acceso al sistema operativo, son algunas de las alternativas conocidas. Los virus pueden infectar de dos maneras diferentes. La tradicional consiste en “inyectar” una porción de código en un archivo normal. Es decir, el virus reside dentro del archivo ya existente. De esta forma, cuando el usuario ejecute el archivo, además de las acciones normales del archivo en cuestión, se ejecutan las instrucciones del virus. La segunda forma de infectar consiste en “ocupar el lugar” del archivo original y
llamado Reaper (segadora) que estaba programado para buscarlo renombrar este por un nombre conocido solo por el virus. En y eliminarlo. Este es el origen de los actuales antivirus. este caso, al ejecutar el archivo primero se ejecuta el malicioso A principio de este siglo siglo se considera la la época de las grandes y, al finalizar las instrucciones, este llama al archivo original, epidemias masivas que tuvieron su punto álgido en el 2004, ahora renombrado. donde utilizando técnicas de ingeniería social, se infectaba a los Cuando un virus es ejecutado se producen dos acciones en paralelo: el daño en cuestión cuestión y la propagación propagación para seguir seguir usuarios por medio del correo electrónico siendo el gusano I paralelo: LOVE YOU el de mayor repercusión mediática. A partir de este infectando. Esta es la característica primordial de los virus, su punto, punto, más exactam exactamente ente en el año año 2005 tras 5 años años de tendencia tendencia capacidad de reproducirse por sí mismos: el mismo virus es el sostenida en la que los virus tal y como los conocíamos fueron que causa el daño y continúa infectando nuevos ordenadores o dejando su lugar a gusanos y troyanos encargados de formar archivos. A pesar de que hoy en día la principal vía de contagio es a redes de bots para obtener dinero, cuando vieron que el entretenimiento que podía suponer la creación de malware se través de Internet, los canales de entrada de un virus informático pueden ser variables variables y se incluyen incluyen también también los medios medios de podía convertir convertir en un nego negocio cio muy muy rentable. rentable. Quizá la mejor prueba de ello sean los denominados Troyanos almacenamiento (un disco rígido, cd/dvd, un pen drive, etc.) o una red local (por ejemplo, a través de las carpetas compartidas). Bancarios de los que existen miles de variantes dado que los Gusanos: Los "Gusanos Informáticos" son programas que creadores, para dificultar su detección modificaban permanente realizan copias de sí mismos, alojándolas en diferentes el código de los mismos. ubicaciones del ordenador. El objetivo de este malware suele ser En cuanto a las amenazas para móviles, no cabe duda de que colapsar los ordenadores y las redes informáticas, impidiendo así la llegada de las tecnologías, móviles e inalámbricas, y su constante evolución han revolucionado en los últimos años la el trabajo a los usuarios. A diferencia de los virus, los gusanos forma en la que nos comunicamos y trabajamos. Sin embargo, la no infectan archivos. El principal objetivo de los gusanos es propagarse y afectar al expansión del uso de esta tecnología ha hecho que también se convierta en un vector de ataque importante para la industria del mayor número de ordenadores posible. Para ello, crean copias de sí mismos en el ordenador afectado, que distribuyen malware. posteriorm posteriormente ente a través través de diferente diferentess medios, medios, como el correo correo electrónico, programas P2P o de mensajería instantánea, entre C. Clasificación Teniendo en cuenta la clasificación realizada por muchas otros. Los gusanos suelen utilizar técnicas de ingeniería social para empresas dedicadas a combatir los diferentes tipos de malware conseguir mayor efectividad. Para ello, los creadores de malware y realizando una agrupación según sus características, podríamos seleccionan un tema o un nombre atractivo con el que camuflar clasificarlos de la siguiente manera: el archivo malicioso. Los temas más recurrentes son los Virus: En su libro "Virus Informáticos: teoría y experimentos", el doctor Fred Cohen [4], quien es reconocido relacionados con el sexo, famosos, temas morbosos, temas de como el primero en definir los virus informáticos, señaló: "Se actualidad o software pirata. El comportamiento típico de los gusanos informáticos [5] denomina virus informático a todo programa capaz de infectar a incluyen los siguientes elementos del sistema operativo donde
3
pueden incrustar incrustar código código malici malicioso. oso. •El sistema de arranque (sectores HD, archivos de inicio y principalm principalmente ente el registro registro de configurac configuraciones iones que se ha convertido en el sitio preferido para cargar todo tipo de malware). •El pool de procesos en memoria (que representa la lista de procesos procesos en ejecución) ejecución).. •El sistema de archivos (obviamente una aplicación debe ejecutarse desde un archivo que contenga sus instrucciones ejecutables y hace del spam y el phishing un caso especial de malware). •El tráfico de red (donde se intercambian paquetes de información con otras máquinas). Rootkits: Se trata de programas diseñados para ocultar objetos como procesos, archivos o entradas del Registro de sistemas. Este tipo de software no es malicioso en sí mismo, pero es utilizado utilizado por los creadores creadores de malware malware para esconder esconder evidencias y utilidades en los sistemas infectados. Existen ejemplares de malware que emplean rootkits con la finalidad de ocultar su presencia en el sistema en el que se instalan. Rootkits[6], trabajan como parte del sistema operativo y no dejar que los usuarios puedan ver las tareas o servicios reales. El Sistema operativo estará bajo el control total del atacante y se puede esconder todo lo que quiera en el sistema. sistema. Rootkits Rootkits tienen dos grupos principales con diferentes arquitecturas, arquitecturas, Rootkits clásica y rootkits de kernel. Inicialmente los rootkit aparecieron en el sistema operativo UNIX y eran una colección de una o más herramientas que le permitía permitíann al atacante atacante conseguir conseguir y mantener mantener el acceso acceso al usuario usuario de la computadora más privilegiado (en los sistemas UNIX, este usuario se llama *root* y de ahí su nombre). En los sistemas basados basados en Windows, Windows, los rootkits rootkits se han han asociado asociado en genera generall con herramientas usadas para ocultar programas o procesos al usuario. Una vez que se instala, el rootkit utiliza funciones del sistema operativo para ocultarse, de manera tal de no ser detectado y es usado en general para ocultar otros programas dañinos. Un rootkit ataca directamente el funcionamiento de base de un sistema operativo. En Linux, modificando y trabajando directamente en el kernel del sistema. En Windows, interceptando los APIs (Interfaz de Aplicaciones de Programación) del sistema operativo. Estas, interactúan entre el usuario y el kernel; de esta forma, el rootkit manipula el kernel sin trabajar directamente en él como en el caso del software libre. La utilización de estos programas se alinea a la perfección con la dinámica actual del malware: El Cibercrimen. Si el objetivo es la realización de delitos informáticos para conseguir beneficios económicos, será de vital importancia pasar lo más inadvertido posible. posible. De esta esta forma, forma, se maxim maximizará izará la la cantidad cantidad de tiem tiempo po que el malware consiga estar activo dentro del ordenador, sin ser detectado. Troyanos: El término troyano proviene de la leyenda del caballo de Troya, ya que su objetivo o bjetivo inicial es el de engañar a los usuarios para que los ejecuten simulando ser archivos normales e indefensos, como juegos, programas, animaciones etc. De esta forma logran instalarse en nuestros sistemas y una vez
ejecutados, parecen realizar tareas inofensivas pero en paralelo realizan otras tareas ocultas en el ordenador. Los Troyanos a diferencia de los Gusanos y Virus, no tienen la capacidad de reproducirse por sí mismo. Según las estadísticas en su informe trimestral trimestral PandaLabs [7], hasta el tercer trimestre del año, los troyanos ocupaban el 72,58% en producción de nuevos malware creados (Casi 3 de cada 4 muestras de malware son troyanos). Los resultados de la investigación se muestran en la Figura 1.
Figura 1. Nuevo malware creados en el tercer trimestre de 2012, por tipo. tipo. Los propósitos para los cuales pueden ser utilizados los Troyanos son muchos, por ejemplo: Robo de información del sistema, registro de tipeo y robo de contraseñas o accesos remotos (puertas traseras), donde permiten al atacante conectarse remotamente remotamente al equipo infectado. Los troyanos los podemos clasificar en los siguientes tipos: Backdoors: Troyanos de acceso remotos o puertas trasera, tienen la características de permitirle al atacante conectarse remotamente al equipo infectado. Luego de que el atacante accede al ordenador del usuario, los usos que puede hacer del mismo son variados, según las herramientas que utilice: enviar correos masivos, eliminar o modificar archivos, ejecución de archivos, reiniciar el equipo o usos más complejos como instalar aplicaciones para uso malicioso (por ejemplo: alojamiento de sitios web de violencia o pedofilia). En los últimos meses [8], esta rápida proliferación mundial de código malicioso cada vez más inteligentes ha llegado acompañado de un método de ataque dañino: troyanos que se instalan puertas traseras en los sistemas de redes comprometidas para que puedan participar en la actividad malintencionada desde un sistema infectado y enviar los datos a ubicaciones remotas . El código del troyano se disfraza como un programa inofensivo, correo electrónico, o una imagen, etc, y con el éxito de obtener acceso al sistema, el troyano puede dar rienda suelta a código dañino como la instalación de puertas traseras. Una vez establecida la puerta trasera, ningún cracker puede perpetrar, pirata informático, o otra persona con conocimiento de la apertura puede utilizarla para la entrada del d el sistema. Keyloggers: Son uno de los troyanos más utilizados para obtener información sensible de los usuarios. Son programas creados para robar información, para lo cual monitorean todas las pulsaciones del teclado y las almacenan para un posterior envío al creador, quien puede obtener beneficios económicos o de otro tipo a través de su uso o distribución. Por ejemplo, al
4
introducir un número de tarjeta de crédito el keylogger guarda número de ataques de malware sea a equipos con este sistema, y el número, posteriormente lo envía al autor y éste puede hacer que el 99% porcentaje de software malicioso que detectan pagos fraudulentos con esa tarjeta. Los keyloggers empresas como Karpesky es para la plataforma ya mencionada. normalmente son usados para recopilar contraseñas y otros En la Figura 2. Karpesky [10] en su boletín de seguridad datos, pero también se pueden usar para espiar conversaciones 2012, nos muestra el Top ten de los malware para Android, de chat u otros fines. donde el mayor porcentaje de estos son Troyanos. Banker: Se denomina troyanos bancarios a la familia de códigos maliciosos cuya finalidad es la obtención de información bancaria de los usuarios infectados. Utilizan diferentes estrategias para obtener las claves de acceso a todo tipo de entidad financiera. Algunas de estas estrategias son: Remplazar el sitio web de la entidad de manera total o parcial, capturar pantallas de la página bancaria cuando se utiliza teclado virtual entre otros, enviándose esta información al atacante por correo electrónico normalmente. normalmente. Botnets: Son utilizados para crear redes de equipos zombis. El atacante utiliza el troyano para controlar una cantidad de computadores y así, utilizarlos para cualquier fin maligno. Se Figura 2. Top 10 de Malware para Android. utilizan para enviar Spam o para realizar ataques de negación de servicios, de los cuales pueden sacar beneficios Spyware: Estos recopilan la información de los usuarios económicos. respecto a los accesos a internet sin el consentimiento de ellos, y Las botnets [9] se han identificado recientemente como una posteriorm posteriormente ente envían envían estos estos datos datos a personas personas externas. externas. de las amenazas más importantes para la seguridad del Internet. Aunque este tipos de malware no dañan el ordenador, si Tradicionalmente, las botnets se organizan de forma jerárquica afectan el rendimiento de este, además de atentar contra la con un comando central y lugar de control. Esta ubicación puede privacidad privacidad de los usuarios usuarios y modifica modificarr algunas algunas configuraci configuraciones ones ser estáticamente definido en el bot, o puede ser definido de de los navegadores web. forma dinámica dinámica basada en un servidor de directorio. En la La mayoría de los programas Spyware, son instalados como actualidad, la característica central de botnets es útil para troyanos junto a software bajados por p or internet. profesional profesionales es de la seguridad, seguridad, ya que ofrece ofrece un punto punto central central de Ciertos spyware poseen características adicionales para la insuficiencia de la red de bots. En un futuro próximo, creemos conseguir información e intentan interactuar con el usuario que los atacantes se moverán a las arquitecturas más flexibles. simulando ser buscadores o barras de herramientas. Con estas Una de las amenazas más importantes a la Internet hoy en día técnicas, los datos obtenidos son más legítimos y confiables que es la amenaza de botnets, que son redes de ordenadores con otros métodos espías utilizados. infectados bajo el control de un atacante. Es difícil medir la p ublicidad al Adware: Son programas que muestran publicidad magnitud del daño causado en Internet por botnets, pero es usuario de manera intrusiva en forma de ventanas pop-up o de ampliamente aceptado que el daño es significativo. Además, es cualquier otra forma. Esta publicidad aparece inesperadamente el mas potencial en magnitud de daño que existe en el futuro. en el equipo y resulta muy molesta. Password Stealer: Los Stealer roban la información privada Al igual que los Spyware, los Adware no atentan contra la que se encuentra guardada en el equipo. Al ejecutarse, integridad de los sistemas operativos, si no que sus comprueban los programas instalados en el equipo y si tienen consecuencias se ven reflejadas primero en el rendimiento de contraseñas recordadas (por ejemplo en navegadores web) este, ya que consumen procesador, memoria y ancho de banda descifran esa información y la envían al creador. y segundo en la molestia que causan a los usuarios mostrando Dialer: Toman el control del módem, realizan una llamada a ventanas con publicidad la cual aparece sin ningún tipo de un número de teléfono de tarifa especial (muchas veces orden dada al computador. internacional) y dejan la línea abierta, cargando el costo de la Ransomware: Son programas que cifran los archivos llamada al usuario. La forma más habitual de infección suele ser importantes para el usuario, haciéndolos inaccesibles. Luego de en páginas web que ofrecen contenidos gratuitos pero que sólo esto se exige pagar un "rescate" para poder recibir la contraseña permiten permiten el acceso acceso mediante mediante conexión conexión telefóni telefónica, ca, y los señuelos señuelos que permite recuperar dichos archivos. suelen ser videojuegos, salvapantallas o pornografía. El Ransomware es una de las amenazas informáticas más Actualmente la mayoría de las conexiones a internet son similares a un ataque sin medios tecnológicos: el secuestro. mediante ADSL y no mediante módem, por lo que los dialers ya Este tipo de ataques por lo general es perpetrado por un solo no son tan populares. atacante quien casi siempre utiliza los archivos de ofimática Además de los diferentes tipos de troyanos descritos, cabe como víctimas del ataque. También imágenes y correos resaltar la incursión y evolución de Troyanos para dispositivos electrónicos, son prioritarios para el común de los ataques. móviles y para Mac. En el caso de los primeros, el creciente mercado de los equipos con Android, ha llevado a que el mayor
5
III. CONCLUSIONES Hasta este punto de la investigación, vemos como cada día aumentan el número de ataques de malware a los diferentes sistemas (Windows, Mac, Linux, Android), creciendo a la vez el riesgo de que seamos victimas de uno de estos tipos de software maliciosos. El basto crecimiento de dispositivos móviles, en especial el progresivo aumento aumento de equipos con Android, ha disparado por parte de los desarrolladores desarrolladores la alta creación de nuevos nuevos malware malware y la constante evolución evolución de los ya existentes, existentes, convirtiéndose convirtiéndose cada vez más difícil la tarea de d e detectar y eliminar cada uno de estos programas mal intencionado. Al pasar de simples intenciones de reconocimientos a intereses económicos, los creadores de estos tipos de software, buscan constantemente constantemente diferentes estrategias que los lleven a cumplir con su cometido, sin interesarles incurrir en delito. Con la aclaración de conceptos y la correspondiente clasificación de los malware, tendremos un conocimiento mayor de la forma como cada uno de ellos operan con el objetivo de poder protegernos. R EFERENCIAS EFERENCIAS [1] Fast Malware Classification. Cyber Defense Laboratory. Department of Computer Science Department NC State University, Raleigh, NC, USA. | Younghee Park, Douglas Reeves, Vikram Mulukutla, Balaji Sundaravel. (2010). [2] Symantec Symantec Intelligence Intelligence Report: July July 2012. Disponible Disponible en Internet: http://www.symanteccloud.com/verify.nocache?filename=SY MCINT_2012_07_July.pdf [3] Panda Security Antivirus. Security Info Classic Malware: su historia, su evolución | PandaLabs, el laboratorio antimalware de Panda Security. Disponible en Internet: http://www.pandasecurity.com/spain/homeusers/securityinfo/classic-malware/ [4] Elementos teórico-prácticos útiles para conocer los virus informáticos. | Lic. Ramón Orlando Bello Hernández y Ms C. Ileana R. Alfonso Sánchez. (2003). [5] HUNTER. Modelo de Antivirus Inteligente para La Protección contra Gusanos. | Siler Amador, Hilda Quinayás, Guillermo Jurado, Beatriz Garzón y Leidy Yurany Aley. (2008). [6] Trojans and Backdoors. | Shahram Monshi Pouri, Nikunj Modi. [7] Panda Security Antivirus. Informes - Trimestrales | Informe Trimestrales PandaLabs [citado Octubre 2012]. Disponible en internet: http://prensa.pandasecurity http://prens a.pandasecurity.com/wp.com/wpcontent/uploads/2012/12/Inform content/uploads /2012/12/Informe-Trimestrale-Trimestral-PandaLabs-JulioPandaLabs-JulioSeptiembre-2012.pdf [8] The Digital Insider: Backdoor Trojans. The World Bank Integrator Unit | Tom Kellermann, CISM and Yumi Nishiyama. Nishiyama. (2003). [9] Peer-to-Peer Botnets: Overview and Case Study | Julian B. Grizzard, Vikram Sharma, Chris Nunnery, and Brent ByungHoon Kang (2007).
[10 ] Kaspersky Antivirus. Antivirus. Centro de Prensa | Boletín de seguridad 2012. Estadística general de 2012 [citado Diciembre 10, 2012]. Disponible en Internet: http://www.viru http://w ww.viruslist.com slist.com/sp/analy /sp/analysis?pubid=207271195#1 sis?pubid=207271195#1