Seguridad Informática. Malware moderno: qué es, quiénes lo crean y cómo defendernos

INBIOSYS - Ingeniería y Sistemas Biométricos

Jesús Díaz Barrero, ingeniero de Sistemas de Palo Alto Networks España y Portugal, desvela cuáles son las amenazas de seguridad más avanzadas.

Cada vez con más frecuencia recibimos avisos, incluso desde los medios de comunicación generalistas, sobre algún nuevo tipo de malware cuya infección puede crear serios problemas de seguridad en las víctimas. La mayoría de estas amenazas son infecciones por malware moderno, también denominadas APTs (Advanced Persistent Threats, amenazas persistentes avanzadas). ¿Qué hay realmente detrás de una infección por malware moderno? ¿quiénes son los responsables de su creación y propagación, que las hacen tan “populares”? ¿qué podemos hacer para protegernos?

La verdad es que la respuesta a cualquiera de esas preguntas no es simple. Para entender mejor su complejidad probablemente lo primero que debemos aclarar es qué entendemos por malware moderno. Podemos encontrar múltiples definiciones al respecto, con matices diferentes, pero lo que siempre es común es el objetivo: cuando hablamos de malware moderno hablamos de ataques focalizados en el usuario. Es posible que el objetivo final sea el propio usuario, para robarle por ejemplo sus tarjetas de crédito, o puede ser que el usuario final no sea más que un medio para alcanzar un fin superior, como secretos industriales ubicados en un servidor del datacenter. En este segundo caso el usuario es atacado en el supuesto, en muchas ocasiones acertado, de que las políticas de seguridad internas son más laxas y que por tanto será más sencillo para el atacante acceder a ese recurso desde el interior, en lugar de hacerlo directamente desde fuera.

También es interesante analizar las diferentes fases que normalmente tienen lugar en una infección por malware moderno y que en general son: cebo al usuario, explotación, instalación del malware, conexión inversa y robo. Durante la fase de cebo se suele utilizar la ingeniería social, pretendiendo engañar al usuario para que visite alguna URL, o para que abra algún documento que se le hace llegar. Los mecanismos de envío del cebo son múltiples, yendo desde el correo electrónico hasta las redes sociales. Durante la fase de explotación es cuando se abusa de alguna vulnerabilidad para ganar el control del equipo del cliente. Puesto que hablamos de ataques a usuarios finales, normalmente se explota la herramienta que más utilizan estos, es decir, los navegadores web y sus plugins. Si la vulnerabilidad es desconocida (zero day o día cero) tendrá aún más probabilidades de éxito, aunque el hecho de que no lo sea tampoco la invalida puesto que es fácil encontrar sistemas sin parchear. Una vez conseguido el acceso al equipo el atacante quiere hacerlo perdurable. Es por ello que en la tercera fase del ataque realiza normalmente la instalación de algún “cliente” que une el sistema atacado automáticamente a la botnet. Esta descarga del malware y su instalación tiene lugar sin que el usuario perciba nada, a través de un proceso conocido como drive-by download (descarga dirigida). Una vez que el malware ha sido instalado silenciosamente tiene lugar la cuarta fase, que hemos denominada conexión inversa, en la que el cliente de la botnet intenta contactar con los servidores de mando y control (C&C) iniciando para ello una conexión hacia Internet. Esta comunicación utiliza normalmente tácticas evasivas y de ocultación (conexiones cifradas, fragmentadas a través de redes P2P…) y son las que perpetúan el acceso para llegar finalmente a la quinta fase, en la que los atacantes pueden explorar y robar a su antojo.

huella digital - Malware moderno qué es, quiénes lo crean y cómo defendernos

En cuanto a quiénes están detrás de la creación de una infección por malware moderno, de nuevo la respuesta no es única: dependiendo del tipo de malware y su objetivo los actores que están por detrás varían. Podemos establecer una clasificación muy generalista dividiendo a los responsables en tres grandes grupos, por orden creciente de sofisticación: activistas, ciber-crimen organizado y estados-nación. Los activistas suelen estar compuestos por algunos miembros con conocimientos técnicos que desarrollan las técnicas y herramientas para realizar los robos y sabotajes. El resto de los miembros es altamente heterogéneo y su motivación suele ser de tipo “sentimental” o política. Atacan un determinado objetivo porque consideran que es apropiado para hacer “justicia”. Un buen ejemplo de este tipo de organizaciones son Anonymous o Lulzsec. En el segundo grupo, el del ciber-crimen organizado, tendríamos las organizaciones criminales cuyo fin es claramente lucrarse y que contienen una estructura altamente especializada (expertos en phising, drive-by downloads, carders, …). Un ejemplo en este área sería la organización criminal detrás del “virus de la Policía”, que monetizaban el ataque consiguiendo transferencias para desbloquear los sistemas de las víctimas, amenazadas porque supuestamente habían visitado webs ilícitas y cuyo PC estaba por ello bloqueado por la Policía. Recientemente han detenido a la parte de la organización dedicada al blanqueo de dinero, con unos ingresos estimados entorno al millón de euros por año. Por último tenemos los estados-nación, con el máximo nivel de complejidad y recursos, por lo que son capaces de crear las amenazas más potentes y peligrosas con diversos objetivos (político, espionaje industrial, militar, …). Algunos ejemplos de malware en este área son Stuxnet, Duqu y The Flame.

Finalmente y respecto a los mecanismos de defensa, la semana pasada organizamos un taller técnico sobre malware moderno desde Palo Alto Networks con un alto grado de participación (más de 120 asistentes) y las conclusiones son parejas al problema: no existe una solución individual, sino que es necesario realizar una aproximación multidisciplinar. Así pues es necesario educar a los usuarios en la necesidad de que rechacen aquellos contenidos que desconocen, es necesario que las soluciones de seguridad controlen las aplicaciones y no solamente los puertos TCP/UDP, para reducir la superficie de ataque y dejar menos espacio a los vectores de propagación. Hay que inspeccionar también el tráfico cifrado, lo que no se ve no puede protegerse. Es necesario contar con sistemas de prevención de amenazas, capaces de detectar y detener los intentos de explotación conocidos. También es importante asumir que es posible que la infección entre por alguna vía en la red y que, por tanto, también hay que ser capaz de detectar máquinas infectadas a través del análisis de las conexiones contra los servidores de C&C de la botnet. Finalmente, y para el malware desconocido, nuestras soluciones proponen analizar los ficheros sospechosos en tiempo real, en una sandbox segura para los clientes que Palo Alto Networks alberga. Aquí permitimos al malware expresarse libremente para analizar su comportamiento y, en caso de que sea maligno, generar mecanismos de protección contra la infección y el tráfico de C&C que distribuimos a todos los cortafuegos de nuestros clientes. De este modo obtienen protección en menos de una hora desde que se detectó el fichero, lo que resulta crítico para prevenir la infección y propagación frente a un análisis que pueda requerir días para conseguir la protección.

Fuente: ChannelBiz
http://www.channelbiz.es/2013/07/15/malware-moderno-que-es-quienes-lo-crean-y-como-defendernos/

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

Somos la primera Empresa en el país en “Soluciones de seguridad para préstamos de libros utilizando la huella digital”

Puede seguirnos en Twitter. Follow inbiosys on Twitter

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
https://sites.google.com/site/inbiosys/
E-mail: inbiosys@gmail.com
PBX: (57)(4) 580 29 37
Celular: 312 782 60 21

INBIOSYS
Ingeniería y Sistemas Biométricos

Carrera 65 CC No. 32A – 14 Oficina 101
Medellín Colombia

Para contactarnos por favor llenar el siguiente formulario

Anuncios

0 Responses to “Seguridad Informática. Malware moderno: qué es, quiénes lo crean y cómo defendernos”



  1. Dejar un comentario

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




julio 2013
L M X J V S D
« Jun   Ago »
1234567
891011121314
15161718192021
22232425262728
293031  

Escribe tu dirección de correo electrónico para suscribirte a este blog, y recibir notificaciones de nuevos mensajes por correo.

Únete a otros 56 seguidores

Categorías

Actualizaciones de Twitter


A %d blogueros les gusta esto: