Video: Los tipos de malware | GioCode 😈 (Noviembre 2024)
Algunos ataques de malware son tan evidentes que no puede perderse el hecho de que ha sido víctima. Los programas de ransomware bloquean todo acceso a su computadora hasta que pague para desbloquearla. Los secuestradores de redes sociales publican actualizaciones de estado extrañas en sus páginas de redes sociales, infectando a cualquiera que haga clic en sus enlaces envenenados. Los programas de adware llenan su escritorio con anuncios emergentes incluso cuando no hay ningún navegador abierto. Sí, todo eso es bastante molesto, pero como sabes que hay un problema, puedes trabajar para encontrar una solución antivirus.
Una infestación de malware totalmente invisible puede ser mucho más peligrosa. Si su antivirus no lo "ve" y no nota ningún comportamiento desagradable, el malware es libre de rastrear sus actividades bancarias en línea o usar su poder de cómputo para propósitos nefastos. ¿Cómo se quedan invisibles? Aquí hay cuatro formas en que el malware puede esconderse de usted, seguido de algunas ideas para ver lo que no se puede ver.
Sistema operativo Subversion
Damos por sentado que Windows Explorer puede enumerar todas nuestras fotos, documentos y otros archivos, pero sucede mucho detrás de escena para que eso suceda. Un controlador de software se comunica con el disco duro físico para obtener los bits y bytes, y el sistema de archivos interpreta esos bits y bytes en archivos y carpetas para el sistema operativo. Cuando un programa necesita obtener una lista de archivos o carpetas, consulta el sistema operativo. En verdad, cualquier programa sería libre de consultar el sistema de archivos directamente, o incluso comunicarse directamente con el hardware, pero es mucho más fácil llamar al sistema operativo.
La tecnología Rootkit permite que un programa malicioso se borre efectivamente de la vista al interceptar esas llamadas al sistema operativo. Cuando un programa solicita una lista de archivos en una ubicación determinada, el rootkit pasa esa solicitud a Windows, luego elimina toda referencia a sus propios archivos antes de devolver la lista. Un antivirus que se basa estrictamente en Windows para obtener información sobre qué archivos están presentes nunca verá el rootkit. Algunos rootkits aplican trucos similares para ocultar su configuración de Registro.
Malware sin archivos
Un antivirus típico escanea todos los archivos en el disco, verificando que ninguno sea malicioso, y también escanea cada archivo antes de permitir que se ejecute. Pero, ¿y si no hay un archivo? Hace diez años, el gusano Slammer causó estragos en las redes de todo el mundo. Se propagó directamente en la memoria, utilizando un ataque de desbordamiento de búfer para ejecutar código arbitrario, y nunca escribió un archivo en el disco.
Más recientemente, los investigadores de Kaspersky informaron de una infección Java sin archivos que ataca a los visitantes de los sitios de noticias rusos. Propagado a través de anuncios publicitarios, el código inyectado explotar directamente en un proceso esencial de Java. Si logró desactivar el Control de cuentas de usuario, se comunicaría con su servidor de comando y control para obtener instrucciones sobre qué hacer a continuación. Piense en ello como el compañero de un atraco a un banco que se arrastra a través de los conductos de ventilación y apaga el sistema de seguridad para el resto de la tripulación. Según Kaspersky, una acción común en este punto es instalar el troyano Lurk.
El malware que está estrictamente en la memoria se puede eliminar simplemente reiniciando la computadora. Así, en parte, es cómo lograron derribar a Slammer en el día. Pero si no sabe que hay un problema, no sabrá que necesita reiniciar.
Programación Orientada al Retorno
Los tres finalistas en el concurso de investigación de seguridad del Premio BlueHat de Microsoft involucraron la programación orientada al retorno, o ROP. Un ataque que usa ROP es insidioso, porque no instala código ejecutable, no como tal. Más bien, encuentra las instrucciones que desea dentro de otros programas, incluso partes del sistema operativo.
Específicamente, un ataque ROP busca bloques de código (llamados "gadgets" por los expertos) que realizan alguna función útil y terminan con una instrucción RET (retorno). Cuando la CPU llega a esa instrucción, devuelve el control al proceso de llamada, en este caso, el malware ROP, que lanza el siguiente bloque de código explorado, tal vez desde un programa diferente. Esa gran lista de direcciones de gadgets son solo datos, por lo que detectar malware basado en ROP es difícil.
El malware de Frankenstein
En la conferencia Usenix WOOT (Taller sobre tecnologías ofensivas) del año pasado, un par de investigadores de la Universidad de Texas en Dallas presentaron una idea similar a la Programación orientada al retorno. En un artículo titulado "Frankenstein: uniendo malware a partir de archivos binarios benignos", describieron una técnica para crear malware difícil de detectar al juntar fragmentos de código de programas conocidos y confiables.
"Al componer el nuevo binario completamente a partir de secuencias de bytes comunes a los binarios de clasificación benigna", explica el artículo, "es menos probable que los mutantes resultantes coincidan con las firmas que incluyen tanto listas blancas como listas negras de características binarias". Esta técnica es mucho más flexible que ROP, porque puede incorporar cualquier fragmento de código, no solo un fragmento que termina con la importante instrucción RET.
Cómo ver lo invisible
Lo bueno es que puede obtener ayuda para detectar estos programas maliciosos furtivos. Por ejemplo, los programas antivirus pueden detectar rootkits de varias maneras. Un método lento pero simple consiste en realizar una auditoría de todos los archivos en el disco según lo informado por Windows, realizar otra auditoría al consultar el sistema de archivos directamente y buscar discrepancias. Y dado que los rootkits subvierten específicamente a Windows, no se engañará a un antivirus que se inicie en un sistema operativo que no sea Windows.
Una amenaza de memoria y sin archivos sucumbirá a la protección antivirus que realiza un seguimiento de los procesos activos o bloquea su vector de ataque. Su software de seguridad podría bloquear el acceso al sitio web infectado que sirve esa amenaza, o bloquear su técnica de inyección.
La técnica de Frankenstein bien podría engañar a un antivirus estrictamente basado en firmas, pero las herramientas de seguridad modernas van más allá de las firmas. Si el malware de patchwork realmente hace algo malicioso, un escáner basado en el comportamiento probablemente lo encontrará. Y como nunca antes se había visto en ningún lugar, un sistema como Norton File Insight de Symantec que tiene en cuenta la prevalencia lo marcará como una anomalía peligrosa.
En cuanto a la mitigación de los ataques de Programación Orientada al Retorno, bueno, esa es una pregunta difícil, pero se ha dedicado mucha capacidad intelectual para resolverlo. Poder económico también: Microsoft otorgó un cuarto de millón de dólares a los principales investigadores que trabajan en este problema. Además, debido a que dependen en gran medida de la presencia de programas válidos particulares, es más probable que los ataques ROP se usen contra objetivos específicos, no en una campaña generalizada de malware. La computadora de su casa probablemente sea segura; tu PC de oficina, no tanto.
