Noticias

Las descargas ocultas: asedio a la red

Prólogo

La forma en que los virus informáticos y los programas maliciosos se propagan ha evolucionado de forma paralela al desarrollo mismo de los sistemas de información.. Al principio, la información se transportaba físicamente de un equipo a otro a través de una gran variedad de dispositivos de almacenamiento. En los años 80, la información se enviaba a través de costosas redes informáticas privadas. Debido a las presiones del gobierno de los Estados Unidos para que los proveedores corporativos ofrecieran un mínimo de consistencia en el transporte y en el formato de la información que recibía, Internet empezó a dar sus verdaderos frutos. Y con ello llegó la posibilidad de que empresas de cualquier tamaño transmitieran información a través de esta red “gratuita”, a menudo recurriendo a los mensajes de correo y a los adjuntos a estos mensajes. A finales de los años 90, los tan publicitados virus que afectaron tanto a compañías como a usuarios particulares en todo el mundo siguieron el mismo patrón al utilizar el correo electrónico para su reproducción y distribución.

Mientras tanto, Internet maduraba rápidamente y se convertía en una valiosa plataforma para el intercambio de información, para el comercio mundial y para la productividad de cada puesto de trabajo. Poco a poco, fuimos testigos del valor añadido que suponía la posibilidad de no tener que enviar información explícita en un correo electrónico; bastaba con enviar una notificación incluyendo un enlace que permitiera al destinatario acceder a la información en Internet.

Hoy en día, hay usuarios que creen que usar un navegador de Internet se parece mucho a mirar un escaparate o visitar una biblioteca en el mundo real: nada parece suceder sin el conocimiento del usuario. (Eso es lo que implica el término “navegador”, ¿no es cierto?). Es decir, desconocen mucho de lo que ocurre “entre bambalinas” porque en realidad no ven que nada esté pasando. Sin embargola gran cantidad de sofisticados mecanismos y sistemas de comunicación que se activan cuando un navegador Internet interactúa, silenciosamente, con los datos guardados en un equipo, con las aplicaciones que se ejecutan en el equipo, y con servidores de Internet, dejaría pasmados no sólo a la mayoría de los usuarios particulares, sino también a profesionales corporativos (no relacionados con la informática) si realmente lo comprendieran.

Por desgracia, este grado de madurez y sofisticación ha llamado la atención de creadores de programas maliciosos (malware) bien organizados que pretenden usar Internet para propagar sus virus, programas espía (spyware), troyanos, programas robot (bots), paquetes raíz (rootkits), y software de seguridad falso. La industria antivirus se refiere a esta descarga oculta de malware, que ocurre en sitios web sin el consentimiento del usuario, como “drive-by download”. En esta guía exploraremos lo que en realidad ocurre durante un ataque “drive-by”, los señuelos utilizados para lanzar el ataque, la tecnología que hay detrás, y el uso de los ataques “drive-by download” en el robo de información personal y en la captura de equipos.

Índice

Para comprender la explosión

Antes de entrar en más detalles sobre las descargas ocultas o “drive-by downloads”, es importante conocer la explosión de este tipo de ataques en los últimos años. También es necesario comprender que el mismo malware (virus, spyware, troyanos, bots, rootkits, y software de seguridad falso) puede, y a menudo sucede, distribuirse de diferentes maneras a veces a través de mensajes de correo, otras en una visita a una página Web, o por otros métodos.

La distribución de programas para descargas ocultas es cada vez más atractiva para los piratas por el simple hecho de que es, en general, una forma más discreta de infección que permite más ataques exitosos. La Figura 1 muestra datos de ScanSafe, compañía que hace seguimiento de amenazas maliciosas en Internet, y muestra cómo el impacto en las empresas pasó del correo electrónico a Internet y la mensajería instantánea durante la década que se inició en 1996.


Figura 1 – Evolución de los métodos de distribución de malware

Según información más reciente de ScanSafe, el 74 % de todos los programas maliciosos detectados en el tercer trimestre de 2008 se originaron en visitas a sitios web comprometidos.

Ahora que la creciente magnitud de este problema está más clara, explicaremos cómo funcionan estos ataques, las técnicas y señuelos que se usan para manipular sitios Web, los sofisticados paquetes para explotar vulnerabilidades y las aplicaciones a las que se dirigen, el complicado laberinto de redireccionamientos en Internet, y la carga dañina (payload) usada para realizar robos de identidad y ataques para capturar equipos.

Ataques a navegadores

Para comprender bien el dramático giro del uso de los navegadores de Internet como herramienta de ataque, es necesario detenernos brevemente en la historia de los mayores ataques a equipos a través de Internet. Durante la “era del gusano de Internet”, cuando los ataques como Code Red, Blaster, Slammer y Passer causaban estragos y confusión en las redes corporativas, los piratas usaban secuencias de comandos para explotar las vulnerabilidades del sistema operativo Windows. (Una secuencia de comandos remota es aquella en la que el programa malicioso reside en un servidor conectado a la red, vulnera códigos legítimos en el equipo del usuario, pero no requiere acceso previo al equipo del usuario para explotar la vulnerabilidad en el código). Programas maliciosos ejecutables como Melissa, venían como adjuntos a mensajes de correo o llegaban a través de mensajes instantáneos o de aplicaciones persona-a-persona.

Microsoft reaccionó de forma efectiva contra los ataques de gusanos. Añadieron un cortafuegos que se activa por defecto en Windows XP SP2 e implementaron varios mecanismos de mitigación antigusanos en el sistema operativo. Con las actualizaciones automáticas para Windows, los usuarios finales recibieron ayuda con parches regulares para el sistema operativo. Las empresas y los consumidores también aprendieron a actuar de forma inteligente bloqueando adjuntos o evitando la activación de ejecutables sospechosos. Ambos factores hicieron que los piratas cambiaran de táctica, enfocándose en ataques a aplicaciones de terceras partes y en perfeccionar el arte de la ingeniería social.

Esta evolución también tuvo como consecuencia la aparición de una nueva técnica furtiva; las descargas ocultas o “drive-by download” que usan el navegador como mecanismo para conectar el equipo de un usuario a servidores amañados con programas maliciosos. En un ataque tipo “drive-by”, el programa malicioso se descarga de manera automática en el equipo del usuario sin su consentimiento ni su conocimiento.

El ataque suele ocurrir en dos etapas. El usuario visita un sitio Web que ha sido previamente amañado con un código que a su vez desvía la conexión a un tercer servidor malicioso que aloja secuencias de comandos (exploits). La Figura 2, de Google Anti-Malware Team, muestra la estructura básica de un ataque “drive-by download”. Estos exploits pueden detectar vulnerabilidades en el navegador de Internet, un complemento sin parche, un control ActiveX vulnerable, o cualquier falla en aplicaciones de terceras partes.


Figura 2 – Estructura de un ataque Drive-by Download

Como muestra la figura, puede haber diversas desviaciones a distintos sitios Web antes de que se realice la descarga del exploit.

De acuerdo a los datos de Kaspersky Lab y de otras fuentes de la industria antivirus, nos encontramos ante una epidemia a gran escala de descargas ocultas. Durante un reciente periodo de diez meses, Google Anti-Malware Team visitó miles de millones de páginas buscando actividades maliciosas y encontraron más de tres millones de URLs iniciando descargas ocultas de programas maliciosos.

Un hallazgo mucho más perturbador es que aproximadamente el 1,3 por ciento de las solicitudes al motor de búsqueda de Google devolvieron al menos una URL marcada como maliciosa en la página de resultados”, según un estudio publicado por Google. La Figura 3, tomada de dicho estudio, revela una alarmante tendencia en alza en el porcentaje de búsquedas con un sitio infectado durante el periodo del estudio.


Figura 3 – Resultados de búsqueda con una URL dañina

Al principio de las descargas ocultas, los piratas solían crear sitios maliciosos y usar artimañas de ingeniería social para atraer visitantes. Esto continúa siendo una fuente importante de actividades maliciosas online; pero recientemente los piratas han llegado a capturar sitios web legítimos introduciendo secretamente en ellos secuencias de comandos (scripts) o códigos de desvío que en silencio lanzan ataques a través del navegador.

Anatomía de un ataque ‘drive-by’

Un popular sitio web atacado en 1997 es un ejemplo de cómo las descargas drive-by se lanzan contra los equipos de los usuarios. En las semanas precedentes al partido de la Superbowl NFL, atacaron el sitio del equipo Dolphins de Miami inyectándole trozos de código JavaScript. (Ver figura 4.)

 
Figura 4 – JavaScript Code usado en el sitio del Dolphin Stadium

Un visitante de este sitio con un equipo con Windows sin parches se conectaba en modo silencioso a un tercer equipo remoto que intentaba explotar vulnerabilidades conocidas descritas en los boletines de seguridad MS06-014 y MS07-004 de Microsoft. Si se conseguía explotar la vulnerabilidad, de forma oculta, se instalaba un troyano que le proporcionaba al pirata acceso completo al equipo cautivo. El pirata tenía entonces el equipo a su disposición para robar información confidencial o para lanzar ataques DoS.

Posteriormente, en el año 2007, se pirateó el sitio web del Bank of India mediante un sofisticado ataque que utilizó múltiples desvíos que llevaban a los usuarios de Windows a un servidor que alojaba un archivo de gusano de correo, dos rootkits invisibles, dos troyanos descargadores, y tres troyanos puerta trasera. El ataque combinó un ofuscamiento JavaSript, múltiples saltos desviadores, y técnicas fast-flux para evitar detecciones y mantener en línea a los servidores pirata durante el ataque. La figura 5 muestra una captura de pantalla del sitio web pirateado del Bank of India con el script malicioso usado para lanzar el ataque de descarga drive-by.

 
Figura 5 – Sitio del Bank of India y el script malicioso

Estos son sólo un par de ejemplos para mostrar la gravedad del problema al que enfrentan los sitios web legítimos. En un seguimiento realizado a las amenazas maliciosas en Internet, ScanSafe informó a mediados de 2008 que la mayoría de los programas maliciosos se detectaron en sitios legítimos. Algunos puntos sobresalientes del informe 3Q08 de ScanSafe son:

  • El volumen de malware en Internet se incrementó en un 338 % en el tercer trimestre de 2008 en comparación con el primer trimestre del mismo año, y en un 553 % en comparación con el cuarto trimestre del año 2007.
  • Aproximadamente, un 31 % de todas las amenazas maliciosas eran del tipo “día cero”.
    (Una amenaza “día cero” es aquella para la que no existen aún vacunas).
  • El riesgo de troyanos puerta trasera y ladrones de contraseñas se incrementó en un 267 % en septiembre de 2008 en comparación con el mes de enero de 2008.

Se sabe que los piratas también usaron servidores de publicidad de terceros infectados para desviar a los usuarios de Windows a servidores maliciosos que alojaban descargas drive-by. Estos avisos maliciosos o malvertisements funcionan, por lo general, con un programa Flash y explotan aplicaciones no reparadas instaladas en los equipos de los usuarios.

Paquetes de exploits (programas que explotan vulnerabilidades)

Los paquetes de programas de exploits maliciosos sirven como motor para las descargas drive-by. Estos paquetes son componentes de software escritos por profesionales, y pueden alojarse en un servidor con una base de datos tipo backend. Los paquetes, puestos a la venta en sitios clandestinos de piratas, incorporan exploits para vulnerabilidades de una amplia lista de aplicaciones, incluyendo los reproductores Apple Quick Time, Adobe Flash Player, Real Network RealPlayer, y Adobe Reader y WinZip.

Los ladrones de identidad y otros creadores de malware adquieren paquetes de exploits y los instalan en un servidor pirata.

También pueden incluir exploits específicos para navegadores de Internet, como Microsoft Internet Explorer, Mozilla Firefox, Apple Safari y Opera. Varios paquetes de exploits específicos sólo contienen códigos de ataque para vulnerabilidades de Adobe PDF o fallas conocidas en controladores ActiveX.

Los ladrones de identidad y otros creadores de malware adquieren paquetes de exploits y los instalan en un servidor malicioso. Posteriormente, se inyectan códigos en los sitios web seleccionados para desviar su tráfico hacia el servidor malicioso, y se envían por correo o se colocan en paneles de avisos engaños de todo tipo para acceder a esos sitios.

Un servidor con un paquete de exploits puede usar encabezados de peticiones HTTP en una visita de un navegador para determinar el tipo de navegador y su versión, así como el sistema operativo del usuario. Una vez que se identifica el sistema operativo a atacar, el paquete de exploits puede determinar qué exploits utilizar.

En algunos casos, pueden enviarse varios exploits de manera simultánea con la intención de capturar un equipo a través de vulnerabilidades en aplicaciones de terceros. Algunos de los más sofisticados paquetes de exploits gozan de buen mantenimiento y actualizaciones mensuales con software de exploits. Los paquetes incorporan una bien diseñada interfaz que guarda datos específicos sobre los ataques exitosos. Los datos pueden variar desde las versiones de los sistemas operativos vulnerados, el país de origen del equipo atacado, el exploit que se utilizó, y la eficiencia de los exploits en base al tráfico en el sitio malicioso.

La figura 6 muestra la variedad de exploits contenidos en un único paquete de exploits interceptado durante un ataque JavaScript desviado. Este ejemplo no sólo ilustra la popularidad de la que gozan los exploits con el software de Microsoft, sino que también ayuda a ilustrar cómo se vulnera de manera simultánea otro software con el fin de incrementar potencialmente el valor del paquete de exploits a los ojos de los piratas cibernéticos.

Exploit Boletín de Microsoft
(si aplica)
MDAC remote code execution MS06-014
ShockwaveFlash.ShockwaveFlash.9 exploit
WebViewFolderIcon setSlice() exploit MS06-057
Msdds.dll exploit MS05-052
Microsoft Works exploit MS08-052
Creative Software AutoUpdate Engine exploit
Online Media Technologies NCTsoft NCTAudioFile2 ActiveX buffer overflow
Ourgame GLWorld GLIEDown2.dll exploit
DirectAnimation.PathControl buffer overflow MS06-067

Figura 6 – Contenidos de un solo paquete de exploits

Una monocultura sin parches

La epidemia de las descargas drive-by se atribuye en gran medida a ecosistemas Windows carentes de parches. Con muy pocas excepciones, los exploits que circulan en Internet se dirigen a conocidas vulnerabilidades de software, y para las cuales existen parches. Sin embargo, por muchas razones, los usuarios no aplican regularmente los parches necesarios.

Con muy pocas excepciones, los exploits circulando en Internet se dirigen a conocidas vulnerabilidades de software, para las cuales existen parches.

El mecanismo de actualizaciones automáticas de Microsoft ofrece a los usuarios una valiosa herramienta para parchear las vulnerabilidades del sistema operativo; por desgracia, no se puede decir lo mismo de las aplicaciones de terceros. Secunia, compañía que hace seguimiento a vulnerabilidades de software, estima que cerca de un tercio de todas las aplicaciones instaladas en equipos tienen una vulnerabilidad (conocida) de seguridad.

Considerando los actuales paquetes de exploits, observamos varias vulnerabilidades antiguas, como MS06-014 y MS05-052, que siguen circulando en Internet años después de que estuvieran disponibles sus respectivos parches. (Los caracteres tercero y cuarto indican el año en que se publicó el boletín). Paquetes específicos de exploits que contenien sólo vulnerabilidades en Adobe PDF Reader han tenido gran éxito a pesar de las mejoras en los procesos de seguridad de Adobe. Adobe Flash Player, que goza de casi el 100 % de penetración en los equipos con acceso a Internet, es otro codiciado blanco de ataques, tal como lo es RealNetworks RealPlayer.

Conclusión: Cómo evitar ataques

En conclusión, es importante observar que la mayoría de los modernos navegadores de Internet, incluyendo Internet Explorer, Firefox y Opera, han añadido bloqueadores antimalware que ofrecen sistemas de alerta temprana que se activan cuando el usuario trata de acceder a un sitio web pirata. Estos bloqueadores son valiosos, pero debido al hecho de que dependen de las listas de rechazados, no llegan a proporcionar un 100% de protección al usuario que navega en Internet.

El enfoque más práctico para la protección contra las descargas drive-by es tener mayor cuidado con la administración de parches del sistema de seguridad del equipo. Así, los usuarios deberían:

  • Usar una solución de administración de parches para encontrar y reparar las vulnerabilidades de aplicaciones de terceros. Secunia ofrece dos herramientas: Personal Software Inspector y Network Security Inspector, que pueden ayudar a identificar las aplicaciones carentes de parches.
  • Usar un navegador de Internet que incluya bloqueadores antiphishing y antimalware. Los navegadores Microsoft Internet Explorer, Mozilla Firefox y Opera ofrecen elementos de seguridad para bloquear sitios maliciosos.
  • Activar un cortafuegos y aplicar todas las actualizaciones del sistema operativo Windows. Evitar el uso de software pirata cuyas actualizaciones están desactivadas a través de WGA.
  • Instalar software antivirus/antimalware y asegurarse de mantener actualizadas sus bases de datos. Asegurarse de que su proveedor antivirus use un analizador para el tráfico de Internet que ayude a identificar problemas potenciales derivados de las descargas drive-by.

Estos pasos para la mejor administración de las vulnerabilidades ofrecen la mayor y más valiosa protección contra los ataques de descargas drive-by.

Las descargas ocultas: asedio a la red

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada