Los espías-exploradores de los delincuentes cibernéticos

La defensa estaba muy bien concebida y realizada. Pero el explorador sabía a ciencia cierta los lugares débiles de la línea de defensa. Había recibido entrenamiento especial para aprovechar esas brechas e ingresar en el sistema enemigo. El explorador no dudará en hacerlo y llevará tras de sí a otros espías, ladrones o agentes secretos que pondrán el sistema al servicio de los intereses de sus Jefes. Con tal de que no le cierren la brecha…

Este no es un episodio de ningún juego informático. Más o menos este es el escenario que siguen los exploits, programas que usan las vulnerabilidades en el software para irrumpir, sin ser advertidos, en los ordenadores atacados.

Las vulnerabilidades y los exploits

Una vulnerabilidad es un error en el código del software que un delincuente, en determinadas circunstancias, puede aprovechar para sus propios fines. Un exploit es un programa que usa, o –como se suele decir – explota la vulnerabilidad del software en un ordenador local o remoto con fines deliberadamente malignos.

La principal tarea del exploit es inocular un determinado programa malicioso en el ordenador atacado. Como los exploits rara vez son de gran tamaño, en la mayoría de los casos tienen funcionalidades de downloader (descargador). Como regla, todas las acciones maliciosas se llevan a cabo sin que el usuario se dé cuenta. Es cierto que a veces, por ejemplo, el navegador puede colapsar, pero una persona que no es especialista en informática no sospechará nada malo.

Las vulnerabilidades se encuentran en casi todos los programas, también en los populares. Al parecer, no importa el esfuerzo que hagan los programadores, es casi imposible evitar que se cuelen errores en el código software. Las vulnerabilidades se pueden encontrar tanto en el programa que abre determinados tipos de fichero, como en otros lugares, por ejemplo en la máquina virtual que ejecuta los escenarios. Como consecuencia, los delincuentes incrustan exploits en ficheros de diferentes formatos y en diversos protocolos: JPEG, TIFF, BMP, GIF, ANI, LNK, etc. A veces, la totalidad del fichero es un exploit, por ejemplo, un escenario escrito en JavaScript que explota una vulnerabilidad en Internet Explorer.

En la aplastante mayoría de los casos el exploit contiene lo que se ha dado en denominar shell-code. Se trata de una secuencia de bytes que en realidad es un conjunto de instrucciones en lenguaje de máquina que el procesador puede ejecutar. Por lo general el código carga y ejecuta en el ordenador del usuario un programa malicioso con funcionalidades plenas. Sin embargo existen otras vulnerabilidades durante cuya explotación no se ejecuta un shell-code. Por ejemplo, el exploit que usa la vulnerabilidad CVE-2010-1885 en el centro de ayuda y soporte de Microsoft ejecuta un código html en el que por lo general se insertan etiquetas <script>, dónde se puede poner un script malicioso que ejecuta diferentes acciones. En cambio la utilización de la vulnerabilidad CVE-2010-2568 en los ficheros LNK que describiremos más adelante, conducen a que se cargue una dll en la memoria.

Algunos exploits representan un peligro adicional porque son aplicaciones de confianza las que las ejecutan. Por ejemplo, un exploit usa una vulnerabilidad del navegador de Internet y empieza a descargar un programa malicioso. En este caso el cortafuegos no bloquea la descarga, porque la ha iniciado un programa al que se le permiten este tipo de acciones.

Tu ordenador está amenazado

Existen muchos métodos para poner el exploit en los ordenadores de los usuarios. El más popular es infectar páginas web legítimas. Para este objetivo la mayoría de las veces se usan los scripts-descargardores Gumblar y Pegel. En los ordenadores de los usuarios de sitios hackeados e infectados con estos programas maliciosos se carga un script malicioso que contiene un conjunto de exploits.

Por lo general, en estos casos los delincuentes usan un así denominado “exploit pack”, es decir, un conjunto de exploits para las vulnerabilidades de diferentes navegadores y programas. La idea de los delincuentes es sencilla: en los ordenadores atacados hay diferente software instalado, por lo que el uso de diferentes exploits aumenta la probabilidad de que por lo menos uno de ellos dé en el blanco. Por ejemplo, si en el ordenador están instalados Chrome y Adobe Reader y sus vulnerabilidades están cerradas, pero el motor Java de Sun es vulnerable, uno de los exploits del conjunto dirigido a la brecha de Java se activará y descargará un programa malicioso en el ordenador.

Este tipo de ataque ha recibido el nombre de drive-by download. Los ataques drive-by download suponen un especial peligro en vista de que el usuario no llega a sospechar nada. No es casualidad que últimamente, por medio de los drive-by downloads, se difundan muchos programas maliciosos, entre ellos algunos tan peligrosos y complejos como Zbot/ZeuS, TDSS, Sinowal y Virut.ce

Aducimos el esquema general de la infección provocada por Zbot/ZeuS:

 
Esquema que usa Zbot/Zeus para infectar un sistema mediante exploits

La primera etapa de infección del ordenador es que se envía al usuario a un sitio infectado por Trojan-Downloader.JS.Pegel. A continuación, Pegel lo remite a una página que contiene un exploit-pack. Después se hace un intento de descargar e instalar el bot propiamente dicho. La última etapa consiste en conectar el ordenador infectado al centro de administración de la botnet para incluirlo en la red zombi.

Para propagar los exploits se usan de forma extensiva los métodos de ingeniería social. Por ejemplo, el usuario puede recibir un enlace a un “nuevo mensaje privado” supuestamente proveniente de Facebook o una carta en nombre de su banco que le propone visitar determinada página web para “desbloquear su cuenta”. Al seguir el enlace de estos mensajes falsificados, el usuario puede descargar un exploit en su ordenador.

En los ordenadores ya infectados por Trojan-Downloader, el descargador puede descargar e instalar diferentes programas maliciosos, entre ellos algunos que exploten las vulnerabilidades.

Pero el método más efectivo es propagar los exploits desde un ordenador infectado que se encuentre en la red local. En este caso, se genera y envía a todos los ordenadores de la red una solicitud de red especial que activa la explotación de la vulnerabilidad. De esta precisa forma es como suelen propagarse los peligrosos gusanos Kido y Lovesan. Este método permite infectar una red local de una forma muy rápida. Y hasta que no se cierre la brecha en el componente vulnerable, no se puede evitar que la epidemia crezca.

¡Ellos lo han logrado!

En los últimos tiempos, los sucesos más significativos del mundo de la seguridad informática han tenido algo que ver con que los delincuentes han usado alguna vulnerabilidad.

Podemos decir sin que sea una exageración que la aparición del gusano de red Kido/Conflicker fue el suceso más importante de la última década en la industria informática. La peculiaridad de este programa malicioso es la facilidad con que se propaga usando la vulnerabilidad MS08-067 en el servicio de servidor de Windows. Basta que el gusano envíe al ordenador un paquete de red especialmente configurado. Si el sistema operativo no ha sido parchado para cubrir las brechas, tiene lugar la ejecución del código malicioso.

Otro suceso reciente bastante significativo ha sido el ataque a Microsoft y Google que tuvo como objetivo robar los datos confidenciales de estas compañías. El ataque se realizó con la ayuda del script malicioso Aurora. Se usó la vulnerabilidad CVE-2010-0249 de MS Internet Explorer.

Hace poco apareció el gusano Stuxnet, que usa la nueva vulnerabilidad CVE-2010-2568 de los ficheros LNK. Para propagar un programa malicioso con la ayuda de esta vulnerabilidad, es suficiente generar de una forma especial un acceso directo LNK y ponerlo en el ordenador atacado. Cuando el usuario abre el directorio que contiene el acceso directo, se lanza el programa malicioso. Los accesos directos vulnerables se pueden también enviar por correo: si el programa cliente trata de visualizar el pictograma, da inicio a la descarga de un programa malicioso. En el presente siguen apareciendo cada vez más programas maliciosos que usan la vulnerabilidad de los ficheros LNK. Por ejemplo, se han detectado droppers Sality.ag que se difunden por medio de accesos directos vulnerables.

 
Estadística de detección del exploit para la vulnerabilidad CVE-2010-2568

A juzgar por el hecho de que la cantidad de exploits para la vulnerabilidad CVE-2010-2568 se mantiene en un nivel estable después de que el 2 de agosto Microsoft publicara el parche oficial MS10-046, se puede suponer que los delincuentes no han renunciado a usar esta vulnerabilidad. Es interesante que cada domingo tengan lugar caídas en el gráfico: al parecer, debido a que los usuarios usan menos sus ordenadores los días de descanso.

Los parches para programas

Es evidente que las vulnerabilidades abiertas en el software popular pueden conducir a consecuencias muy deplorables. Por esto, las compañías que desarrollan el software correspondiente publican los patches o parches. Son pequeños programas que corrigen los ficheros vulnerables.

La actualización automática de los programas instalados en los ordenadores de los usuarios es muy importante e influye en la seguridad del sistema operativo. La compañía Microsoft, cuyos productos están instalados en la aplastante mayoría de los ordenadores del mundo, ha sido pionera en este campo. Así, el sistema operativo Windows98 ofrecía la posibilidad de instalar gratuitamente el servicio Windows Update. Con su ayuda se podía instalar parches para las aplicaciones vulnerables, drivers más recientes, componentes adicionales, etc. Con el tiempo este servicio se convirtió en algo más global, el servicio Microsoft Update, también gratuito, que analiza el sistema para ver si existe la necesidad de actualizar determinados productos de Microsoft, en particular SQL Server, Visual Studio, Office, etc.

Si bien antes los delincuentes informáticos usaban sobre todo las vulnerabilidades de los sistemas operativos de la familia MS Windows, estos últimos años le han prestado más atención a los productos de la compañía Adobe, por ejemplo Flash Player y Adobe Reader. Al principio Adobe se resistía o tardaba mucho tiempo en cerrar las brechas descubiertas. Pero con el tiempo quedó claro que esta actitud ya no satisfacía a los usuarios finales. Como resultado, se lanzó un nuevo producto, Adobe Updater, que cumple funciones similares a Windows Updater: descarga e instala automáticamente parches para los programas instalados en el ordenador del usuario. En la actualidad, la compañía Sun, cuya máquina Java tiene brechas usadas por los exploits, también está tratando de poner a punto la publicación de actualizaciones.

Los desarrolladores de antivirus tampoco están ociosos y publican actualizaciones para detectar los peligrosos exploits. Esto permite, de alguna manera, oponer resistencia a los delincuentes antes de que salga la actualización oficial del productor de software. La colaboración entre Microsoft, Adobe y las compañías antivirus reduce el tiempo necesario para reaccionar ante las amenazas y ayuda a proteger mejor a los usuarios.

Más vale a tiempo, que nunca

Actualmente, la mayoría de los ataques en Internet empieza con el uso de exploits, lo que permiten a los delincuentes obtener acceso –sin que nadie se dé cuenta– al sistema para descargar en el ordenador del usuario el programa malicioso que necesita. Además, muchas vulnerabilidades dan a los delincuentes informáticos la posibilidad de obtener acceso irrestricto al sistema. ¿Qué deben hacer los usuarios para defenderse de estas amenazas?

Lo primero y más importante, es necesario instalar a tiempo las actualizaciones para el software utilizado. Por desgracia, según los datos de Kaspersky Lab, muchos no actualizan a tiempo el software de sus ordenadores. Esto lo confirman las muchas vulnerabilidades abiertas detectadas en los equipos de los usuarios. Además, las más frecuentes son las vulnerabilidades conocidas desde hace varios meses o años.

En el tercer trimestre de 2010 hemos detectado en los ordenadores de los usuarios 31.425.011 aplicaciones y ficheros vulnerables. Según los resultados del trimestre, en el TOP10 hay vulnerabilidades detectadas en 2009, 2008 y ¡hasta en 2007!

Muchos se equivocan al pensar que los delincuentes usan sólo nuevas brechas. Entre los diferentes exploits que llegan a ingresar en nuestras estadísticas mensuales de programas maliciosos, todo el tiempo están presentes los exploits para viejas vulnerabilidades. Por ejemplo, en agosto de 2010 entre los escritores de virus eran populares los exploits para vulnerabilidades que de ninguna manera eran nuevas: CVE-2009-3867, CVE-2010-0806 y CVE-2010-0094

Por lo tanto, es necesario estar atentos a las actualizaciones y, si es necesario, instalarlas de forma manual. El usuario debe usar en su ordenador los servicios Microsoft Update y Adobe Updater. Aparte de las actualizaciones para los productos de Microsoft y Adobe, no hay que ignorar las actualizaciones para otros programas, por ejemplo del popular reproductor de música y vídeo Winamp.

No dejes de prestar atención a las reglas elementales de seguridad informática: no abras mensajes de desconocidos en tu correo, no sigas enlaces desconocidos, etc. La mayoría de los navegadores modernos, como Google Chrome, Mozilla Firefox e Internet Explorer cuentan con filtros especiales que bloquean los sitios phishing y maliciosos. Usa un navegador web que tenga estos filtros incorporados.

Y, por supuesto, hay que instalar en el ordenador un antivirus completo, con las últimas actualizaciones, para hacer frente a los exploits que usan vulnerabilidades aún no cerradas.