Malware ocultos

Malware ocultos: backdoor o puerta trasera, drive-by downloads, rootkits y troyanos

Para que un software malicioso pueda completar sus objetivos, es esencial que permanezca oculto al usuario. Por ejemplo, si un usuario experimentado detecta un programa malicioso, terminaría el proceso y borraría el malware antes de que este pudiera completar sus objetivos. El ocultamiento también puede ayudar a que el malware se instale por primera vez en la computadora.

Puertas traseras o backdoors

Artículo principal: Puerta trasera

Un backdoor o puerta trasera es un método para eludir los procedimientos habituales de autenticación al conectarse a una computadora. Una vez que el sistema ha sido comprometido (por uno de los anteriores métodos o de alguna otra forma), puede instalarse una puerta trasera para permitir un acceso remoto más fácil en el futuro. Las puertas traseras también pueden instalarse previamente al software malicioso para permitir la entrada de los atacantes.

Los crackers suelen usar puertas traseras para asegurar el acceso remoto a una computadora, intentando permanecer ocultos ante una posible inspección. Para instalar puertas traseras los crackers pueden usar troyanos, gusanos u otros métodos.

Se ha afirmado, cada vez con mayor frecuencia, que los fabricantes de ordenadores preinstalan puertas traseras en sus sistemas para facilitar soporte técnico a los clientes, pero no ha podido comprobarse con seguridad.¹⁰

Un malware en Skype está siendo el problema reciente en la seguridad, debido a que a mayo del 2013, existían ya 750 mil afectados siendo el 67% en Latinoamérica. El código malicioso afecta al equipo y se propaga entre los contactos a través de este mismo medio de comunicación.¹¹

Drive-by downloads

Google ha descubierto que una de cada 10 páginas web que han sido analizadas a profundidad puede contener los llamados drive by downloads, que son sitios que instalan spyware o códigos que dan información de los equipos sin que el usuario se percate. ¹²

A estas acciones Niels Provos y otros colaboradores de Google Inc le denominaron, en un artículo, “El fantasma en la computadora”¹³ Por ello, se están realizando esfuerzos para identificar las páginas que pudieran ser maliciosas.

El término puede referirse a las descargas de algún tipo de malware que se efectúa sin consentimiento del usuario, lo cual ocurre al visitar un sitio web, al revisar un mensaje de correo electrónico o al entrar a una ventana pop-up, la cual puede mostrar un mensaje de error. Sin ser su verdadera intención, el usuario consiente la descarga de software indeseable o de malware, y estas vulnerabilidades se aprovechan.

El proceso de ataque Drive-by Downloads se realiza de manera automática mediante herramientas que buscan en el sitio web alguna vulnerabilidad. Una vez encontrada, insertan un script malicioso dentro del código HTML del sitio violado. Cuando un usuario visita el sitio infectado, este descargará dicho script en el sistema del usuario, y a continuación realizará una petición a un servidor Hop Point, donde se solicitarán nuevos scripts con exploits encargados de comprobar si el equipo tiene alguna vulnerabilidad que pueda ser explotada, intentando con ellas hasta que tienen éxito, en cuyo caso se descargará un script que descarga el archivo ejecutable (malware) desde el servidor.

En la mayor parte de los navegadores se están agregando bloqueadores antiphishing y antimalware que contienen alertas que se muestran cuando se accede a una página web dañada, aunque no siempre dan una total protección.

Rootkits

Artículo principal: Rootkit

Las técnicas conocidas como rootkits modifican el sistema operativo de una computadora para permitir que el malware permanezca oculto al usuario. Por ejemplo, los rootkits evitan que un proceso malicioso sea visible en la lista de procesos del sistema o que sus ficheros sean visibles en el explorador de archivos. Este tipo de modificaciones consiguen ocultar cualquier indicio de que el ordenador está infectado por un malware. Originalmente, un rootkit era un conjunto de herramientas instaladas por un atacante en un sistema Unix donde el atacante había obtenido acceso de administrador (acceso root). Actualmente, el término es usado generalmente para referirse a la ocultación derutinas en un programa malicioso.

Algunos programas maliciosos también contienen rutinas para evitar ser borrados, no solo para ocultarse. Un ejemplo de este comportamiento puede ser:

“Existen dos procesos-fantasmas corriendo al mismo tiempo. Cada proceso-fantasma debe detectar que el otro ha sido terminado y debe iniciar una nueva instancia de este en cuestión de milisegundos. La única manera de eliminar ambos procesos-fantasma es eliminarlos simultáneamente, cosa muy difícil de realizar, o provocar un error el sistema deliberadamente.”¹⁴

Uno de los rootkits más famosos fue el que la empresa Sony BMG Music Entertainment. Secretamente incluyó, dentro de la protección anticopia de algunos CD de música, el software “Extended Copy Protection (XCP) y MediaMax CD-3”,¹⁵ los cuales modificaban a Windows para que no lo pudiera detectar y también resultar indetectable por los programas anti-virus y anti-spyware. Actuaba enviando información sobre el cliente, además abrió la puerta a otros tipos de malware que pudieron infiltrarse en las computadoras, además de que si se detectaba, no podía ser eliminado, pues se dañaba el sistema operativo.

Mikko Hypponen, jefe de investigación de la empresa de seguridad, F-Secure con sede en Finlandia, consideró a este rootkit como uno de los momentos fundamentales de la historia de los malware.¹⁶

Troyanos

Artículo principal: Troyano

El término troyano suele ser usado para designar a un malware que permite la administración remota de una computadora, de forma oculta y sin el consentimiento de su propietario, por parte de un usuario no autorizado. Este tipo de malware es un híbrido entre un troyano y una puerta trasera, no un troyano atendiendo a la definición.

A grandes rasgos, los troyanos son programas maliciosos que están disfrazados como algo inocuo o atractivo que invitan al usuario a ejecutarlo ocultando un software malicioso. Ese software, puede tener un efecto inmediato y puede llevar muchas consecuencias indeseables, por ejemplo, borrar los archivos del usuario o instalar más programas indeseables o maliciosos.

Los tipos de troyanos son: backdoors, banker, botnets, dialer, dropper, downloaders, keylogger, password stealer, proxy.^17 18

Los troyanos conocidos como droppers^19 20 son usados para empezar la propagación de un gusano inyectándolo dentro de la red local de un usuario.

Una de las formas más comunes para distribuir spyware es mediante troyanos unidos a software deseable descargado de Internet. Cuando el usuario instala el software esperado, el spyware es puesto también. Los autores de spyware que intentan actuar de manera legal pueden incluir unos términos de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender.