Autor: Miguel Arturo Isaza Villar
Esp. Seguridad Informática
Barranquilla, Colombia
Abstract— Information is today, the most important intangible asset that has
an organization, more and more companies leverage technology to streamline
their production models, better market their products, position your name, make
their administrative processes or just to be at the forefront but this growing
dependence on the use of technology, too do the cyberattacks, which technically
all have different characteristics but that most people identify with the wrong
way, as a computer virus, in this document specifically we discuss two threats,
that most regularly expose computer system, which are the APT attacks and
Malware
I. Introduccion
Este documento contiene la definición y
clasificación de los malware, así como la definición y análisis de los APT, el
objetivo principal es describir los conceptos, analizar los mismos y hacer un
análisis para entender porque no debemos escatimar esfuerzos para controlar los
procesos y sistemas soportados por las tecnologías de la información.
El desarrollo de
este documento lo vamos a dividir en dos partes, en la primera parte hablaremos
del malware y su clasificación, dado que hoy en día hay mucha información
respecto a este tema y no siempre esta información es lo suficientemente clara,
causando que en lugar de dar una explicación respecto al tema, amplíe las dudas
y confunda más al lector. En la segunda parte de este documento hablaremos de
las amenazas persistentes (APT) las cuales cada vez se escuchan más en el mundo
de la seguridad de la información
II. Definiciones
A. Malware (software malintencionado)
Según ISACA, la definición de malware es
la siguiente: “El malware es un software diseñado para infiltrar, dañar u
obtener información de un Sistema informático sin el consentimiento del
propietario” [1] en otras palabras el malware no es más que un código diseñado
y desarrollado con el fin de causar algún daño sobre un sistema informático
B. APT Advanced Persistent Threat
Como su nombre lo
indica las APT’s son amenazas persistentes avanzadas, hoy por hoy constituyen
uno de los tipos de amenazas más peligrosas ya que las mismas pueden llegar a
ser muy dañinas si se llegan a concretar. Sus rasgos definitorios son: ser
capaces de perdurar en el tiempo (infectando una máquina), poder aprovecharse
de vulnerabilidades desconocidas oficialmente (lo que las hace pasar
desapercibidas) y, sobre todo, tratarse de amenazas dirigidas contra un objetivo
muy específico (habitualmente los recursos de una compañía). El principal fin
de este tipo de ataques es el espionaje, principalmente empresarial,
gubernamental y militar, obteniendo y manipulando información contenida en sus
sistemas, más que atacando a objetivos físicos. En definitiva, se trata de
comprometer la seguridad de una red de ordenadores para conseguir información
sensible [6].
Según el Instituto
Nacional de Normas y Tecnología de los EE.UU (NIST), las APT’s, se definen de
la siguiente manera:
“La amenaza
persistente avanzada es un ataque dirigido con niveles sofisticados de pericia
y recursos que le permiten a los atacantes por medio del uso de múltiples
vectores de ataque (malware, vulnerabilidades, Ingeniería Social, entre otras),
generar oportunidades para alcanzar sus objetivos, que habitualmente son
establecer y extender su posicionamiento dentro de la infraestructura de
tecnología de la información de organizaciones con el objetivo de filtrar
información hacia el exterior continuamente o minar o impedir aspectos
importantes de una misión, un programa o una organización, o ubicarse en una
posición que le permita hacerlo en el futuro. Además, la amenaza persistente
avanzada persigue sus objetivos repetidamente durante un lapso extenso de
tiempo, adaptándose a las medidas de defensa del atacado, y con la
determinación de mantener el nivel de interacción necesario para ejecutar sus
objetivos”.
C. Virus Informático
Un virus es un
programa auto replicable que se instala sin el consentimiento del usuario,
infectando los archivos de programas instalados en el sistema. Los virus pueden
reemplazar y/o eliminar los archivos del sistema. Este tipo de programas se
comportan como un virus biológico para propagarse en el equipo infectado
D. Gusanos
Este tipo de malware
se aprovecha de las vulnerabilidades de una red para propagarse a través de la
misma, su objetivo principal es infectar la mayor cantidad de usuarios
posibles, estos programas pueden contener instrucciones dañinas y no necesitan
de la ayuda de humanos para su propagación
El primer gusano
informático de la historia data de 1988, su nombre fue el gusano Morris el cual
infectó una gran parte de los servidores existentes hasta esa fecha, su creador
fue Robert Tappan Morris
E. Backdoor
Backdoor o puerta
trasera: es un método para eludir los procedimientos habituales de
autenticación al conectarse a un sistema, una vez que el mismo ha sido
comprometido puede ejecutarse un código malicioso para permitir un acceso
remoto más fácil en el futuro. Las puertas traseras también pueden instalarse
previamente al software malicioso para permitir la entrada de los atacantes
F. Drive-by Downloads
El término puede
referirse a las descargas de algún tipo de malware que se efectúa sin
consentimiento del usuario, lo cual ocurre al visitar un sitio web, al revisar
un mensaje de correo electrónico o al entrar a una ventana pop-up, la cual
puede mostrar un mensaje de error. Sin ser su verdadera intención, el usuario realiza
la descarga de software indeseable o de malware, y estas vulnerabilidades se
aprovechan.
El proceso de ataque
Drive-by Downloads se realiza de manera automática mediante herramientas que
buscan en el sitio web alguna vulnerabilidad. Una vez encontrada, insertan un
script malicioso dentro del código HTML del sitio violado. Cuando un usuario
visita el sitio infectado, este descargará dicho script en el sistema del
usuario, y a continuación realizará una petición a un servidor Hop Point, donde
se solicitarán nuevos scripts con exploits encargados de comprobar si el equipo
tiene alguna vulnerabilidad que pueda ser explotada, intentando con ellas hasta
que tienen éxito, en cuyo caso se descargará un script que descarga el archivo ejecutable
(malware) desde el servidor [3].
Es muy común
encontrar este tipo de malware en los sitios de descarga gratis en internet.
G. Rootkits
Son técnicas que
modifican el sistema operativo de un ordenador para permitir que el malware
permanezca oculto al usuario. Por ejemplo, evitan que un proceso malicioso sea
visible en la lista de procesos del sistema o que sus ficheros sean visibles en
el explorador de archivos. Así se oculta cualquier indicio de que el ordenador
está infectado. Algunos programas maliciosos también contienen rutinas para
evitar ser borrados además de para ocultarse [4]. Este tipo de malware pueden
activarse antes de que inicie el sistema operativo, lo que los hace más
difíciles de detectar y eliminar
H. Stealers
Son programas cuya
finalidad es idéntica a la de los keyloggers, sin embargo su manera de actuar
es distinta. Los stealers roban la información privada que se encuentra
guardada en el equipo. Al ejecutarse, comprueban los programas instalados en el
equipo y si tienen contraseñas recordadas (por ejemplo en navegadores web)
descifran esa información y la envían al creador [4].
I. Bot
Es un código
malicioso que permite a un atacante controlar de forma remota la máquina que lo
ejecuta. Al conjunto de máquinas distribuidas e infectadas por bots, y
controladas por un atacante, se le conoce con el nombre de botnet. [7].
J. Rogue software
Estos softwares
hacen creer al usuario que el ordenador está infectado por algún software
malicioso, lo que induce al usuario a pagar por un software inútil o a instalar
un software malicioso que supuestamente elimina las infecciones, pero que no
necesita ya que no está infectado.
K. Ransomware
Son programas que
cifran los archivos importantes para el usuario, haciéndolos inaccesibles.
Después piden que se pague un "rescate" para poder recibir la
contraseña que permite recuperar dichos archivos. También se les denomina
criptovirus o secuestradores.
III. EL MALWARE Y SU CLASIFICACION
El malware es un producto en constante
crecimiento y los mismos se clasifican de acuerdo a sus características de comportamiento las cuales describiremos a
continuación:
A. El malware Infeccioso
Este tipo de malware
se caracterizan por su forma de propagación automatica en un sistema, aquí
podemos ubicar a los siguientes:
·
Virus Informático
·
Gusanos
B. El malware Oculto
Esta categoría
contiene los tipos de malware que se camuflan de bajo de un sistema para su
ejecución sin ser percibidos por el usuario, dentro de estos tenemos los
siguientes:
·
Backdoor
·
Drive-by
Downloads
·
Rootkits
·
Troyanos
C. El malware Lucrativo
Como su nombre lo
indica en esta clasificación del malware encontramos el tipo de malware creado
con un fin específico que podría ser el mostrar publicidad, robar información
personal, ataques puntuales entre otros, a continuación vernos algunos de los
malware en esta categoría:
·
Spyware o
software espía
·
Adware
·
Hijackers
·
Keyloggers
·
Stealers
·
Bot
·
Rogue
software
·
Ransomware
Hay algunos
productos de malware que no se mencionan en estas familias ya sea porque son
productos nuevos en el mercado o porque los mismos ya no se utilicen como tal
Vectores de
Infección del Malware
En términos
generales podemos identificar dos estrategias posibles para la infección de un
sistema: los procesos de infección iniciados por el usuario víctima y los
procesos de infección iniciados a través de vulnerabilidades existentes en los
sistemas [7].
IV. CARACTERISTICAS DE LAS APT’s
Las amenazas persistentes avanzadas
suelen manifestarse como un programa especialmente diseñado para mantenerse oculto
en el sistema atacado, puede que aprovechando vulnerabilidades desconocidas
hasta ese momento o usando técnicas de ingeniería social muy
concretas sobre el personal de la empresa-víctima. Esto quiere decir que
se aleja del malware o amenazas comunes que, por lo general, son impersonales
y generalistas.
El tipo de atacante que usa una APT es
mucho más paciente que el atacante medio sin objetivo concreto.
Suelen tener una mayor motivación económica para que el ataque sea exitoso
y, por tanto, los recursos y tiempo empleados son superiores a los de cualquier otro
atacante. Pueden constituir un tipo de servicio demandado por competidores
empresariales, caza recompensas, gobiernos, servicios de inteligencia, etc.
Una característica habitualmente
desarrollada en este tipo de amenazas es su capacidad de fragmentación o
descomposición en módulos. Una vez infectado el sistema, este puede
descargar módulos encargados de diferentes tareas, tales como leer comunicaciones
de red, escuchar el micrófono e incluso controlar la webcam [6].
En la fig. 1, se
ilustra el proceso de ataque de una APT
Fig. 1 Proceso de
ataque APT
En un ataque APT, se
utilizan diferentes técnicas como lo son
la Ingeniería Social, aprovechamiento de vulnerabilidades de software, Phishing
dirigido, el malware, fallos en la seguridad física, la basura empresarial, las
botnet’s, vulnerabilidades y ataques de día cero, desarrollos dirigidos y
cualquier evento que pueda ser aprovechado por el atacante.
Una de las APT’s más
conocidas fue Stuxnet, la cual fue detectada en el año 2010, esta APT se
distinguía por auto-transmitía indiscriminadamente y fue diseñada para afectar
sistemas SCADA. TheFlame es otra APT descubierta en el año 2012, esta APT,
tomaba control de una Red Interna y hacía de proxy, redirigiendo las
actualizaciones de Windows a servidores controlados por los atacantes.
V. CONCLUSION
Este documento se
centra específicamente en los tipos de malware y las amenazas persistentes
avanzadas, después de repasar los diferentes conceptos podemos concluir que la
industria del malware ha madurado mucho a través del tiempo y tiene un crecimiento
exponencial lo que hace más difícil el trabajo de administrar la seguridad en
las organizaciones, por otro lado las APT’s se han convertido en una tendencia
que aun cuando no sean tan comunes como los malware, si son más letales ya que
las técnicas utilizadas explotan vulnerabilidades que en su la mayoría son
desconocidas y los mecanismos de explotación son mucho más sofisticados y
permanentes.
El malware lo
podríamos categorizar según muchos criterios, en este caso lo categorizamos
según las diferentes familias conocidas de acuerdo a sus técnicas de
propagación y comportamiento, sin embargo es posible que encontremos ciertos
productos de malware con características hibridas que puedan hacer parte de
varias familias al mismo tiempo, sobre todo cuando los mismos se utilizan en un
ataque dirigido o en una APT.
Hoy en día vemos que
comercialmente algunos productos llamados erróneamente antivirus y si solo
detectaran virus, estos productos serían muy ineficientes ya que vimos que los
virus informáticos son solo un tipo específico de malware, pero en realidad
existen otros tipos de programas maliciosos en la categoría de malware por lo
que la palabra correcta para estos productos de software debería ser
“antimalware”
Como resultado de
esta investigación también podemos concluir que no es cierto que una empresa
solo necesita un antimalware para estar protegida ante las amenazas descritas
en este documento tal como lo creen muchos, hemos visto que hay muchos
productos puntuales de malware que no son detectados por estas herramientas
y para contrarrestarlos se hace
necesario tener una estrategia que incluya controles perimetrales, controles de
usuarios finales, controles antispam pero lo más importante, tener a los
usuarios entrenados y concientizados del buen uso que se debiera dar a nivel
institucional a las tecnologías de información, además de esto es importante
que se cuente con personas entrenadas en seguridad defensiva y/o se tenga un
aliado de negocio que sirva de apoyo para reforzar los controles de la
infraestructura tecnológica.
Hoy día la industria
del software malicioso da mejores márgenes de ganancia que la industria del
narcotráfico y con menos riesgos y exposición, incluso en algunos países es
mucho más fácil ejercer debido que no hay un marco legal que castigue a las
personas que ejercen este tipo de actividades, por lo que no es raro ver
algunos países de la antigua unión soviética, con una infraestructura poderosa
en el desarrollo de este tipo de códigos dañinos, por otro lado vemos muchos
gobiernos como China, Irak, Rusia, USA entre otros, que consumen los servicios
de muchos de estos códigos, para hacer sus labores de espionaje, lo anterior hace
aún más fuertes este tipo industrias.
Respecto a los
ataques persistentes avanzados, vemos que no son del todo nuevos y cada día se
convierten en las armas predilectas de muchos países, organizaciones y gremios
para hacer trabajos de espionaje dirigido, ataques a industrias y sectores
puntuales, lo anterior, nos da a entender que hoy en día, las guerras son más
silenciosas pero al mismo tiempo son más intrusivas y no solo se limitan al uso
de las armas y la lucha por las fronteras geográficas, sino que re-direccionaron
sus objetivos misionales y la lucha es por el activo intangible más importante
de una organización que es la información, a través de la cual se puede
alcanzar fácilmente dinero, poder, conocimiento, posicionamiento, ventaja
política, entre otros.
REFERENCIAS
[1]
ISACA, “Manual de preparacion al examen CISM 2014,” Estados Unidos
de America, 12° Edicion año 2014 ISACA, pagina 277
[5]
Joaquin Garcia Alfaro, “Botnes”, PID_00180828, UOC
[6]
Instituto Nacional de Tecnologías de la Comunicación (INTECO),
Ministerio de Industria, Energia y Turismo, Gobierno de España “¿QUÉ SON LAS
AMENAZAS PERSISTENTES AVANZADAS (APTs)?”, cuaderno de notas del observatorio, http://www.egov.ufsc.br/portal/sites/default/files/cdn_apts.pdf
[7]
Sergio Castillo Pérez, “Vulnerabilidades de bajo nivel y software
malicioso”, PID_00178966, UOC