Malware: Historia y Clasificación

1,356 views

Published on

Ing. Luis Fran Cardozo González y Ing. Bladimiro García Severiche pertenecen a la Maestría Ingeniería de Sistemas y Computación y realizan la siguiente investigación como parte del desarrollo de Seguridad en Redes (Email: lucag2004@gmail.com, bgarcias18@hotmail.com).
La investigación fue asesorada por el PhD(c) Ing. Enrique Santiago Chinchilla.
Le agradecemos al PhD(c) Ing. Enrique Santiago Chinchilla, por su dedicación y muestra de apoyos en nuestra formación.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,356
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
25
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Malware: Historia y Clasificación

  1. 1. 1Resumen— Ante la alta conectividad de las empresas y laspersonas a la red, las amenazas a la seguridad de la informaciónva en constante aumento. La información confidencial quemanejan las empresas y las personas son el primordial objetivo delos creadores de malware, ya que por medio de virus, troyanos,gusanos entre otros, pueden cometer fraudes, robos, extorsiones,etc.Ninguno de los antivirus de la actualidad cuenta con mecanismosefectivos para contrarrestarlo, porque no es posible para lascompañías antivirus abarcar las miles de muestras que reciben adiario.Los malware pueden ser clasificados según sus efectos: como losMalware infecciosos que dentro de éstos, los más comunes quepodemos localizar son Virus y Gusanos; también existen losmalware ocultos que tienen como finalidad infiltrarse en loscomputadores y permanecer siempre oculto para cumplir con susobjetivos. Algunos malware de este tipo que podemos encontrarson los Rootkits y Troyanos; Hay otros que se utilizan paraobtener beneficios mostrando publicidades a través de Spyware,los cuales se encarga de solicitar información acerca de lasactividades que realiza el usuario sobre su ordenador para luegodistribuirlas a empresas de publicidad u otras organizaciones,también podemos mencionar a los Adware, los cuales vienenincluidos en programas Shareware y su función principal esmostrar o descargar publicidades al ejecutarse.Palabras clave— Código malicioso (Malware), Crimencibernético (Crimeware),Ing. Luis Fran Cardozo González y Bladimiro García Severichepertenecen a la Maestría Ingeniería de Sistemas y Computación y realizan lasiguiente investigación como parte del desarrollo de Seguridad en Redes(Email: lucag2004@gmail.com, bgarcias18@hotmail.com).La investigación fue asesorada por el PhD(c) Ing. Enrique SantiagoChinchilla.Le agradecemos al PhD(c) Ing. Enrique Santiago Chinchilla, por sudedicación y muestra de apoyos en nuestra formación.I. INTRODUCCIÓNLa tecnología se vuelve cada día más esencial en nuestrasvidas, por lo que la mayoría de los dispositivos electrónicosque utilizamos requieren de una computadora para funcionar.Dependemos de dispositivos como portátil, celulares, Tablet,entre otros, para comunicarnos, trabajar y almacenarinformación que no podemos perder. Sin embargo, el aumentoen el uso de estos dispositivos también significa que lacantidad de datos sensibles en la red, tanto de usuarios comode empresas, va creciendo significativamente.Los Malware [1] siguen siendo un grave problema a pesar delos muchos intentos para detectarlos y evitarlos. Loscreadores de malware Siguen desarrollando continuamentenuevos métodos para evadir las detecciones por medio defirmas, como el uso de la encriptación, empaquetamiento y laofuscación.Se informan de un gran número de nuevos casos de malwarecada día, por ejemplo, alrededor de medio millón de muestrasde malware se registraron en julio del 2012[2]. El problemamás difícil es la forma de detectar de manera eficiente y eficazlos nuevos malware. La Clasificación de malware es el primerpaso en la análisis y detección de nuevos casos de malware.De esta manera nos basamos en explicar detalladamente cómofuncionan, según su clasificación cada uno de estos programasmaliciosos. De acuerdo con la compañía de antivirus, la mayoramenaza a la seguridad de esos datos confidenciales son losmalware, debido a que son desarrollados con el objetivo deobtener dinero de forma ilegal, tales como fraudes,extorsiones, robo de identidad.II. DESARROLLOA.¿Qué es el Malware?Podemos definir que es todo software que tiene propósitosdañinos. Los propósitos que tiene el Malware van desde lasimple recolección de información personal del usuario (parapoder venderla a otras compañías), pasando por el uso derecursos de forma remota o simplemente el dañar la estructuradel sistema operativo afectado incluso obtener dinero de formailegal. Dichos propósitos están estrictamente relacionados con lapersona que los diseña; algunos lo hacen por simple ocio,mientras que la gran mayoría lo hace en pos de un beneficioeconómico.Luis Fran Cardozo González, Bladimiro García SevericheMalware: Historia y Clasificación
  2. 2. 2B.EvoluciónEl desarrollo de programas dañinos se originó a través de lacreación de virus informáticos y, aunque inicialmente sus finesse destinaban estrictamente a la investigación, con el tiempo suobjetivo derivó en la obtención de reconocimiento por parte desus autores y en la actualidad con fines lucrativos.PnadaSecurity [ 3], nos ilustra un poco acerca de la evoluciónde los malware, la cual comenzó en 1949 cuando Von Neumannestableció la idea de programa almacenado y expuso La Teoría yOrganización de Autómatas Complejos, donde presentaba porprimera vez la posibilidad de desarrollar pequeños programasreplicantes y capaces de tomar el control de otros programas desimilar estructura. Si bien el concepto tiene miles deaplicaciones en la ciencia, es fácil apreciar una aplicaciónnegativa de la teoría expuesta por Neumann: los virusinformáticos.Pero Fue en 1972 cuando Robert Thomas Morris creó el quees considerado cómo el primer virus propiamente dicho:el Creeper era capaz de infectar máquinas IBM 360 de la redARPANET (la precedente de Internet) y emitía un mensaje enpantalla que decía “Soy una enredadera (creeper), atrápame sipuedes”. Para eliminarlo, se creó otro virusllamado Reaper (segadora) que estaba programado para buscarloy eliminarlo. Este es el origen de los actuales antivirus.A principio de este siglo se considera la época de las grandesepidemias masivas que tuvieron su punto álgido en el 2004,donde utilizando técnicas de ingeniería social, se infectaba a losusuarios por medio del correo electrónico siendo el gusano ILOVE YOU el de mayor repercusión mediática. A partir de estepunto, más exactamente en el año 2005 tras 5 años de tendenciasostenida en la que los virus tal y como los conocíamos fuerondejando su lugar a gusanos y troyanos encargados de formarredes de bots para obtener dinero, cuando vieron que elentretenimiento que podía suponer la creación de malware sepodía convertir en un negocio muy rentable.Quizá la mejor prueba de ello sean los denominados TroyanosBancarios de los que existen miles de variantes dado que loscreadores, para dificultar su detección modificaban permanenteel código de los mismos.En cuanto a las amenazas para móviles, no cabe duda de quela llegada de las tecnologías, móviles e inalámbricas, y suconstante evolución han revolucionado en los últimos años laforma en la que nos comunicamos y trabajamos. Sin embargo, laexpansión del uso de esta tecnología ha hecho que también seconvierta en un vector de ataque importante para la industria delmalware.C.ClasificaciónTeniendo en cuenta la clasificación realizada por muchasempresas dedicadas a combatir los diferentes tipos de malwarey realizando una agrupación según sus características, podríamosclasificarlos de la siguiente manera:Virus: En su libro "Virus Informáticos: teoría yexperimentos", el doctor Fred Cohen [4], quien es reconocidocomo el primero en definir los virus informáticos, señaló: "Sedenomina virus informático a todo programa capaz de infectar aotros programas, a partir de su modificación para introducirse enellos". Además poseen dos características particulares: Pretenderactuar de forma transparente al usuario y tener la capacidad dereproducirse a sí mismo.Todas las cualidades mencionadas pueden compararse con losvirus biológicos, que producen enfermedades (y un daño) en laspersonas, actúan por sí solos y se reproducen (contagian).Como cualquier virus, los virus informáticos necesitan de unanfitrión o huésped donde alojarse, y este puede ser muyvariable: un archivo ejecutable, el sector de arranque o incluso lamemoria del ordenador.El daño que un virus puede causar también esextremadamente variable: desde un simple mensaje en pantallapara molestar al usuario o la eliminación de archivos del sistema,hasta inhabilitar completamente el acceso al sistema operativo,son algunas de las alternativas conocidas.Los virus pueden infectar de dos maneras diferentes. Latradicional consiste en “inyectar” una porción de código en unarchivo normal. Es decir, el virus reside dentro del archivo yaexistente. De esta forma, cuando el usuario ejecute el archivo,además de las acciones normales del archivo en cuestión, seejecutan las instrucciones del virus. La segunda forma deinfectar consiste en “ocupar el lugar” del archivo original yrenombrar este por un nombre conocido solo por el virus. Eneste caso, al ejecutar el archivo primero se ejecuta el maliciosoy, al finalizar las instrucciones, este llama al archivo original,ahora renombrado.Cuando un virus es ejecutado se producen dos acciones enparalelo: el daño en cuestión y la propagación para seguirinfectando. Esta es la característica primordial de los virus, sucapacidad de reproducirse por sí mismos: el mismo virus es elque causa el daño y continúa infectando nuevos ordenadores oarchivos.A pesar de que hoy en día la principal vía de contagio es através de Internet, los canales de entrada de un virus informáticopueden ser variables y se incluyen también los medios dealmacenamiento (un disco rígido, cd/dvd, un pen drive, etc.) ouna red local (por ejemplo, a través de las carpetas compartidas).Gusanos: Los "Gusanos Informáticos" son programas querealizan copias de sí mismos, alojándolas en diferentesubicaciones del ordenador. El objetivo de este malware suele sercolapsar los ordenadores y las redes informáticas, impidiendo asíel trabajo a los usuarios. A diferencia de los virus, los gusanosno infectan archivos.El principal objetivo de los gusanos es propagarse y afectar almayor número de ordenadores posible. Para ello, crean copiasde sí mismos en el ordenador afectado, que distribuyenposteriormente a través de diferentes medios, como el correoelectrónico, programas P2P o de mensajería instantánea, entreotros.Los gusanos suelen utilizar técnicas de ingeniería social paraconseguir mayor efectividad. Para ello, los creadores de malwareseleccionan un tema o un nombre atractivo con el que camuflarel archivo malicioso. Los temas más recurrentes son losrelacionados con el sexo, famosos, temas morbosos, temas deactualidad o software pirata.El comportamiento típico de los gusanos informáticos [5]incluyen los siguientes elementos del sistema operativo donde
  3. 3. 3pueden incrustar código malicioso.•El sistema de arranque (sectores HD, archivos de inicio yprincipalmente el registro de configuraciones que se haconvertido en el sitio preferido para cargar todo tipo demalware).•El pool de procesos en memoria (que representa la lista deprocesos en ejecución).•El sistema de archivos (obviamente una aplicación debeejecutarse desde un archivo que contenga sus instruccionesejecutables y hace del spam y el phishing un caso especial demalware).•El tráfico de red (donde se intercambian paquetes deinformación con otras máquinas).Rootkits: Se trata de programas diseñados para ocultarobjetos como procesos, archivos o entradas del Registro desistemas. Este tipo de software no es malicioso en sí mismo,pero es utilizado por los creadores de malware para esconderevidencias y utilidades en los sistemas infectados. Existenejemplares de malware que emplean rootkits con la finalidad deocultar su presencia en el sistema en el que se instalan.Rootkits[6], trabajan como parte del sistema operativo y nodejar que los usuarios puedan ver las tareas o servicios reales.El Sistema operativo estará bajo el control total del atacante yse puede esconder todo lo que quiera en el sistema. Rootkitstienen dos grupos principales con diferentes arquitecturas,Rootkits clásica y rootkits de kernel.Inicialmente los rootkit aparecieron en el sistema operativoUNIX y eran una colección de una o más herramientas que lepermitían al atacante conseguir y mantener el acceso al usuariode la computadora más privilegiado (en los sistemas UNIX, esteusuario se llama *root* y de ahí su nombre). En los sistemasbasados en Windows, los rootkits se han asociado en general conherramientas usadas para ocultar programas o procesos alusuario. Una vez que se instala, el rootkit utiliza funciones delsistema operativo para ocultarse, de manera tal de no serdetectado y es usado en general para ocultar otros programasdañinos.Un rootkit ataca directamente el funcionamiento de base de unsistema operativo. En Linux, modificando y trabajandodirectamente en el kernel del sistema. En Windows,interceptando los APIs (Interfaz de Aplicaciones deProgramación) del sistema operativo. Estas, interactúan entre elusuario y el kernel; de esta forma, el rootkit manipula el kernelsin trabajar directamente en él como en el caso del softwarelibre.La utilización de estos programas se alinea a la perfección conla dinámica actual del malware: El Cibercrimen. Si el objetivo esla realización de delitos informáticos para conseguir beneficioseconómicos, será de vital importancia pasar lo más inadvertidoposible. De esta forma, se maximizará la cantidad de tiempo queel malware consiga estar activo dentro del ordenador, sin serdetectado.Troyanos: El término troyano proviene de la leyenda delcaballo de Troya, ya que su objetivo inicial es el de engañar a losusuarios para que los ejecuten simulando ser archivos normales eindefensos, como juegos, programas, animaciones etc. De estaforma logran instalarse en nuestros sistemas y una vezejecutados, parecen realizar tareas inofensivas pero en paralelorealizan otras tareas ocultas en el ordenador.Los Troyanos a diferencia de los Gusanos y Virus, no tienenla capacidad de reproducirse por sí mismo.Según las estadísticas en su informe trimestral PandaLabs [7],hasta el tercer trimestre del año, los troyanos ocupaban el72,58% en producción de nuevos malware creados (Casi 3 decada 4 muestras de malware son troyanos). Los resultados de lainvestigación se muestran en la Figura 1.Figura 1. Nuevo malware creados en el tercer trimestre de 2012,por tipo.Los propósitos para los cuales pueden ser utilizados losTroyanos son muchos, por ejemplo: Robo de información delsistema, registro de tipeo y robo de contraseñas o accesosremotos (puertas traseras), donde permiten al atacante conectarseremotamente al equipo infectado.Los troyanos los podemos clasificar en los siguientes tipos:Backdoors: Troyanos de acceso remotos o puertas trasera,tienen la características de permitirle al atacante conectarseremotamente al equipo infectado. Luego de que el atacanteaccede al ordenador del usuario, los usos que puede hacer delmismo son variados, según las herramientas que utilice: enviarcorreos masivos, eliminar o modificar archivos, ejecución dearchivos, reiniciar el equipo o usos más complejos comoinstalar aplicaciones para uso malicioso (por ejemplo:alojamiento de sitios web de violencia o pedofilia).En los últimos meses [8], esta rápida proliferación mundialde código malicioso cada vez más inteligentes ha llegadoacompañado de un método de ataque dañino: troyanos que seinstalan puertas traseras en los sistemas de redescomprometidas para que puedan participar en la actividadmalintencionada desde un sistema infectado y enviar los datosa ubicaciones remotas .El código del troyano se disfraza como un programainofensivo, correo electrónico, o una imagen, etc, y con eléxito de obtener acceso al sistema, el troyano puede dar riendasuelta a código dañino como la instalación de puertas traseras.Una vez establecida la puerta trasera, ningún cracker puedeperpetrar, pirata informático, o otra persona con conocimientode la apertura puede utilizarla para la entrada del sistema.Keyloggers: Son uno de los troyanos más utilizados paraobtener información sensible de los usuarios. Son programascreados para robar información, para lo cual monitorean todaslas pulsaciones del teclado y las almacenan para un posteriorenvío al creador, quien puede obtener beneficios económicos ode otro tipo a través de su uso o distribución. Por ejemplo, al
  4. 4. 4introducir un número de tarjeta de crédito el keylogger guardael número, posteriormente lo envía al autor y éste puede hacerpagos fraudulentos con esa tarjeta. Los keyloggersnormalmente son usados para recopilar contraseñas y otrosdatos, pero también se pueden usar para espiar conversacionesde chat u otros fines.Banker: Se denomina troyanos bancarios a la familia decódigos maliciosos cuya finalidad es la obtención deinformación bancaria de los usuarios infectados. Utilizandiferentes estrategias para obtener las claves de acceso a todotipo de entidad financiera. Algunas de estas estrategias son:Remplazar el sitio web de la entidad de manera total o parcial,capturar pantallas de la página bancaria cuando se utiliza tecladovirtual entre otros, enviándose esta información al atacante porcorreo electrónico normalmente.Botnets: Son utilizados para crear redes de equipos zombis.El atacante utiliza el troyano para controlar una cantidad decomputadores y así, utilizarlos para cualquier fin maligno. Seutilizan para enviar Spam o para realizar ataques de negaciónde servicios, de los cuales pueden sacar beneficioseconómicos.Las botnets [9] se han identificado recientemente como unade las amenazas más importantes para la seguridad del Internet.Tradicionalmente, las botnets se organizan de forma jerárquicacon un comando central y lugar de control. Esta ubicación puedeser estáticamente definido en el bot, o puede ser definido deforma dinámica basada en un servidor de directorio. En laactualidad, la característica central de botnets es útil paraprofesionales de la seguridad, ya que ofrece un punto central dela insuficiencia de la red de bots. En un futuro próximo, creemosque los atacantes se moverán a las arquitecturas más flexibles.Una de las amenazas más importantes a la Internet hoy en díaes la amenaza de botnets, que son redes de ordenadoresinfectados bajo el control de un atacante. Es difícil medir lamagnitud del daño causado en Internet por botnets, pero esampliamente aceptado que el daño es significativo. Además, esel mas potencial en magnitud de daño que existe en el futuro.Password Stealer: Los Stealer roban la información privadaque se encuentra guardada en el equipo. Al ejecutarse,comprueban los programas instalados en el equipo y si tienencontraseñas recordadas (por ejemplo en navegadores web)descifran esa información y la envían al creador.Dialer: Toman el control del módem, realizan una llamada aun número de teléfono de tarifa especial (muchas vecesinternacional) y dejan la línea abierta, cargando el costo de lallamada al usuario. La forma más habitual de infección suele seren páginas web que ofrecen contenidos gratuitos pero que sólopermiten el acceso mediante conexión telefónica, y los señuelossuelen ser videojuegos, salvapantallas o pornografía.Actualmente la mayoría de las conexiones a internet sonmediante ADSL y no mediante módem, por lo que los dialers yano son tan populares.Además de los diferentes tipos de troyanos descritos, caberesaltar la incursión y evolución de Troyanos para dispositivosmóviles y para Mac. En el caso de los primeros, el crecientemercado de los equipos con Android, ha llevado a que el mayornúmero de ataques de malware sea a equipos con este sistema, yque el 99% porcentaje de software malicioso que detectanempresas como Karpesky es para la plataforma ya mencionada.En la Figura 2. Karpesky [10] en su boletín de seguridad2012, nos muestra el Top ten de los malware para Android,donde el mayor porcentaje de estos son Troyanos.Figura 2. Top 10 de Malware para Android.Spyware: Estos recopilan la información de los usuariosrespecto a los accesos a internet sin el consentimiento de ellos, yposteriormente envían estos datos a personas externas.Aunque este tipos de malware no dañan el ordenador, siafectan el rendimiento de este, además de atentar contra laprivacidad de los usuarios y modificar algunas configuracionesde los navegadores web.La mayoría de los programas Spyware, son instalados comotroyanos junto a software bajados por internet.Ciertos spyware poseen características adicionales paraconseguir información e intentan interactuar con el usuariosimulando ser buscadores o barras de herramientas. Con estastécnicas, los datos obtenidos son más legítimos y confiables quecon otros métodos espías utilizados.Adware: Son programas que muestran publicidad alusuario de manera intrusiva en forma de ventanas pop-up o decualquier otra forma. Esta publicidad aparece inesperadamenteen el equipo y resulta muy molesta.Al igual que los Spyware, los Adware no atentan contra laintegridad de los sistemas operativos, si no que susconsecuencias se ven reflejadas primero en el rendimiento deeste, ya que consumen procesador, memoria y ancho de banday segundo en la molestia que causan a los usuarios mostrandoventanas con publicidad la cual aparece sin ningún tipo deorden dada al computador.Ransomware: Son programas que cifran los archivosimportantes para el usuario, haciéndolos inaccesibles. Luego deesto se exige pagar un "rescate" para poder recibir la contraseñaque permite recuperar dichos archivos.El Ransomware es una de las amenazas informáticas mássimilares a un ataque sin medios tecnológicos: el secuestro.Este tipo de ataques por lo general es perpetrado por un soloatacante quien casi siempre utiliza los archivos de ofimáticacomo víctimas del ataque. También imágenes y correoselectrónicos, son prioritarios para el común de los ataques.
  5. 5. 5III. CONCLUSIONESHasta este punto de la investigación, vemos como cada díaaumentan el número de ataques de malware a los diferentessistemas (Windows, Mac, Linux, Android), creciendo a la vezel riesgo de que seamos victimas de uno de estos tipos desoftware maliciosos.El basto crecimiento de dispositivos móviles, en especial elprogresivo aumento de equipos con Android, ha disparado porparte de los desarrolladores la alta creación de nuevos malwarey la constante evolución de los ya existentes, convirtiéndosecada vez más difícil la tarea de detectar y eliminar cada uno deestos programas mal intencionado.Al pasar de simples intenciones de reconocimientos aintereses económicos, los creadores de estos tipos de software,buscan constantemente diferentes estrategias que los lleven acumplir con su cometido, sin interesarles incurrir en delito.Con la aclaración de conceptos y la correspondienteclasificación de los malware, tendremos un conocimientomayor de la forma como cada uno de ellos operan con elobjetivo de poder protegernos.REFERENCIAS[1] Fast Malware Classification. Cyber Defense Laboratory.Department of Computer Science Department NC StateUniversity, Raleigh, NC, USA. | Younghee Park, DouglasReeves, Vikram Mulukutla, Balaji Sundaravel. (2010).[2] Symantec Intelligence Report: July 2012. Disponible enInternet:http://www.symanteccloud.com/verify.nocache?filename=SYMCINT_2012_07_July.pdf[3] Panda Security Antivirus. Security Info Classic -Malware: su historia, su evolución | PandaLabs, el laboratorioantimalware de Panda Security. Disponible en Internet:http://www.pandasecurity.com/spain/homeusers/security-info/classic-malware/[4] Elementos teórico-prácticos útiles para conocer los virusinformáticos. | Lic. Ramón Orlando Bello Hernández y Ms C.Ileana R. Alfonso Sánchez. (2003).[5] HUNTER. Modelo de Antivirus Inteligente para LaProtección contra Gusanos. | Siler Amador, Hilda Quinayás,Guillermo Jurado, Beatriz Garzón y Leidy Yurany Aley.(2008).[6] Trojans and Backdoors. | Shahram Monshi Pouri, NikunjModi.[7] Panda Security Antivirus. Informes - Trimestrales |Informe Trimestrales PandaLabs [citado Octubre 2012].Disponible en internet:http://prensa.pandasecurity.com/wp-content/uploads/2012/12/Informe-Trimestral-PandaLabs-Julio-Septiembre-2012.pdf[8] The Digital Insider: Backdoor Trojans. The World BankIntegrator Unit | Tom Kellermann, CISM and YumiNishiyama. (2003).[9] Peer-to-Peer Botnets: Overview and Case Study | Julian B.Grizzard, Vikram Sharma, Chris Nunnery, and BrentByungHoon Kang (2007).[10 ] Kaspersky Antivirus. Centro de Prensa | Boletín deseguridad 2012. Estadística general de 2012 [citado Diciembre10, 2012]. Disponible en Internet:http://www.viruslist.com/sp/analysis?pubid=207271195#1

×