Ing. Luis Fran Cardozo González y Ing. Bladimiro García Severiche pertenecen a la Maestría Ingeniería de Sistemas y Computación y realizan la siguiente investigación como parte del desarrollo de Seguridad en Redes (Email: lucag2004@gmail.com, bgarcias18@hotmail.com).
La investigación fue asesorada por el PhD(c) Ing. Enrique Santiago Chinchilla.
Le agradecemos al PhD(c) Ing. Enrique Santiago Chinchilla, por su dedicación y muestra de apoyos en nuestra formación.
1. 1
Resumen— Ante la alta conectividad de las empresas y las
personas a la red, las amenazas a la seguridad de la información
va en constante aumento. La información confidencial que
manejan las empresas y las personas son el primordial objetivo de
los creadores de malware, ya que por medio de virus, troyanos,
gusanos entre otros, pueden cometer fraudes, robos, extorsiones,
etc.
Ninguno de los antivirus de la actualidad cuenta con mecanismos
efectivos para contrarrestarlo, porque no es posible para las
compañías antivirus abarcar las miles de muestras que reciben a
diario.
Los malware pueden ser clasificados según sus efectos: como los
Malware infecciosos que dentro de éstos, los más comunes que
podemos localizar son Virus y Gusanos; también existen los
malware ocultos que tienen como finalidad infiltrarse en los
computadores y permanecer siempre oculto para cumplir con sus
objetivos. Algunos malware de este tipo que podemos encontrar
son los Rootkits y Troyanos; Hay otros que se utilizan para
obtener beneficios mostrando publicidades a través de Spyware,
los cuales se encarga de solicitar información acerca de las
actividades que realiza el usuario sobre su ordenador para luego
distribuirlas a empresas de publicidad u otras organizaciones,
también podemos mencionar a los Adware, los cuales vienen
incluidos en programas Shareware y su función principal es
mostrar o descargar publicidades al ejecutarse.
Palabras clave— Código malicioso (Malware), Crimen
cibernético (Crimeware),
Ing. Luis Fran Cardozo González y Bladimiro García Severiche
pertenecen a la Maestría Ingeniería de Sistemas y Computación y realizan la
siguiente investigación como parte del desarrollo de Seguridad en Redes
(Email: lucag2004@gmail.com, bgarcias18@hotmail.com).
La investigación fue asesorada por el PhD(c) Ing. Enrique Santiago
Chinchilla.
Le agradecemos al PhD(c) Ing. Enrique Santiago Chinchilla, por su
dedicación y muestra de apoyos en nuestra formación.
I. INTRODUCCIÓN
La tecnología se vuelve cada día más esencial en nuestras
vidas, por lo que la mayoría de los dispositivos electrónicos
que utilizamos requieren de una computadora para funcionar.
Dependemos de dispositivos como portátil, celulares, Tablet,
entre otros, para comunicarnos, trabajar y almacenar
información que no podemos perder. Sin embargo, el aumento
en el uso de estos dispositivos también significa que la
cantidad de datos sensibles en la red, tanto de usuarios como
de empresas, va creciendo significativamente.
Los Malware [1] siguen siendo un grave problema a pesar de
los muchos intentos para detectarlos y evitarlos. Los
creadores de malware Siguen desarrollando continuamente
nuevos métodos para evadir las detecciones por medio de
firmas, como el uso de la encriptación, empaquetamiento y la
ofuscación.
Se informan de un gran número de nuevos casos de malware
cada día, por ejemplo, alrededor de medio millón de muestras
de malware se registraron en julio del 2012[2]. El problema
más difícil es la forma de detectar de manera eficiente y eficaz
los nuevos malware. La Clasificación de malware es el primer
paso en la análisis y detección de nuevos casos de malware.
De esta manera nos basamos en explicar detalladamente cómo
funcionan, según su clasificación cada uno de estos programas
maliciosos. De acuerdo con la compañía de antivirus, la mayor
amenaza a la seguridad de esos datos confidenciales son los
malware, debido a que son desarrollados con el objetivo de
obtener dinero de forma ilegal, tales como fraudes,
extorsiones, robo de identidad.
II. DESARROLLO
A.¿Qué es el Malware?
Podemos definir que es todo software que tiene propósitos
dañinos. Los propósitos que tiene el Malware van desde la
simple recolección de información personal del usuario (para
poder venderla a otras compañías), pasando por el uso de
recursos de forma remota o simplemente el dañar la estructura
del sistema operativo afectado incluso obtener dinero de forma
ilegal. Dichos propósitos están estrictamente relacionados con la
persona que los diseña; algunos lo hacen por simple ocio,
mientras que la gran mayoría lo hace en pos de un beneficio
económico.
Luis Fran Cardozo González, Bladimiro García Severiche
Malware: Historia y Clasificación
2. 2
B.Evolución
El desarrollo de programas dañinos se originó a través de la
creación de virus informáticos y, aunque inicialmente sus fines
se destinaban estrictamente a la investigación, con el tiempo su
objetivo derivó en la obtención de reconocimiento por parte de
sus autores y en la actualidad con fines lucrativos.
PnadaSecurity [ 3], nos ilustra un poco acerca de la evolución
de los malware, la cual comenzó en 1949 cuando Von Neumann
estableció la idea de programa almacenado y expuso La Teoría y
Organización de Autómatas Complejos, donde presentaba por
primera vez la posibilidad de desarrollar pequeños programas
replicantes y capaces de tomar el control de otros programas de
similar estructura. Si bien el concepto tiene miles de
aplicaciones en la ciencia, es fácil apreciar una aplicación
negativa de la teoría expuesta por Neumann: los virus
informáticos.
Pero Fue en 1972 cuando Robert Thomas Morris creó el que
es considerado cómo el primer virus propiamente dicho:
el Creeper era capaz de infectar máquinas IBM 360 de la red
ARPANET (la precedente de Internet) y emitía un mensaje en
pantalla que decía “Soy una enredadera (creeper), atrápame si
puedes”. Para eliminarlo, se creó otro virus
llamado Reaper (segadora) que estaba programado para buscarlo
y eliminarlo. Este es el origen de los actuales antivirus.
A principio de este siglo se considera la época de las grandes
epidemias masivas que tuvieron su punto álgido en el 2004,
donde utilizando técnicas de ingeniería social, se infectaba a los
usuarios por medio del correo electrónico siendo el gusano I
LOVE YOU el de mayor repercusión mediática. A partir de este
punto, más exactamente en el año 2005 tras 5 años de tendencia
sostenida en la que los virus tal y como los conocíamos fueron
dejando su lugar a gusanos y troyanos encargados de formar
redes de bots para obtener dinero, cuando vieron que el
entretenimiento que podía suponer la creación de malware se
podía convertir en un negocio muy rentable.
Quizá la mejor prueba de ello sean los denominados Troyanos
Bancarios de los que existen miles de variantes dado que los
creadores, para dificultar su detección modificaban permanente
el código de los mismos.
En cuanto a las amenazas para móviles, no cabe duda de que
la llegada de las tecnologías, móviles e inalámbricas, y su
constante evolución han revolucionado en los últimos años la
forma en la que nos comunicamos y trabajamos. Sin embargo, la
expansión del uso de esta tecnología ha hecho que también se
convierta en un vector de ataque importante para la industria del
malware.
C.Clasificación
Teniendo en cuenta la clasificación realizada por muchas
empresas dedicadas a combatir los diferentes tipos de malware
y realizando una agrupación según sus características, podríamos
clasificarlos de la siguiente manera:
Virus: En su libro "Virus Informáticos: teoría y
experimentos", el doctor Fred Cohen [4], quien es reconocido
como el primero en definir los virus informáticos, señaló: "Se
denomina virus informático a todo programa capaz de infectar a
otros programas, a partir de su modificación para introducirse en
ellos". Además poseen dos características particulares: Pretender
actuar de forma transparente al usuario y tener la capacidad de
reproducirse a sí mismo.
Todas las cualidades mencionadas pueden compararse con los
virus biológicos, que producen enfermedades (y un daño) en las
personas, actúan por sí solos y se reproducen (contagian).
Como cualquier virus, los virus informáticos necesitan de un
anfitrión o huésped donde alojarse, y este puede ser muy
variable: un archivo ejecutable, el sector de arranque o incluso la
memoria del ordenador.
El daño que un virus puede causar también es
extremadamente variable: desde un simple mensaje en pantalla
para molestar al usuario o la eliminación de archivos del sistema,
hasta inhabilitar completamente el acceso al sistema operativo,
son algunas de las alternativas conocidas.
Los virus pueden infectar de dos maneras diferentes. La
tradicional consiste en “inyectar” una porción de código en un
archivo normal. Es decir, el virus reside dentro del archivo ya
existente. De esta forma, cuando el usuario ejecute el archivo,
además de las acciones normales del archivo en cuestión, se
ejecutan las instrucciones del virus. La segunda forma de
infectar consiste en “ocupar el lugar” del archivo original y
renombrar este por un nombre conocido solo por el virus. En
este caso, al ejecutar el archivo primero se ejecuta el malicioso
y, al finalizar las instrucciones, este llama al archivo original,
ahora renombrado.
Cuando un virus es ejecutado se producen dos acciones en
paralelo: el daño en cuestión y la propagación para seguir
infectando. Esta es la característica primordial de los virus, su
capacidad de reproducirse por sí mismos: el mismo virus es el
que causa el daño y continúa infectando nuevos ordenadores o
archivos.
A pesar de que hoy en día la principal vía de contagio es a
través de Internet, los canales de entrada de un virus informático
pueden ser variables y se incluyen también los medios de
almacenamiento (un disco rígido, cd/dvd, un pen drive, etc.) o
una red local (por ejemplo, a través de las carpetas compartidas).
Gusanos: Los "Gusanos Informáticos" son programas que
realizan copias de sí mismos, alojándolas en diferentes
ubicaciones del ordenador. El objetivo de este malware suele ser
colapsar los ordenadores y las redes informáticas, impidiendo así
el trabajo a los usuarios. A diferencia de los virus, los gusanos
no infectan archivos.
El principal objetivo de los gusanos es propagarse y afectar al
mayor número de ordenadores posible. Para ello, crean copias
de sí mismos en el ordenador afectado, que distribuyen
posteriormente a través de diferentes medios, como el correo
electrónico, programas P2P o de mensajería instantánea, entre
otros.
Los gusanos suelen utilizar técnicas de ingeniería social para
conseguir mayor efectividad. Para ello, los creadores de malware
seleccionan un tema o un nombre atractivo con el que camuflar
el archivo malicioso. Los temas más recurrentes son los
relacionados con el sexo, famosos, temas morbosos, temas de
actualidad o software pirata.
El comportamiento típico de los gusanos informáticos [5]
incluyen los siguientes elementos del sistema operativo donde
3. 3
pueden incrustar código malicioso.
•El sistema de arranque (sectores HD, archivos de inicio y
principalmente el registro de configuraciones que se ha
convertido en el sitio preferido para cargar todo tipo de
malware).
•El pool de procesos en memoria (que representa la lista de
procesos en ejecución).
•El sistema de archivos (obviamente una aplicación debe
ejecutarse desde un archivo que contenga sus instrucciones
ejecutables y hace del spam y el phishing un caso especial de
malware).
•El tráfico de red (donde se intercambian paquetes de
información con otras máquinas).
Rootkits: Se trata de programas diseñados para ocultar
objetos como procesos, archivos o entradas del Registro de
sistemas. Este tipo de software no es malicioso en sí mismo,
pero es utilizado por los creadores de malware para esconder
evidencias y utilidades en los sistemas infectados. Existen
ejemplares de malware que emplean rootkits con la finalidad de
ocultar su presencia en el sistema en el que se instalan.
Rootkits[6], trabajan como parte del sistema operativo y no
dejar que los usuarios puedan ver las tareas o servicios reales.
El Sistema operativo estará bajo el control total del atacante y
se puede esconder todo lo que quiera en el sistema. Rootkits
tienen dos grupos principales con diferentes arquitecturas,
Rootkits clásica y rootkits de kernel.
Inicialmente los rootkit aparecieron en el sistema operativo
UNIX y eran una colección de una o más herramientas que le
permitían al atacante conseguir y mantener el acceso al usuario
de la computadora más privilegiado (en los sistemas UNIX, este
usuario se llama *root* y de ahí su nombre). En los sistemas
basados en Windows, los rootkits se han asociado en general con
herramientas usadas para ocultar programas o procesos al
usuario. Una vez que se instala, el rootkit utiliza funciones del
sistema operativo para ocultarse, de manera tal de no ser
detectado y es usado en general para ocultar otros programas
dañinos.
Un rootkit ataca directamente el funcionamiento de base de un
sistema operativo. En Linux, modificando y trabajando
directamente en el kernel del sistema. En Windows,
interceptando los APIs (Interfaz de Aplicaciones de
Programación) del sistema operativo. Estas, interactúan entre el
usuario y el kernel; de esta forma, el rootkit manipula el kernel
sin trabajar directamente en él como en el caso del software
libre.
La utilización de estos programas se alinea a la perfección con
la dinámica actual del malware: El Cibercrimen. Si el objetivo es
la realización de delitos informáticos para conseguir beneficios
económicos, será de vital importancia pasar lo más inadvertido
posible. De esta forma, se maximizará la cantidad de tiempo que
el malware consiga estar activo dentro del ordenador, sin ser
detectado.
Troyanos: El término troyano proviene de la leyenda del
caballo de Troya, ya que su objetivo inicial es el de engañar a los
usuarios para que los ejecuten simulando ser archivos normales e
indefensos, como juegos, programas, animaciones etc. De esta
forma logran instalarse en nuestros sistemas y una vez
ejecutados, parecen realizar tareas inofensivas pero en paralelo
realizan otras tareas ocultas en el ordenador.
Los Troyanos a diferencia de los Gusanos y Virus, no tienen
la capacidad de reproducirse por sí mismo.
Según las estadísticas en su informe trimestral PandaLabs [7],
hasta el tercer trimestre del año, los troyanos ocupaban el
72,58% en producción de nuevos malware creados (Casi 3 de
cada 4 muestras de malware son troyanos). Los resultados de la
investigación se muestran en la Figura 1.
Figura 1. Nuevo malware creados en el tercer trimestre de 2012,
por tipo.
Los propósitos para los cuales pueden ser utilizados los
Troyanos son muchos, por ejemplo: Robo de información del
sistema, registro de tipeo y robo de contraseñas o accesos
remotos (puertas traseras), donde permiten al atacante conectarse
remotamente al equipo infectado.
Los troyanos los podemos clasificar en los siguientes tipos:
Backdoors: Troyanos de acceso remotos o puertas trasera,
tienen la características de permitirle al atacante conectarse
remotamente al equipo infectado. Luego de que el atacante
accede al ordenador del usuario, los usos que puede hacer del
mismo son variados, según las herramientas que utilice: enviar
correos masivos, eliminar o modificar archivos, ejecución de
archivos, reiniciar el equipo o usos más complejos como
instalar aplicaciones para uso malicioso (por ejemplo:
alojamiento de sitios web de violencia o pedofilia).
En los últimos meses [8], esta rápida proliferación mundial
de código malicioso cada vez más inteligentes ha llegado
acompañado de un método de ataque dañino: troyanos que se
instalan puertas traseras en los sistemas de redes
comprometidas para que puedan participar en la actividad
malintencionada desde un sistema infectado y enviar los datos
a ubicaciones remotas .
El código del troyano se disfraza como un programa
inofensivo, correo electrónico, o una imagen, etc, y con el
éxito de obtener acceso al sistema, el troyano puede dar rienda
suelta a código dañino como la instalación de puertas traseras.
Una vez establecida la puerta trasera, ningún cracker puede
perpetrar, pirata informático, o otra persona con conocimiento
de la apertura puede utilizarla para la entrada del sistema.
Keyloggers: Son uno de los troyanos más utilizados para
obtener información sensible de los usuarios. Son programas
creados para robar información, para lo cual monitorean todas
las pulsaciones del teclado y las almacenan para un posterior
envío al creador, quien puede obtener beneficios económicos o
de otro tipo a través de su uso o distribución. Por ejemplo, al
4. 4
introducir un número de tarjeta de crédito el keylogger guarda
el número, posteriormente lo envía al autor y éste puede hacer
pagos fraudulentos con esa tarjeta. Los keyloggers
normalmente son usados para recopilar contraseñas y otros
datos, pero también se pueden usar para espiar conversaciones
de chat u otros fines.
Banker: Se denomina troyanos bancarios a la familia de
códigos maliciosos cuya finalidad es la obtención de
información bancaria de los usuarios infectados. Utilizan
diferentes estrategias para obtener las claves de acceso a todo
tipo de entidad financiera. Algunas de estas estrategias son:
Remplazar el sitio web de la entidad de manera total o parcial,
capturar pantallas de la página bancaria cuando se utiliza teclado
virtual entre otros, enviándose esta información al atacante por
correo electrónico normalmente.
Botnets: Son utilizados para crear redes de equipos zombis.
El atacante utiliza el troyano para controlar una cantidad de
computadores y así, utilizarlos para cualquier fin maligno. Se
utilizan para enviar Spam o para realizar ataques de negación
de servicios, de los cuales pueden sacar beneficios
económicos.
Las botnets [9] se han identificado recientemente como una
de las amenazas más importantes para la seguridad del Internet.
Tradicionalmente, las botnets se organizan de forma jerárquica
con un comando central y lugar de control. Esta ubicación puede
ser estáticamente definido en el bot, o puede ser definido de
forma dinámica basada en un servidor de directorio. En la
actualidad, la característica central de botnets es útil para
profesionales de la seguridad, ya que ofrece un punto central de
la insuficiencia de la red de bots. En un futuro próximo, creemos
que los atacantes se moverán a las arquitecturas más flexibles.
Una de las amenazas más importantes a la Internet hoy en día
es la amenaza de botnets, que son redes de ordenadores
infectados bajo el control de un atacante. Es difícil medir la
magnitud del daño causado en Internet por botnets, pero es
ampliamente aceptado que el daño es significativo. Además, es
el mas potencial en magnitud de daño que existe en el futuro.
Password Stealer: Los Stealer roban la información privada
que se encuentra guardada en el equipo. Al ejecutarse,
comprueban los programas instalados en el equipo y si tienen
contraseñas recordadas (por ejemplo en navegadores web)
descifran esa información y la envían al creador.
Dialer: Toman el control del módem, realizan una llamada a
un número de teléfono de tarifa especial (muchas veces
internacional) y dejan la línea abierta, cargando el costo de la
llamada al usuario. La forma más habitual de infección suele ser
en páginas web que ofrecen contenidos gratuitos pero que sólo
permiten el acceso mediante conexión telefónica, y los señuelos
suelen ser videojuegos, salvapantallas o pornografía.
Actualmente la mayoría de las conexiones a internet son
mediante ADSL y no mediante módem, por lo que los dialers ya
no son tan populares.
Además de los diferentes tipos de troyanos descritos, cabe
resaltar la incursión y evolución de Troyanos para dispositivos
móviles y para Mac. En el caso de los primeros, el creciente
mercado de los equipos con Android, ha llevado a que el mayor
número de ataques de malware sea a equipos con este sistema, y
que el 99% porcentaje de software malicioso que detectan
empresas como Karpesky es para la plataforma ya mencionada.
En la Figura 2. Karpesky [10] en su boletín de seguridad
2012, nos muestra el Top ten de los malware para Android,
donde el mayor porcentaje de estos son Troyanos.
Figura 2. Top 10 de Malware para Android.
Spyware: Estos recopilan la información de los usuarios
respecto a los accesos a internet sin el consentimiento de ellos, y
posteriormente envían estos datos a personas externas.
Aunque este tipos de malware no dañan el ordenador, si
afectan el rendimiento de este, además de atentar contra la
privacidad de los usuarios y modificar algunas configuraciones
de los navegadores web.
La mayoría de los programas Spyware, son instalados como
troyanos junto a software bajados por internet.
Ciertos spyware poseen características adicionales para
conseguir información e intentan interactuar con el usuario
simulando ser buscadores o barras de herramientas. Con estas
técnicas, los datos obtenidos son más legítimos y confiables que
con otros métodos espías utilizados.
Adware: Son programas que muestran publicidad al
usuario de manera intrusiva en forma de ventanas pop-up o de
cualquier otra forma. Esta publicidad aparece inesperadamente
en el equipo y resulta muy molesta.
Al igual que los Spyware, los Adware no atentan contra la
integridad de los sistemas operativos, si no que sus
consecuencias se ven reflejadas primero en el rendimiento de
este, ya que consumen procesador, memoria y ancho de banda
y segundo en la molestia que causan a los usuarios mostrando
ventanas con publicidad la cual aparece sin ningún tipo de
orden dada al computador.
Ransomware: Son programas que cifran los archivos
importantes para el usuario, haciéndolos inaccesibles. Luego de
esto se exige pagar un "rescate" para poder recibir la contraseña
que permite recuperar dichos archivos.
El Ransomware es una de las amenazas informáticas más
similares a un ataque sin medios tecnológicos: el secuestro.
Este tipo de ataques por lo general es perpetrado por un solo
atacante quien casi siempre utiliza los archivos de ofimática
como víctimas del ataque. También imágenes y correos
electrónicos, son prioritarios para el común de los ataques.
5. 5
III. CONCLUSIONES
Hasta este punto de la investigación, vemos como cada día
aumentan el número de ataques de malware a los diferentes
sistemas (Windows, Mac, Linux, Android), creciendo a la vez
el riesgo de que seamos victimas de uno de estos tipos de
software maliciosos.
El basto crecimiento de dispositivos móviles, en especial el
progresivo aumento de equipos con Android, ha disparado por
parte de los desarrolladores la alta creación de nuevos malware
y la constante evolución de los ya existentes, convirtiéndose
cada vez más difícil la tarea de detectar y eliminar cada uno de
estos programas mal intencionado.
Al pasar de simples intenciones de reconocimientos a
intereses económicos, los creadores de estos tipos de software,
buscan constantemente diferentes estrategias que los lleven a
cumplir con su cometido, sin interesarles incurrir en delito.
Con la aclaración de conceptos y la correspondiente
clasificación de los malware, tendremos un conocimiento
mayor de la forma como cada uno de ellos operan con el
objetivo de poder protegernos.
REFERENCIAS
[1] Fast Malware Classification. Cyber Defense Laboratory.
Department of Computer Science Department NC State
University, Raleigh, NC, USA. | Younghee Park, Douglas
Reeves, Vikram Mulukutla, Balaji Sundaravel. (2010).
[2] Symantec Intelligence Report: July 2012. Disponible en
Internet:
http://www.symanteccloud.com/verify.nocache?filename=SY
MCINT_2012_07_July.pdf
[3] Panda Security Antivirus. Security Info Classic -
Malware: su historia, su evolución | PandaLabs, el laboratorio
antimalware de Panda Security. Disponible en Internet:
http://www.pandasecurity.com/spain/homeusers/security-
info/classic-malware/
[4] Elementos teórico-prácticos útiles para conocer los virus
informáticos. | Lic. Ramón Orlando Bello Hernández y Ms C.
Ileana R. Alfonso Sánchez. (2003).
[5] HUNTER. Modelo de Antivirus Inteligente para La
Protección contra Gusanos. | Siler Amador, Hilda Quinayás,
Guillermo Jurado, Beatriz Garzón y Leidy Yurany Aley.
(2008).
[6] Trojans and Backdoors. | Shahram Monshi Pouri, Nikunj
Modi.
[7] Panda Security Antivirus. Informes - Trimestrales |
Informe Trimestrales PandaLabs [citado Octubre 2012].
Disponible en internet:
http://prensa.pandasecurity.com/wp-
content/uploads/2012/12/Informe-Trimestral-PandaLabs-Julio-
Septiembre-2012.pdf
[8] The Digital Insider: Backdoor Trojans. The World Bank
Integrator Unit | Tom Kellermann, CISM and Yumi
Nishiyama. (2003).
[9] Peer-to-Peer Botnets: Overview and Case Study | Julian B.
Grizzard, Vikram Sharma, Chris Nunnery, and Brent
ByungHoon Kang (2007).
[10 ] Kaspersky Antivirus. Centro de Prensa | Boletín de
seguridad 2012. Estadística general de 2012 [citado Diciembre
10, 2012]. Disponible en Internet:
http://www.viruslist.com/sp/analysis?pubid=207271195#1