martes, 3 de mayo de 2016

Seguridad Informática (II) - Malware

Buenas hackers! Que mejor que empezar hablando sobre el origen de la palabra Spam. Este término surgio de la abreviatura "spiced ham" y fue una marca usada por una empresa charcutera de EEUU. 
El grupo británico de humoristas Monty Python (origen a su vez del famoso lenguaje de programación), se burló en una escena cómica sobre el contenido de un menu donde solo ofrecian SPAM. En el video se aprecia como todos gritan a viva voz SPAM y así el surgimiento de esta palabra relacionado a la adquisición de un "objeto" abundante sin quererse, tal como el correo electrónico basura.
 

Concepto de Malware: Se agrupa clásicamente por virus, troyanos, gusanos, rootkit, ransomware, adware con la finalidad del acceso lógico al sistema o infraestructura de red.
Los creadores de malware, el objetivo principal era el obtener reconocimiento en el mundo underground, y dejar su marca de agua en sus desarrollos. Por tanto tenía que llamar la atención al usuario y provocar daños al sistema o infraestructura de red.
Actualmente la motivación principalmente de los cibercriminales y no de los "hackers", es obtener un beneficio económico usando técnicas de "social engineering" como phishing para el robo de información sensible o el desarrollo de código malicioso 100% indetectable, redes botnet o rogueware.
Según el tipo de malware nos encontramos:
Virus: "Un virus es un malware que tiene por objetivo alterar el funcionamiento normal del ordenador, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los datos almacenados en una computadora, aunque también existen otros más inofensivos, que solo producen molestias." (Wikipedia)
Troyano: Es una herramienta de administración remota (RAT) que dependiendo del payload usado puede ser conexión directa o inversa. Actualmente el método más usado es la conexión reversa o "reverse" para evadir los firewall ya que el cliente o victima es el que nos conecta a nosotros dada un IP dada y un puerto a la escucha "listening". El método de infección más habitual es por archivos maliciosos .exe y con más efectividad en PDF. La ingeniería social es un trabajo importante para camuflar el código malicioso ante el elemento humano, y además un buen desarrollo del troyano ofuscado para evadir los AV's (Antivirus).
Gusano: Es un tipo de malware que se duplica a sí mismo encontrandose en la memoria y en aplicaciones no visibles para el usuario. Se propagan mediante el protocolo SMTP, P2P e IRC.
Actualmente se encuentra muy de moda el ransomware, es un tipo de programa mal intencionado cuyo objetivo es el cifrado de los datos de la maquina victima en los distintos acceso a disco, pidiendo un rescate por la recuperación de ellos, dandose el chantaje ante la victima y la posterior entrega de dinero al estafador. 



Según la clasificación de malware, los objetivos son bien distintos. Tenemos desde código malicioso para obtención de información confidencial o privada, a malware para fines lucrativos usando técnicas de phishing.

Existen diferentes métodos de infección a los dispositivos. Para que funcione el malware se tiene que introducir en una máquina victima ya sea de forma lógica o física.
  • La forma clásica y tradicional sería desde usb o CD's al meterse en la máquina.
  • Por vulnerabilidades de software, aprovechandose estos para tomar el control ejecutando comandos a través de una shell obtenida ya sea remota o local.
  • No ejecutar este tipo de archivos maliciosos como administrador.
  • La famosa ingeniería social, usando técnicas de abuso de confianza para realizar una determinada acción perjudicial en busca del beneficio económico.
  • Las cookies son pequeños archivos que contienen información sobre nuestra actividad y es almacenada en nuestro navegador por parte de la página web que visitamos. Ofrecen ventajas, pero también pueden tener implicaciones en la privacidad y anonimato de nuestra navegación. A menudo las cookies que almacenamos ni siquiera son del sitio web que visitamos, sino de terceros, como pueden ser cookies almacenadas por Google Analytics, compañias publicitarias, redes sociales como Facebook o Twitter, etc. Tener un control sobre las cookies es fundamental para preservar nuestra privacidad y anonimato y dar únicamente la información que queremos dar, sin extras. Para ello en la configuración de nuestro navegador podemos gestionarlas, eliminarlas y configurarlas. Una buena práctica puede ser nunca aceptar cookies de terceros, además de almacenar sólo las cookies que conocemos y queremos almacenar.

Para protegerte es interesante seguir las siguientes pautas:
  • Utilizar contraseñas seguras, con patrones dificiles de sacar mediante fuerza bruta. 
  • Mantenerse informado de noticias nuevas sobre malware, visitando la pagina web Incibe o la página de exploit-db.
  • Tener el equipo siempre actualizado.
  • No fiarse de los antivirus gratuitos ya que pueden ser fake AV's con código malicioso. Es el denominado Rogueware-->"es un tipo de programa informático malintencionado cuya principal finalidad es hacer creer que una computadora está infectada por algún tipo de virus, induciendo a pagar una determinada suma de dinero para eliminarlo".(Wikipedia)
  • Utilizar software legal para el soporte y garantia. En muchas ocasiones la garantia no siempre se cumple...
  • Usar varias herramientas para analizar malware y así evitar los falsos positivos.
  • Escaneo de puertos y servicios abiertos y disponibles, para saber si esos servicios son vulnerables.
¿Cual es la mejor herramienta AV's? Bueno realmente no existen mejores o peores AV's, simplemente dependiendo si es gratuito o no, se tendrá diferentes herramientas de seguridad en su dispositivo. El antivirus en si, siempre suele ser gratuito o tener periodos de prueba. La mayoria de ataques dirigidos suelen estar en el S.O Windows debido a que existe mayor número de personas que lo usan, no significa que sea más inseguro que un sistema Linux. Los estudios sobre que herramienta AV'S es tiene mayor validez son aquellas que tienen laboratorios independientes de las casas de AV's.

Según una definición general sobre el término Antivirus, es un programa que monitoriza los procesos que se estan ejecutando con el fin de mantener un sistema más seguro en tiempo real. Según su método encontramos:
  • Por heurística: La detección se basa por la detección de patrones similares al del código malicioso
  • Firmas: Los AV's mantienen una actualizada BBDD, comparando un firma especifica de un malware ya bien conocido, por la contenida en la base de datos.
  • Sandbox: El uso de maquinas virtuales para la detección de malware es recomendable, para saber como actua el código malicioso.
Los tipos de antivirus que nos podemos encontrar son AV's de escritorio (software de tipo cliente), antivirus on-line, antivirus portables o Live (ejecutables dentro de un USB por ejemplo).
  
Según lo visto la finalidad del malware ha cambiado desde los últimos años y cada vez va a más debido al avance de la tecnología, además de la variedad de malware para los distintos sistemas operativos tales como para Mac el famoso ransomware KeRanger.
Pero claramente el objetivo o el "target" del malware es en el SO Windows debido al elevado número de usuarios que lo usan.

Un saludo, naivenom 
 







No hay comentarios:

Publicar un comentario

Google Analytics