Virus, Troyanos y Spyware

Resumen

 

Lejos de la “muerte” de los antivirus anticipada por los expertos, lo que está ocurriendo actualmente es que la tecnología está evolucionado continuamente para afrontar las nuevas amenazas constituidas por los programas gusano. Esto ha convertido a los antivirus en la principal prioridad de las inversiones en Seguridad de la Información. Se revisan a continuación las consideraciones a tener en cuenta a la hora diseñar una arquitectura de red que integre la protección antivirus con la protección perimetral existente. 

Introducción

 

La tecnología antivirus apenas tiene cobertura actualmente en las ferias y congresos especializados de Seguridad Corporativa, pues se ha asumido ya como consolidada. Sin embargo, según un estudio de IDC, es el segmento al cual se destina el mayor porcentaje de la inversión en Seguridad de la Información ; algo que se refleja en España en el número de proyectos basados en arquitecturas antivirus. La misma consultora, en su estudio de mercado denominado "Worldwide Antivirus Software Forecast and Analysis, 2003-2007: Return of the Consumer" (que actualiza al anterior “Antivirus Software 2002: A Segmentation of the Market”), anuncia también buenos tiempos para este sector.  

Las amenazas actuales

 

La tecnología de los virus y macros ha evolucionado desde el clásico fichero infectado hasta las más famosas incidencias de infecciones protagonizadas por Chernobyl, Melissa, I Love You, SirCam, Klez y el más moderno SoBig, ahora nombres familiares que han saltado de los círculos especializados a los medios de comunicación; aunque constituyen una amenaza conocida que se mantiene constante

 

Sin embargo, la mayor amenaza la constituyen actualmente los virus de gusano, que también han evolucionado desde el primer gusano Internet, de Robert Morris, en 1988, hasta la nueva generación de gusanos inaugurada en el año 2001 por CodeRed. Algunos gusanos como el Nimda, tienen la capacidad de atravesar cortafuegos (utilizando puertos normalmente permitidos, como el 80/tcp), infectando los servidores Web de Internet y siendo accedidos por los usuarios de la red interna, que ayudan a propagar la infección por las redes internas.

 

Los gusanos de hoy en día son programas híbridos que aprovechan varias características tomadas de distintas tecnologías:

 

§ troyanos (camuflados como componentes del sistema: herramientas, servicios, demonios, bibliotecas, etc.),

§ macros (que aprovechan vulnerabilidades de autoejecución de las aplicaciones),

§ gusanos (propagándose sin interacción del usuario, mediante su propio motor smtp o carpetas compartidas a direcciones de broadcast, etc.),

§ virus distribuidos (obteniendo la carga destructiva desde diversas URLs).

 

El verano de 2003 es conocido ya como el “agosto negro” de los gusanos gracias a las andanzas de Slammer, Blaster y Welchia.

 

El gusano Slammer es hasta ahora el más rápido de la historia, logrando replicarse cada 8,5 segundos e infectando a más del 90% de los sistemas vulnerables en menos de 10 minutos; pero existen modelos teóricos como el gusano Warhol (“Todo el mundo debería tener 15 minutos de gloria”) que permite propagarse por todo Internet en quince minutos, sincronizando los tiempos de replicación con el tiempo que necesita cada réplica en generar una lista previa de los siguientes sistemas vulnerables, mediante una técnica denominada permutación coordinada.

 

Los antivirus de pasarela

 

Es en este contexto en el que entran en juego los antivirus de pasarela, servidores de filtrado de contenido que analizan el flujo de tráfico de red en busca de contenido malicioso. La razón de su existencia se debe a que la infección inicial se propaga incluso a pesar de la existencia de cortafuegos convencionales, que únicamente implementan políticas de seguridad de control de acceso a protocolos (http, ftp, smtp, etc.), por lo que no son suficientes para contener el ataque.

 

Por ello se requiere de una protección adicional que sea capaz de filtrar dicho tráfico, pero que pueda a la vez integrarse con las políticas de seguridad perimetral. Los antivirus de pasarela añaden entonces la funcionalidad de filtrado de contenidos a la protección antivirus ya existente en puestos de trabajo y servidores.

   

El diseño de la arquitectura

 

A pesar de que la instalación de una pasarela antivirus pudiera parecer sencilla, en realidad va más allá de limitarse a instalar una máquina o un software. Previamente es necesario tomar en consideración una serie de puntos todos ellos interrelacionados:

 

 

• La matriz de flujos de tráfico

El primer paso en el diseño de la arquitectura es determinar una tabla donde se enumeren secuencialmente todos los posibles puntos de infección de la arquitectura, normalmente tabulados por protocolos, interfaces de los cortafuegos y zonas de seguridad (subredes o servidores concretos dependiendo del tamaño de la infraestructura a proteger). Esto permite proteger todas las vías de entrada, limitando en el propio diseño el riesgo de infección.

 

 

	SMTP	POP3	WebMail
Correo entrante desde Internet	Entra a la Pasarela Antivirus , donde el tráfico es escaneado y redirigido al MailServer en caso de @dominio.es o sacado a Internet.	Al ser un protocolo de salida, se considera seguro si se han filtrado todos los puntos de entrada	Entra al servidor de correo, donde es redirigido vía SMTP y filtrado a la Pasarela Antivirus , que a su vez lo devuelve al servidor de correo en el caso de @dominio.es o sacado a Internet por la propia Pasarela Antivirus.
Correo entrante desde las redes internas	Entra a la Pasarela Antivirus , donde el tráfico es escaneado y redirigido al MailServer en caso de @dominio.es o sacado a Internet.	Al ser un protocolo de salida, se considera seguro si se han filtrado todos los puntos de entrada	Entra al servidor de correo, donde es redirigido vía SMTP y filtrado a la Pasarela Antivirus , que a su vez lo devuelve al servidor de correo en el caso de @dominio.es o sacado a Internet por la propia Pasarela Antivirus.
Correo saliente hacia Internet	Es enviado directamente a Internet desde el MailServer, donde todo correo entrante ya ha sido previamente escaneado	Filtrado por el router de Interne, mediante ACLs.	Cualquier mensaje saliente del servidor de correo vía webmail ha sido ya escaneado, al entrar directamente por smtp o mediante escaneo smtp en la sincronización del webmail
Correo saliente hacia las redes internas	Es enviado directamente a Internet desde el MailServer, donde todo correo entrante ya ha sido previamente escaneado	Entra a la Pasarela Antivirus , quien hace de relay para el correo POP3 y redirige al MailServer	Cualquier mensaje saliente del servidor de correo vía webmail ha sido ya escaneado, al entrar directamente por smtp o mediante escaneo smtp en la sincronización del webmail

 

Figura: Un ejemplo de Matriz de flujos de Tráfico

 

 

 

 

• Transparencia para los usuarios

En este tipo de proyectos la sensación final de los usuarios es crítica de cara a la implantación, pues un incremento excesivo en los tiempos de respuesta del acceso web o en la descarga de correos o ficheros puede invalidar el mejor de los diseños de la arquitectura. También hay que tener en cuenta la no modificación de las opciones de los puestos clientes, como las rutas por defecto, las IPs de proxy o los scripts automatizados. Esto es especialmente importante en el caso de filtrado del protocolo FTP, pues en la mayoría de los casos es necesario realizar modificaciones, por la propia sintaxis del protocolo.

 

• Rendimiento

Algunas arquitecturas, sobre todo en los ISP, no soportan las aproximaciones tradicionales de antivirus de pasarela. En este caso existen varias formas de abordar esta situación, dependiendo de qué es más flexible modificar: el presupuesto o la arquitectura:

 

·   Implantando clusters transparentes de servidores de filtrado en cada foco de infección

 

·   Mediante balanceadores hardware que redirijan el tráfico a un número escalable de servidores de filtrado

 

·   Rediseñando la arquitectura o el enrutamiento para forzar que todo el tráfico se enrute obligatoriamente por los puntos de filtrado.

 

• Disponibilidad

El corte de servicios producidos por un fallo en el sistema de antivirus puede influir directamente en las operaciones de negocio (transacciones, sistema de correo, navegación, etc.), por lo que debería ser tomada en consideración una solución para limitar el impacto. Para dar continuidad al servicio en caso de fallo en alguno de los puntos de flujo de tráfico, se suelen implantar opciones de Alta Disponibilidad mediante replicación del número de servidores de filtrado, siendo accedidos por balanceadores hardware.

 

• Escalabilidad

La escalabilidad de las arquitecturas debería ser modular, dependiendo de la flexibilidad de los cambios. Una simple modificación de la política de redirección de tráfico de los cortafuegos puede aumentar o disminuir el flujo de tráfico a comprobar.

Otra posibilidad sería incrementar los recursos de máquina en lo relativo a memoria y disco. La replicación de servidores también permite equilibrar el tráfico. Por último, con presupuesto suficiente siempre es posible encontrar una solución técnica a cualquier desafío de la arquitectura, aunque sea tan radical como implantar un “Appliance” de filtrado transparente en el origen de cada segmento de red a proteger.

 

Posibilidades de configuración

 

Históricamente, también los antivirus de pasarela se han beneficiado de la evolución en la tecnología para responder a las necesidades crecientes, principalmente de rendimiento.

Se describen a continuación posibles técnicas que, combinadas entre sí para cada uno de los elementos determinados en la matriz de flujos de tráfico, compondrían la arquitectura de red a implantar.

 

• Modo Proxy

Las primeras configuraciones se basaban en un servidor antivirus que funciona en modo de proxy, generando una conexión de salida al servidor real por cada conexión aceptada de entrada de los clientes origen de las peticiones. La respuesta a la petición original es interceptada, para ejecutar en la mediación las tareas de filtrado del contenido antes de devolvérselo al cliente. Esta operación inicial requiere de muchos recursos de memoria (debido al tráfico http) y sobre todo de disco (en caso de ficheros ftp o correo smtp) siendo a veces necesario almacenar temporalmente todo el contenido antes de la comprobación. La ventaja de esta configuración es la centralización del tráfico en un punto único de inspección, a pesar de que es necesario realizar modificaciones en la configuración de los puestos cliente.

 

La utilización de un proxy inverso, mediante la implantación de la pasarela antivirus delante de la DMZ que alberga los servidores públicos, protege a los usuarios clientes de infectarse si acceden a nuestros servidores.

 

• Protocolos de redirección

La introducción de plataformas cortafuegos revolucionó la arquitectura de red, permitiendo integrar la seguridad perimetral con la seguridad de contenidos. Se implementaron dentro del propio cortafuegos, algunos protocolos propietarios de vectorización del contenido (CVP) y servidores de inspección de contenidos (CIS) para el flujo de tráfico, pudiendo desviar hacia un servidor de filtrado de contenidos todo el tráfico que atravesaba el cortafuegos. La ventaja de esta arquitectura es la transparencia para el usuario final; pues el cortafuegos es capaz de acceder a los campos del paquete IP y modifica la cabecera para redirigir al servidor de filtrado. A pesar de la comodidad de esta arquitectura, existen detalles como la sintaxis de autenticación en protocolos ftp, siendo necesario realizar modificaciones en las aplicaciones o en los scripts de transferencias de ficheros (algo muy común en empresas que sincronizan ficheros contra un host central). Como ventaja, se permite integrar totalmente la Política de Seguridad Perimetral con la Política Antivirus. Los primeros productos de este tipo, basados en un servidor de filtrado bajo Windows, coparon prácticamente el mercado de las PYMEs.

 

• Antivirus hardware

Las crecientes necesidades de ancho de banda en la grandes corporaciones se resolvían incrementando la potencia de los servidores, añadiendo recursos de memoria y disco y migrando frecuentemente a versiones derivadas de UNIX; además de replicar los servidores con nuevos productos de balanceo de carga (hardware y software). Comienzan entonces a desplegarse los primeros “Appliance Hardware”, con sistemas operativos propietarios, específicamente diseñados para optimizar el rendimiento en el filtrado. La posibilidad de configuración transparente, con redundancia mediante STP (Spanning Tree) permite desplegar los “Appliances” sin realizar modificaciones en la arquitectura, algo muy cómodo cuando existe una gran base instalada de servidores para MTA en el Front-End que vuelcan a un cluster de servidores internos donde se alojan los buzones. La posibilidad de implantación transparente y escalable del filtrado antivirus resuelve aquellos diseños en que no es posible realizar cambios en la arquitectura y tampoco pueden utilizarse centralizaciones de tráfico (tipo proxy o protocolos de redirección) sin peligro de sobrecargar las máquinas intermedias.

 

Otra posibilidad del hardware es la utilización de balanceadores de carga, no solamente para equilibrar la carga de tráfico a comprobar sino incluso para implantar funcionalidades antivirus en la propia plataforma balanceo, normalmente switches a nivel de aplicación.

 

• ICAP

Sin embargo, la enorme cantidad de tráfico actual requiere de un rendimiento cada vez mayor en el sistema de filtrado. Es el momento en que aparecen protocolos estándares (ICAP, RFC 3507) que permiten acelerar el acceso, además de abrir las puertas a multitud de servicios como antivirus de pasarela, filtrado de contenidos, modificación y etiquetado de cabeceras, traducción automática de idiomas, inserción automática de publicidad, compresión de datos, etc.

 

Los antivirus basados en ICAP tienen dos posibilidades de implantación, dependiendo de si la redirección al servidor de filtrado se realiza inmediatamente después de la solicitud del cliente (modo “request”) o tras la respuesta del servidor de destino (modo “response”). Normalmente se asocia el filtrado de acceso al modo solicitud y el filtrado de contenido al modo respuesta; aunque esto puede variar dependiendo de qué se considere tráfico entrante y tráfico saliente.

 

El protocolo ICAP permite una sinergia con los sistemas de proxy-caché existentes, fusionando el filtrado de tráfico con la funcionalidad antivirus propiamente dicha y aprovechando que se ha almacenado previamente tanto el acceso como el contenido en el propio caché antes de redirigir al servidor de filtrado, lo que acelera enormemente el tráfico.

 

 

 

Conclusiones

 

El diseño de la arquitectura correcta es una de las labores más complejas en la implantación de sistemas de antivirus de pasarela. Para ello es necesario partir de la toma inicial de datos de la infraestructura para confeccionar la matriz de flujo de tráfico; a partir de la cual se deriva el diseño de la arquitectura y la elección de los productos adecuados, además de los requisitos de máquina y detalles de la implantación.

 

 

 

 

Referencias

 

• “Worldwide Antivirus Software Forecast and Analysis, 2003-2007: Return of the Consumer”, informe de Brian E. Burke para IDC, Agosto de 2003. (http://www.idc.com/getdoc.jhtml?containerId=29953) 
• “The Worm Information Center ”, por Stuart Staniford (Silicon Defense) (http://www.networm.org/faq/) 
• “RFC 3507: Internet Content Adaptation Protocol” (http://www.i-cap.org/spec/rfc3507.txt)

 

 

 

 

 

Sobre los virus

Una de las mejores webs de Antivirus es el Centro de Alerta Temprana sobre Virus Informáticos, una propuesta de varios Ministerios y entidades colaboradoras públicas y privadas. Se puede encontrar tutoriales, una gran base de datos de virus, descripciones y calendarios de activación y estadísticas de infección.

The Worm FAQ es una fuente muy importante para conocerlo todo sobre los gusanos.

 

Antivirus monopuesto

Existen multitud de antivirus para puestos de trabajo, pero puede ser particularmente interesante el PC Cillin Internet Security para tiempo real o el Trend Micro System Cleaner si se quiere escanear todo el disco duro sin instalar antivirus. Sin embargo, al parecer hay un consenso entre los creadores de virus, que consideran el AVP Kaspersky Labs como el mejor antivirus. Panda Software es la única empresa española que desarrolla actualmente software antivirus.

• Trend Micro PC-Cillin Internet Security protege de virus el puesto de tabajo en tiempo real además de filtrar POP3. Es posible descargarse el software, la guía de inicio rápido y un readme.txt. Se necesita el registro para la actualización de patrones y versiones.
• ISS BlackICE PC Protection es un sistema híbrido de protección de intrusiones en red, protección contra ejecución de aplicaciones y de acceso a la red y comprobación de integridad del sistema.
• Windows Washer limpia el PC de ficheros temporales e históricos. La versión demo no permite realizar limpiezas programadas.
• Entre los programas que eliminan el spyware se encuentran Ad-aware 6.0 , SpyBot, Search and Destroy (uno de los mejores), Hijack This! (mencionado en muchos sitios) y Spy Sweeper. Winpatrol Monitoriza el PC en intervalos de tiempo detectando las diferencias.
• Processes in Windows NT/2000/XP
.
• Respecto a los programas que eliminan las ventanas en la navegación, los más populares son Popup Stopper y Stopzilla
• Patchfinder 2.10 es una utilidad de diagnóstico para localizar bibliotecas del sistema y compromisos del kernel por los rootkits más modernos: Hacker Defender, APX, Vaniquish, He4Hook, etc.

Los muy muy duros pueden probar la ingeniería inversa tras leerse el artículo Reverse Engineering Malware y hacer prácticas con el IDA Pro Disassembler and Debugger, presentándose a los retos del HoneyNet Reverse Challenge o el Reto de Análisis forense de RedIRIS (resultados).

Últimamente están de moda las bombas de descompresión, que pueden limitar el rendimiento de los antivirus que escanean en ZIP.

Ej:   dd if=/dev/zero bs=1k count=10000 | gzip - > testfile.gz

 

Pruebas de virus

El EICAR (European Institute of Computer Anti-virus Research) mantiene un fichero de prueba de antivirus, no propagable y sin un "payload" dañino (carga vírica). Es una de las mejores pruebas para comprobar de forma segura si un antivirus se está ejecutando o no. El Test VEMLIE comprueba si un sistema es vulnerable a la autoejecución de pogramas .bat en el e-mail. VDAT es una web muy completa sobre colecciones de Virus.

 

VX scene

Es comúnmente aceptado que 29A es el mejor grupo de investigación de virus del mundo. Su política implica que cualquier virus desarrollado por el grupo, se confina internamente y se prohíbe su propagación. En uno de sus últimos e-zines se repasa la virus-scene (Situation in VX scene) y pueden encontrarse muchos links interesantes como la Reference guide to VX sites. Merçé Molist realizó recientemente una entrevista a VirusBuster. WinterMute mantiene en su web un Curso sobre Programación de Virus. IKX, menos conocido, es el otro grupo dentro de la VX Scene.  Entre los troyanos más conocidos se encuentran Back Orifice 2000 (originario de "Cult of the Dead Cow" y de L0pht), SubSeven, NetBus y Hack'a'tack.

 

Creación y estudio

La Universidad de Calgary es la primera en incorporar a sus planes de estudio el funcionamiento y la creación de virus. Un artículo técnico de Microsof denominado Virus Hunting: Understand Common Virus Attacks Before They Strike to Better Protect Your Apps ayuda a comprender el funcionamiento de los Virus.

 

Virus históricos

• De entre los gusanos con mayor potencial de propagación se encuentran el SQL Slammer (más detalles técnicos), del cual se ha publicado el código fuente. Microsoft ha tomado contramedidas posteriormente.
• El virus de tipo gusano Blaster es uno de los más peligrosos últimamente. Para desinfectarse en Windows XP, es necesario dehabilitar la opción de Restaurar el sistema de forma automática, descargarse un parche y desinfectarlo con un antivirus actualizado.

Cómo eliminarlos

Una vez detectados los ficheros peligrosos, es necesario eliminar el proceso asociado con PSkill y luego borrarlo del disco duro y del registro.

 

 

Mis Virus  

Estos son virus que he localizado alguna vez en mi PC o en el de amigos y compañeros, que documento por si me los vuelvo a encontrar.

Webadmin for Ebates

Este Spyware al parecer viene incluido con el software Peer to Peer de descarga de música Morpheus. Aunque crea una entrada en el Panel de Control / Añadir y quitar programas, el proceso crea un clon de sí mismo cuando se intenta eliminar; por lo que es necesario finalizar el proceso con el administrador de tareas, eliminar el directorio (comúnmente en "C:\Archivos de Programa\Webadmin for Ebates") y eliminar la entrada en la clave del registro Run (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run).

SPYW_HOTKEYS.A

El fichero C:\windows\system32\h@tkeysh@@k.dll es un virus de tipo keylogger, que captura las pulsaciones de teclado.

La primera incidencia se detectó en octubre de 2004 y el máximo grado de infección ha sido en Junio de 2005. Se ha detectado con TrendMicro, pues el Microsoft AntiSpyware beta no lo ha hecho saltar. Al parecer viene incluido en los crackeadores generados con el Trainer Maker Kit. Otros alias son: SPYW_HOTKEYS.A, \Dropper-HOTKEYSHOOK Virus, HOTKEYS, TROJ_HOTKEYHOOK, TROJ_HOTKEYS, TROJ_HOTKEYS.DLL, etc.

Pendientes

Esta es una lista de virus pendientes de investigar:

• TROJ_FLDR.UDP.20 en el fichero udpflood.exe de la utilidad FOUNDSTONE udpflood.zip
• BOOTKILL en el fichero KILLFC.COM del Scan of the month 26 killfc.zip
• TROJ_IIS.A y TROJ_IIS.G en el Hacking Windows Masterclass Hak ficheros ispc.exe, j.exe, jill-win32.exe y xfocus\iissystem\ispc.exe
• TROJ_BEADMIN.A en el fichero beadmin.exe del Hacking Windows Masterclass
• TROJ_BRIDGE.A en el fichero start.exe del o-nwg233.zip (Newsgator)
• TROJ_DLOAD.A en el fichero BridgeX.dll dentro de bridge-c1[1].cab (un temporal de Windows Update ¿¿¿???)