buenas 8)
fuente:
http://www.hispasec.com/unaaldia/1863Uno de los recientes gusanos que han saltado a la palestra, Mimail.C,
utilizaba el formato de compresión ZIP para distribuirse,
característica que le permite traspasar la mayoría de filtros
perimetrales basados en extensiones potencialmente peligrosas. En el
futuro, otros especímenes podrían utilizar técnicas similares para
burlar también a los antivirus instalados en el perímetro. Desde
Hispasec vamos a ver un ejemplo muy básico de un hipotético gusano de
este tipo para concienciar de la importancia de mantener y no
descuidar la protección de las estaciones de trabajo.
El uso del formato ZIP escogido por el creador de Mimail.C puede ser
interpretado a primera vista como una medida de Ingeniería Social, ya
que es común que los usuarios intercambien fotos y archivos en dicho
formato. Por otro lado, cada vez son más los usuarios que desconfían
de los archivos ejecutables que llegan adjuntos por e-mail, por
ejemplo con extensión EXE, presentación típica de los gusanos. Es por
ello que un archivo con formato ZIP parece, de entrada, mas confiable
para un usuario y, por tanto, aumenta las posibilidades de engaño.
Por contra, requiere que el usuario lo abra con un descompresor y lo
ejecute, algo muy fácil en el caso del formato ZIP, ampliamente
reconocido y utilizado.
Filtros genéricos
Desde el punto de vista de las soluciones de seguridad, esta
característica del gusano le ha hecho inmune a los filtros basados en
la extensión de los nombres de archivo, muy comunes por ejemplo en
servidores de correo, sin olvidar algunos clientes como las nuevas
versiones de Outlook. Estas soluciones se basan en impedir el paso o
acceso a los archivos que contengan determinadas extensiones
utilizadas masivamente por los gusanos y el malware en general, o que
se consideran potencialmente peligrosas.
Estas políticas, que limitan el tipo de archivos que pueden ser
recibidos, pueden parecer demasiado restrictivas cuando se aplican a
un gran número de usuarios en bloque, como ocurre cuando se implantan
en servidores de correo. Sin embargo la experiencia demuestra que
estas prácticas no resultan muy intrusivas, ya que los usuarios no
tienen necesidad de enviar/recibir este tipo de formatos ejecutables
y, en caso estrictamente necesario, pueden hacerlo empaquetándolos
con utilidades como los compresores sin verse afectados por el
filtro.
Respecto a su efectividad, este tipo de filtros pueden prevenir de
forma genérica, a bajo coste, y sin necesidad de actualizaciones
constantes, la mayoría de los gusanos de Internet que hoy día se
propagan a través del correo electrónico atendiendo únicamente al
formato o extensión del nombre de archivo.
Por contra, los filtros basados en extensiones de archivo pueden tener
un gran impacto en el trabajo diario si se incluyen algunos formatos
que son ampliamente utilizados, como es el caso de los documentos de
las aplicaciones Office, y que igualmente pueden albergar virus,
gusanos y todo tipo de código malicioso. De forma que los filtros son
un complemento a tener en cuenta, pero no pueden de ninguna forma
sustituir al antivirus.
Antivirus
Llegados a este punto, son los antivirus, con su capacidad de analizar
el contenido interior de los archivos, los más fiables para detectar
con certeza el malware. En el caso de Mimail.C, que viaja oculto en un
ZIP, el antivirus perimetral detecta que el archivo está comprimido,
lo descomprime, y analiza el ejecutable EXE que se encuentra en su
interior. Si el antivirus había sido actualizado y tenía la firma de
este nuevo gusano, el ZIP puede ser detectado sin problemas y prevenir
que llegue al usuario.
Con respecto a los filtros, los antivirus pierden poder de prevención
proactiva, ya que se basan en buscar concordancias con firmas de
especímenes conocidos. Un gusano de nueva creación, aun teniendo
extensión EXE, pasaría el análisis del antivirus en el perímetro. Esa
es la ventana de tiempo, entre la aparición de un gusano nuevo y la
disponibilidad/actualización de la firma, en la que un antivirus no
puede protegernos, permaneciendo vulnerables durante horas en el mejor
de los casos.
Soluciones mixtas
Muchas soluciones antivirus han decidido, con acierto, complementar
ambas estrategias, e incorporan la posibilidad de configurar filtros
genéricos por extensiones y formatos potencialmente peligrosos,
previniendo la entrada a los sistemas y redes corporativas de una
buena parte de los virus y gusanos aunque sean de nueva creación,
junto a detectores antivirus que analizan el resto de archivos y
datos a la búsqueda de firmas reconocidas como malware.
Estas soluciones, en especial las instaladas en el perímetro, permiten
establecer unas políticas corporativas de contenidos genéricas y
proactivas de forma centralizada, a la vez que aprovechar la
especialización de los antivirus actualizados de forma constante
contra el malware.
Algunos antivirus dan un paso más y, visto el auge del spam,
incorporan funcionalidades como filtros bayesianos, listas negras de
relays, etc., que además del correo comercial no solicitado, también
permiten desechar de entrada algunos gusanos y malware atendiendo
únicamente a aspectos de los mensajes.
Debilidades en el perímetro
No es la primera vez que desde Hispasec se analizan las debilidades
intrínsecas de las soluciones antivirus perimetrales. El hecho de
situar en un punto de tránsito el motor antivirus tiene la ventaja de
poder abarcar el análisis centralizado de todo el tráfico entrante y
saliente, pero también supone importantes trabas para su trabajo.
Entre los problemas con que deben enfrentarse estas soluciones
destacan el poco tiempo disponible para realizar el análisis y la
necesidad de minimizar al máximo los recursos consumidos. De no ser
así tendrá problemas de rendimiento, saturación o desbordamiento
cuando se sucedan los picos de tráfico, resultando inútiles.
Debido a estos requerimientos, los motores antivirus instalados en
el perímetro simplifican al máximo el análisis, basándose
principalmente en la detección clásica por firmas. Evidentemente
es inviable que pueden utilizar técnicas más sofisticadas que sí
pueden incorporar algunos antivirus de escritorio, como por ejemplo
la emulación de código, por los recursos y tiempo que consumiría.
Otro de los grandes talones de Aquiles son los protocolos o formatos
que empaquetan la información, haciendo imposible al antivirus poder
analizar el contenido que viaja en su interior. Un ejemplo claro lo
tenemos en el protocolo HTTPS, que crea una sesión cifrada entre el
servidor web y el navegador del cliente, impidiendo que la solución
instalada en el perímetro, ya sea un filtro de contenidos o antivirus,
pueda detectar nada.
El uso del formato ZIP por parte de Mimail.C para distribuirse por
e-mail puede representar el origen de una corriente de nuevos gusanos
que intenten nuevas técnicas de ocultación durante el tránsito para
burlar las protecciones perimetrales.
Dificultando el reconocimiento a los antivirus y filtros
Desde el punto de vista de un antivirus en el perímetro la detección
se produce a través del análisis del código. Una vez extraído el
ejecutable que se encuentra en el ZIP, se compara su código con una
base de datos de firmas de virus (porciones de código de los virus
conocidos). Si existe coincidencia, hemos encontrado al gusano.
Si además de comprimir, utilizamos funciones de contraseña y cifrado,
podemos obtener un archivo que contiene un ejecutable que los
antivirus no pueden extraer y, por tanto, comprobar si se trata de un
virus o no. Para que el virus sea efectivo debe, mediante algún tipo
de engaño, proporcionar la contraseña al usuario y convencerlo para
que lo descomprima y ejecute.
Esta técnica ya ha sido utilizada de forma masiva para evitar a los
antivirus, durante este verano pudimos ver como se distribuyó un
troyano mediante spam que viajaba adjunto en este mensaje:
Cuerpo:
Hi! As I've promised I'm sending you my photo
Use old password: 123
El archivo adjunto, "MyProfile.zip", incluía en su interior un
troyano comprimido y protegido con contraseña. El ZIP pasaba a través
de los antivirus, que no podían examinar su interior al estar
protegido, y los usuarios podían descomprimirlo e infectarse gracias
a que la contraseña se suministraba en el mensaje.
Afortunadamente en este caso se trató de un envío único manual, a
través de spam, y el archivo "MyProfile.zip" no variaba. En caso de
tratarse de un gusano, capaz de autoenviarse, los antivirus podrían
haber incluido directamente en sus actualizaciones la firma del
archivo "MyProfile.zip", de forma que identificarían al archivo
comprimido como infectado, sin necesidad de descomprimir y examinar
el archivo interior.
Pero, ¿que ocurre si el gusano es capaz de comprimirse y cifrarse en
base a una contraseña al azar antes de cada autoenvío?. En ese caso
tendríamos envíos de archivos con aspectos externos diferentes, ya que
la contraseña se utiliza como clave para el cifrado simétrico del
archivo, dando como resultado diferentes archivos, con diferentes
firmas, según la contraseña utilizada.
Llegados a este punto tendríamos un archivo protegido, de forma que
los antivirus no pueden examinar su interior, y que tampoco podrían
reconocerlo por su aspecto exterior ya que varía en cada envío al
utilizar diferentes contraseñas.
Soluciones
Si nos basamos en el formato ZIP, que ya de por si tiene algunas
debilidades por diseño en su algoritmo, existen diversas soluciones
para atajar este hipotético gusano en tránsito, por ejemplo se
almacena en el ZIP en texto claro algunos datos como el nombre,
tamaño o CRC del archivo original, que podría permitir detectarlo de
forma rápida si el gusano no utiliza funcionalidades extras para
modificar algunos de sus aspectos más externos.
Sin embargo, partiendo de un esquema similar, existen otras muchas
posibilidades de abordar un diseño más optimizado del gusano que
pondría en serio aprieto a los antivirus en el perímetro.
Algunas de las limitaciones con las que se encuentran los antivirus
en el perímetro desaparecen en la estación de trabajo. Por ejemplo,
en el caso de un ZIP protegido con contraseña o un archivo cifrado,
al extraerlo se realiza una copia del original en el disco, momento
en el cual nuestro antivirus residente podría identificarlo sin
problemas.
La moraleja es que, si bien los antivirus y filtros instalados en el
perímetro son muy recomendables, dotando a la red de una capa
adicional de protección que permite de forma centralizada detectar
la mayoría de los virus y gusanos, la estación de trabajo continúa
siendo el punto más importante en la lucha antivirus. Las soluciones
perimetrales corporativas no deben ser excusa para relajar la
seguridad de los PCs.
saluets :shock:
