Protección contra Malware
Durante nuestro recorrido a través de los malware hemos descubierto cosas sorprendentes, por ejemplo: la capacidad de un troyano para apoderarse de un equipo, los métodos de propagación de un gusano, la potencia de un virus para destruir, lo desapercibido que puede pasar un keylogger y robarnos todo lo que escribimos, la existencia de puertas traseras que podrían instalarse en un sistema y mucho más.
Para colmo de todo esto, descubrimos que con una solución antimalware no estamos seguros; las mismas pueden ser evadidas mediante algunas técnicas que, aplicadas sobre un malware, modifican su código y comportamiento de manera que pasen desapercibidos.
Con estos nuevos conocimientos es probable que la paranoia quiera apoderarse de nosotros; es por eso que dedicaremos esta clase a la prevención, detección y desinfección de malware. En otras palabras más específicas: prevenir una infección, detectar si ya estamos infectados y, si ese es el caso, realizar una correcta desinfección.
Prevención: el mejor antivirus es uno mismo
Sin despreciar a las compañías de soluciones antimalware, debemos saber que el mejor antivirus es uno mismo. Si conocemos los formatos típicos de malware y las técnicas que utilizan los atacantes para propagarlos, será difícil que logren infectarnos.
Descubrir el camuflaje
Es cierto que la forma clásica de infectarse es al ejecutar o instalar programas y juegos descargados de internet, pero, también pudiera ocurrir que nos infectemos al reproducir una canción o abrir una imagen; este hecho puede generarnos confusión y hacernos sospechar de cualquier archivo tengamos en nuestro equipo.
Es verdad que cuando realizamos prácticas con malware siempre creamos un archivo malicioso ejecutable, entonces… ¿porque a veces nos infectamos al abrir una imagen o reproducir música? Esta es una excelente cuestión que deriva en una pregunta contundente, la cual nos responderá todas las dudas: ¿Cuáles son los formatos válidos de un código malicioso?.
Como ya hemos visto, el formato más común de los malware es el ejecutable (.exe). Ahora bien, este ejecutable sólo realiza acciones maliciosas, sin mostrar nada al usuario, lo cual es algo muy sospechoso. Entonces, para reducir la sospecha del usuario, el atacante camufla el ejecutable malicioso ¿de qué forma? Uniéndolo a un programa, a un archivo de música, una imagen, un documento de Word o cualquier otro archivo benigno que se muestre en pantalla mientras el malware lleva a cabo sus acciones.
Para lograr unir un malware con un archivo benigno existen herramientas llamadas joiners, blinders o binders. Las mismas se encargan de formar un único paquete que contenga cada archivo que se quiera ejecutar (malicioso o no), el orden en que deben mostrarse al usuario, entre otros parámetros.
Utilizamos la herramienta Cactus Joiner para unir el servidor de un troyano con una imagen.
Al “compilar el joiner” se creará un nuevo archivo ejecutable (.exe) que contendrá el malware y la imagen (o cualquier otro archivo benigno). Como opción adicional para el camuflaje, los joiners permiten añadir un icono a ese ejecutable final, el cual lógicamente estará relacionado con el archivo benigno. Por ejemplo, si es una canción, el atacante utilizará el mismo icono que muestra Windows al tratarse de un archivo de música.
Finalmente, el malware se verá igual que un archivo de música, incluso al abrirlo comenzará a reproducirse la canción que el atacante unió al código malicioso mediante algún binder. Pero, hay algo que se mantiene intacto y es, precisamente, la extensión .exe. El archivo que crea el binder no es más que un contenedor que lleva dentro el malware y el archivo benigno, para poder ejecutar a ambos archivos necesita ser en sí mismo un ejecutable; es por eso que la extensión seguirá siendo .exe.
Microsoft Windows por defecto oculta las extensiones de los archivos, así que definitivamente nuestro primer paso para descubrir los malware camuflados será cambiar esta configuración.
Panel de control Opciones de carpeta Ver y destildamos la casilla que dice “Ocultar las extensiones de archivo para tipos de archivo conocidos”.
Configuramos las carpetas de Windows para poder ver las extensiones de los archivos.
Con esta nueva configuración podremos detectar aquellos archivos que simulan ser una imagen o una canción pero en lugar de tener extensiones .jpg o .mp3 (como debería ser) llevan la extensión .exe.
Tal comportamiento en un archivo nos da suficientes motivos para eliminarlo de nuestro sistema o analizar sus acciones en un entorno de prueba, lejos de los documentos importantes.
Luego de este análisis podríamos preguntarnos: ¿la extensión .exe es la única utilizada por los malware? No, si bien es la más común no es la única. Hoy en día se han desarrollado complejos troyanos multiplataforma en el lenguaje Java (.jar) así como también distintos lenguajes de scripting como Python (.py) o Perl (.pl). Por supuesto que para poder ejecutarlos se necesita la máquina virtual de Java o, en caso de ser scripting, el correspondiente intérprete del lenguaje. Otros malware, sobre todo los virus, se programan en Batch o VBScript (extensión .bat y .vbs respectivamente).
Troyano multiplataforma programado en Java.
Los caminos del malware hacia nuestra PC
Otro aspecto de suma importancia para evitar ser infectados es conocer los métodos utilizados por los atacantes para propagar sus códigos maliciosos.
El correo electrónico es el principal medio de distribución de malware, por lo tanto, debemos evitar el SPAM y descargar adjuntos que no hemos solicitado. Aun si estos archivos provienen de un correo conocido, ya que es muy fácil falsificar el remitente para que se vea idéntico a un contacto de nuestra lista o a fuentes oficiales.
La mensajería instantánea también se utiliza para distribuir malware. Antes de seguir enlaces que nos envíen por estos medios, debemos confirmar que realmente fue nuestro contacto quien nos lo ha enviado y no un gusano u otro malware que lo haga de forma automática.
También son utilizadas las redes P2P. Como hemos visto, es muy fácil camuflar un malware para que parezca un archivo inofensivo o un programa altamente requerido. Por lo que tendremos que tener sumo cuidado al descargar archivos a través de estas redes.
Por último, otro medio extremadamente usado para propagar malware son aquellos sitios web de descarga de contenidos multimedia como software gratis y videojuegos, cracks de programas, entre otras utilidades. Procuremos evitar descargar contenidos de estas fuentes o, de ser necesario hacerlo, analizar minuciosamente los archivos antes de ejecutarlos.
0 Comentarios