Ha sido sin duda un año repleto de noticias importantes en el campo de la seguridad informática, en el que hemos visto como grupos hacktivistas como Anonymous han puesto en jaque a empresas y gobiernos, se han seguido produciendo ataques a sistemas SCADA de control de infraestructuras críticas y las redes sociales y los dispositivos móviles se han convertido en el nuevo objetivo de los cibercriminales.

¿Y que nos espera de cara a 2012? Pues seguramente este año será igual o más prolífico en materia de seguridad informática, por lo que debemos estar atentos a las noticias y tomar las medidas oportunas para protegernos.

Podéis consultar el informe completo a continuación:

Una de las características que hacen de este malware un ejemplar singular es que se parece bastante a Stuxnet, uno de los gusanos más sofisticados (si no el que más) de los detectados en los últimos años. Ahora nos encontramos en el proceso de diseccionar  los binarios de Duqu.

Tras unos primeros análisis preliminares es evidente que Duqu está basado en el código fuente de Stuxnet. Desde el punto de vista de la arquitectura del malware, Duqu es prácticamente idéntico a Stuxnet: en esencia, hay un driver en modo kernel que inyecta una librería DLL en procesos específicos del sistema. Esta DLL incluye la carga maliciosa en su interior y exporta una serie de rutinas que realizan unas acciones específicas. Además de las similitudes en la arquitectura, los módulos de Duqu son muy similares a Stuxnet desde un punto de vista binario: se usaron las mismas clases y estructuras para compilar tanto Stuxnet como Duqu. Obviamente, estos módulos no son 100% idénticos, pero hemos encontrado patrones idénticos de código.

Desde que los investigadores empezaron a analizar Duqu se han formulado muchas preguntas, muchas de las cuales permanecen sin respuestas. En concreto, no tenemos ninguna información (pública) sobre el archivo que descargaba Duqu ni de cómo y cuándo se instaló en las máquinas infectadas. Esta información es vital a la hora de realizar un análisis forense. Con respecto a la fecha en la que este malware fue  instalado, esta puede encontrarse en el archivo de configuración. Debido a que Duqu tiene especificado permanecer en el sistema solo durante un periodo de tiempo (después del cual se elimina del sistema), creemos razonable asumir que la fecha de la infección se almacenaba en algún lugar del archivo de configuración. No fue difícil averiguar el código responsable de implementar este almacenamiento y, por tanto, determinar qué ubicación se usaba  en los datos de configuración para almacenar la fecha de la instalación.

La fecha en la que Duqu se ejecuta por primera vez en el sistema infectado se almacena en format UTC, en el offset 0×123 desde el principio del archivo de configuración. Basándose en estos datos, es posible determinar la fecha en la que Duqu penetró en el sistema.

En el informe “Duqu: el precursor del siguiente Stuxnet”, el autor menciona que una de las modificaciones de Duqu que ellos analizaron tiene una esperanza de vida de 36 días y, cuando alcanza esa fecha, el malware se elimina a si mismo del sistema.

Para obtener este valor necesitamos descifrar el archivo de configuración con el siguiente criptoalgoritmo personalizado:

Resulta interesante destacar que el array gamma usado para descifrar los datos consiste en 8 elementos, de los cuales solo los 7 primeros son usados. A pesar de que esto puede ser intencionado, consideramos que es más probable que se trate de un pequeño error en su implementación.

Basándonos en el análisis de varias muestras, observamos que la esperanza de vida es diferente según la muestra analizada. Este valor se define en los datos de configuración (palabra en el offset 0x124E). En las imágenes mostradas a continuación se pueden ver fragmentos de archivos de configuración mostrando información acerca de la esperanza de vida.

• Datos de configuración resaltando la fecha en la que infectó el sistema: 11/08/2011 a las 07:50:01 y con una esperanza de vida de 36 días.

Desde Ontinet.com, distribuidor en exclusiva para España de ESET, hemos querido conocer qué tipos de medidas adoptan los usuarios para proteger sus dispositivos y, por eso, durante las últimas semanas realizamos un estudio en nuestra web. Los resultados se pueden consultar en la siguiente presentación:

De este estudio se pueden sacar conclusiones interesantes, como el predominio del teléfono móvil sobre los portátiles o los tablets a la hora de elegir un dispositivo que llevarnos de vacaciones. Asimismo, muchos siguen usando este tipo de dispositivos para cuestiones laborales, aun estando de vacaciones, aunque las redes sociales también tienen un uso significativo.

No obstante, no debemos bajar la guardia, ni siquiera en vacaciones, en materias relativas a la seguridad de nuestros dispositivos, ya que estos también se ven afectados por varias amenazas. Es por eso que, desde el laboratorio de ESET en Ontinet.com, aconsejamos seguir estos sencillos pasos:

• Usar contraseñas de acceso a todos y cada uno de nuestros dispositivos, y no solo de arranque, sino también en situación de stand-by o espera. Junto a esta buena práctica, también se ha de tener como costumbre el cambiar nuestras contraseñas de forma regular.

• Utilizar buen software de seguridad, no solo para evitar posibles infecciones, sino para tener la posibilidad de acceso remoto, en caso de robo o extravío, a la información almacenada en el móvil, por ejemplo, lo que nos permitiría tener total control sobre nuestros datos.

• Usar, asimismo, software de cifrado de los datos de nuestros discos duros, lo que evitará que terceros accedan a nuestra información sin nuestro conocimiento o consentimiento.

• Evitar conectarnos a redes Wi-Fi públicas, gratuitas y sin contraseñas, que pueden ser trampas para la interceptación de nuestra información privada.

• Y ya que viajamos con nuestros dispositivos, cuidarse siempre de dejarlos a buen recaudo, sobre todo en sitios públicos, evitando así la tentación de los típicos descuideros que van aprovechando los despistes de los turistas.

Y ante cualquier eventualidad, es muy importante reaccionar rápidamente:

• Denunciar la pérdida o el robo a la policía.

• Cancelar las tarjetas de crédito si hemos realizado operaciones con ellas a través de los dispositivos móviles.

• Cambiar las contraseñas de acceso a los servicios más comunes que utilicemos.

• Notificar a nuestro operador la incidencia para proceder a la cancelación de las tarjetas SIM.

Con estos sencillos pasos evitaremos tener un disgusto con nuestros dispositivos móviles, o, al menos, saber cómo reaccionar ante cualquier eventualidad en futuras vacaciones.

Josep Albors

En Ontinet.com, distribuidor en exclusiva para España de ESET deseamos conocer los hábitos de los usuarios a la hora de usar y proteger sus dispositivos móviles en vacaciones. Es por ello que hemos preparado una encuesta para conocer estos hábitos, al cual pueden acceder pulsando sobre la siguiente imagen:

Como agradecimiento a los minutos dedicados a realizar este cuestionario, queremos ofrecer a todos los usuarios que lo completen una versión completamente funcional de ESET NOD32 Antivirus durante 90 días. De esta forma, podrán despreocuparse de la protección de sus equipos y dedicarse a lo que realmente importa en esta época, ¡disfrutar de las vacaciones!

El equipo de Ontinet.com

Actualmente, los ciberdelincuentes se centran en crear malware multiplataforma, tal y como hemos publicado en entradas anteriores, para así afectar a la mayor cantidad de usuarios, independientemente del sistema operativo que utilicen.

Según nos informan desde el blog clickpcrx.blogspot.com, actualmente existen alrededor de 300 amenazas especialmente diseñadas para plataformas Mac OS X. Algunas de ellas, simplemente son de tipo adware que intentar sacar dinero a usuarios incautos, pero otras son herramientas muy peligrosas que pueden secuestrar datos bancarios o incluso, pueden entregar el control del equipo a un atacante.

A continuación les mostramos las 5 amenazas existentes más peligrosas para sistemas Mac OS:

• Trojan.OSX.Jahlav.A – El códec falso

  La muestra OSX.Jahlav fue descubierta en noviembre de 2008, cuando empezó a ser distribuido como un códec de vídeo falso.

  Con el fin de atraer a los usuarios para descargar e instalar el malintencionado DMG de archivos, los creadores de este malware crearon una página con un vídeo “irreproducible”. Si el usuario instalaba este supuesto codec, comenzaba a descargarse troyanos maliciosos adicionales desde un servidor web remoto.

• Trojan.OSX.RSPlug.A – El porno puede producir ataques de phishing

  Esta es una de las muestras más peligrosas de malware para sistemas Mac OS X. El troyano RSPlug también utiliza la escusa de un codec necesario para persuadir al usuario a descargar e instalar el DMG infectado.
  
  
  Está presente, sobre todo, en los sitios web con contenido pornográfico. Una vez instalado, el troyano suplanta los servidores DNS para redirigir el tráfico a páginas de phishing, para así recoger información crítica acerca de las cuentas bancarias, correo electrónico y demás datos críticos del usuario.

• Tool Trojan.OSX.HellRTS.A – La herramienta de acceso remoto

  Se trata de un kit de desarrollo de software malicioso complejo que permite a un atacante crear su propia pieza de malware para Mac OS X en un abrir y cerrar de ojos. El paquete contiene una aplicación cliente-servidor, donde el servidor es el servicio de puerta trasera que se ejecuta en la máquina infectada y la aplicación cliente es usada por el atacante para ejecutar comandos. Aparte del cliente y el servidor, el paquete contiene un Configurador que “afina” aspectos del troyano.

  Si el sistema ha sido infectado con éxito, un atacante remoto puede realizar una amplia gama de operaciones en el ordenador infectado, que van desde bromas molestas, a operaciones extremadamente dañinas. El atacante también puede ver el trabajo del usuario sin su conocimiento a través del módulo de Vista del escritorio.

• Trojan.OSX.OpinionSpy.A – Salvapantallas de MAC

  Este malware se instala normalmente a través de aplicaciones de libre distribución como salvapantallas, archivos de audio o conversores de vídeo. El programa de instalación de estas aplicaciones trae consigo un paquete de software espía, para instalarse y ejecutarse con privilegios de root. OpinionSpy.A se plantea como una herramienta de investigación de mercados, no solo recoge los hábitos de navegación de los usuarios y sus preferencias, sino que también abre puertas traseras y observa un gran número de documentos que se encuentran en las unidades locales y remotas. Este troyano plantea un gran peligro para la privacidad del usuario y para la seguridad de los datos almacenados.

• Trojan.OSX.Boonana.A – El Gusano de redes sociales

  Boonana.A es un malware multiplataforma basado en Java que se puede ejecutar en Windows, Mac OS X o Linux y que descarga software malicioso. Entre sus acciones está la de alojar un par de archivos maliciosos en la carpeta principal del usuario en una carpeta invisible llamada “. Jñana“. A continuación, instala un servidor de IRC local y uno web, entre otros. El malware Boonana también intenta cambiar la configuración del servidor DNS con el fin de realizar ataques de phishing.

Lo mostrado aquí es simplemente una demostración de que si que existe malware de todo tipo para sistemas Mac OS X. Actualmente este tipo de sistemas trabajan conjuntamente en redes con sistemas Windows, esto puede suponer un riesgo para la seguridad de la red, ya que existe también malware con el objetivo de infectar sistemas Mac OS X para penetrar en los sistemas Windows de la red. Por ello desde el departamento técnico de ESET en Ontinet.com, les aconsejamos aplicar los consejos de seguridad recomendados en nuestro blog o en nuestra página web, además de utilizar un software de seguridad para estar protegidos correctamente de estas y otras amenazas.

David Sánchez

Como no, también se habla, largo y tendido, de lo que nos puede deparar el año próximo. También al finalizar la primera década del 2000, nos podemos encontrar, para amenizar las navidades, curiosos rankings de todo tipo, como los mostrados en best.complex.com.

Alejándonos un poco de este tipo de rankings y centrándonos en la seguridad, que es realmente lo que nos interesa, nos podemos topar, en esa misma página, con un interesantísimo ranking, (en inglés), de los 50 virus más dañinos desde 1980.

A continuación, les mostramos el enlace para ver el ranking de virus más peligrosos:

http://best.complex.com/lists/Historys-50-Deadliest-Computer-Viruses

Van ordenados por nivel de peligrosidad y se muestran desde los primeros virus para Windows y Mac, como Baza, Score y MacMag, pasando por los famosos Michelangelo, Anna Kournikova y I Love You, (que se posiciona en el número dos del ranking de virus más peligrosos). No podían faltar en la lista Netsky, Baggle, Sasser y Mydoom, que bastantes dolores de cabeza causaron a los usuarios. Por último, también aparece Stuxnet en la posición número 10 y, cómo no, el Conficker en la primera posición de este ranking.

Desde el departamento técnico de ESET en Ontinet.com, les aconsejamos echar un vistazo a este ranking y rememorar viejos tiempos, que tampoco fueron mejores en materia de seguridad.

David Sánchez

El rootkit TLD3 es nombrado por la mayoría de casas antivirus como Alureon o Olmarik, y se sospecha que en su creación y desarrollo han participado grupos de ciberdelincuentes muy conocidos por las empresas de seguridad.

Las características principales de este rootkit son las siguientes:

• Inicialmente, afecta a los recursos del driver del minipuerto \systemroot y directamente reemplaza todas las cabeceras IRP. Eventualmente, también comenzó a infectar a drivers al azar en lugar de al minipuerto al que apuntó previamente en la memoria.

• A continuación, se interceptan todos los procesos que se cargan en el kernel32.dll. Una vez hecho esto, la máquina puede convertirse en zombi y ser parte de una botnet.

• El archivo Config.ini, uno de los componentes de la infección, contiene la configuración de la botnet, los comandos a ejecutar, ID de los servidores bot y correo electrónico. Además realiza una conexión SSL con los servidores para evitar los filtros HTTP.

Disponen de más información acerca de TLD3 y cibercriminales en los siguientes enlaces:

• Informe de ESET, creado por Alexandr Matrosov, (Experto en investigación de malware), y Eugene Rodionov, (Analista de Rootkits)
• Conferencia presentada por Joe Jhonson, (Ingeniero en desarrollado de software de Microsoft )

La novedad reside en que se creía con certeza que el núcleo de los sistemas de 64Bits era inexpugnable, creencia que el rootkit TLD se encargó de destruir. Por ello, desde el departamento técnico de ESET en Ontinet.com, además de explicarles a groso modo el funcionamiento de este rootkit tan específico, queremos hacer hincapié en que no existe ningún sistema 100% seguro. Si los creadores de malware o grupos de cirberdelincuentes, ya sea por rentabilidad o interés, ven la oportunidad de explotar un sistema o software específico, seguramente lo consigan.

David Sánchez

Muchas empresas de seguridad están analizando su código línea por línea para intentar obtener algo de información. Entre ellas se encuentra ESET, que está realizando una profunda investigación respecto a Stuxnet.

Muchas de las preguntas todavía se encuentran sin responder, pero por ejemplo se van conociendo detalles, tal y como comenta David Harley en su blog, jefe de investigadores de ESET. De esas investigaciones se sabe que alguno de los desarrolladores tiene conocimientos de SCADA, software de Siemens y SQL. Estos conocimientos no son los normales en hackers de alquiler contratados anteriormente, por gobiernos o grupos militares, para el llamado espionaje cibernético.

Otro detalle, es que uno de cada tres de los sitios SCADA afectados se encuentran en Alemania donde, a diferencia de Irán, no aparece en la telemetría de los laboratorios de ESET con un alto volumen de infecciones.

Desde el departamento técnico de ESET en Ontinet.com les mostramos este interesante informe de los estudios realizados por los laboratorios de ESET sobre el virus Stuxnet, donde, además de intentar dar respuesta a algunas cuestiones interesantes, se discuten algunas de las características de este código malicioso fascinante y variado.

David Sánchez

En esta ocasión, ha sido la empresa Cyveillance la que ha presentado su polémico informe sobre la detección de malware por parte de los antivirus. Según se afirma en este informe, las empresas antivirus tan solo detectan de media un 19% del nuevo malware, subiendo ese porcentaje hasta el 61% pasado un mes. Esta tasa de detección especialmente baja puede hacer sonar las alarmas en más de un usuario preocupado por su seguridad, por lo que convendría aclarar algunos aspectos sobre cómo se ha realizado esa comparativa y porque difiere tanto de otras comparativas con mas reputación.

Como ya se han encargado de comentar mis compañeros Randy Abrams de ESET y Sergio de los Santos de Hispasec, hay una serie de aspectos que no quedan del todo claros tras analizar esta comparativa:

- El primero de ellos es que el número de muestras usadas (1708) es, a todas luces, insuficiente. Hablar de esa cantidad, en un escenario en la que los laboratorios de ESET detectan una media cercana a 200.000 muestras únicas al día, es quedarse muy corto.

- La elección de las muestras también resulta polémica. Según la empresa que hizo la comparativa, para catalogar una muestra como malware, esta debía ser detectada por, al menos, 3 de los 13 motores antivirus analizados. Como bien apunta Sergio , su experiencia en el servicio Virustotal demuestra que la detección de malware “fresco” es, normalmente, menor a esos 3 motores y que, además, se produce un elevado número de falsos positivos, lo que podría llevar a catalogar como malware archivos inofensivos.

- Aunque no se indica, todo apunta a que solamente se ha usado el método de detección por firmas de virus para realizar esta comparativa. Este método que fue clave hace años, ahora es tan solo una parte más de los motores antivirus, ya que es imposible crear bases de firmas para la ingente cantidad de malware que se detecta cada día. Es por ello que los antivirus integran otros métodos como la heurística o el análisis dinámico, permitendo la detección de amenazas observando su comportamiento o analizando su código. Poner unos antivirus a intentar detectar muestras en un entorno cerrado, usando tan solo una parte de su capacidad de detección, no es representativo del entorno real que tienen los usuarios.

No obstante, hay que recordar que el antivirus no es la panacea infalible que nos protege frente a cualquier amenaza. Desde el laboratorio de ESET en Ontinet.com nos gustaría recordar que un antivirus es una capa de seguridad básica y fundamental pero que ha de ser complementada con otras medidas, como puede ser la instalación y gestión de un cortafuegos, evitar usar el sistema con permisos de administrador y actualizar el sistema y las aplicaciones que usemos con los parches de seguridad. Todo eso, añadido al uso del sentido común, nos ayudará a evitar problemas de seguridad en nuestro sistema.

Josep Albors

De dicho informe cabe destacar la reducción de ataques durante 2009 respecto al año 2008, aunque dichos ataques han sido más sofisticados y por ello han generado un mayor impacto y repercusión que en 2008.

Al respecto de los puntos importantes tratados en el informe, ofrecemos un pequeño resumen a continuación:

• Podemos ver que Estados Unidos continúa ocupando el puesto número uno del ranking respecto a procedencia de los ataques.

• Los ataques cibernéticos coordinados contra objetivos de carácter religioso, político o económico son cada vez más frecuentes. Esto ha provocado que todas las Naciones tomen medidas al respecto.

• El fraude online desciende en España por primera vez en cuatro años, aunque como comentábamos anteriormente, el impacto ahora es mayor.

• Durante el año 2009 se ha reducido el número total de vulnerabilidades detectadas. Las más llamativas son las de los controles ActiveX de Microsoft y archivos PDF de Adobe y Acrobat Reader.

Pueden leer el informe completo aquí.

Alguna de las conclusiones que se pueden obtener de este informe son, que aunque el volumen de ataques es menor, el malware es más sofisticado y produce un mayor impacto. Además, para su propagación se aprovecha de vulnerabilidades, tanto de los sistemas operativos, como de aplicaciones de uso cotidiano como Adobe. Para evitarlo en la medida de lo posible, desde el departamento técnico de Ontinet.com, aconsejamos a los usuarios realizar las actualizaciones pertinentes en el sistema operativo y también en aplicaciones de uso cotidiano, como navegadores de Internet, Adobe, etc.

Departamento técnico de Ontinet.com