Este documento describe varias técnicas avanzadas utilizadas por malware, incluyendo la creación automatizada de malware, el uso de exploits para aprovechar vulnerabilidades, el uso de scripts maliciosos en páginas web, los ataques "drive-by download", y la manipulación maliciosa de archivos DNS y hosts para redireccionar usuarios a sitios de malware. El documento explica cómo estas técnicas permiten a los atacantes propagar malware de manera masiva e infectar sistemas de forma automática y transparente para los usuarios.

1. Uso Seguro de Medios
Informáticos
Jesús Daniel Mayo
Academia Eset Latinoamérica
Email:jesusmayo09@eset.com
Fecha de Creación: 05/04/2016

2. •Técnicas
Avanzadas de
Malware

3. Introducción
• La evolución de las tecnologías ha provocado que los códigos maliciosos también
se desarrollen de manera paralela a estas, profesionalizando las maniobras
delictivas mediante las cuales los atacantes difunden diferentes amenazas a través
de Internet.
• Esta situación supone un nivel de riesgo mucho más elevado, que requiere de
conocimientos más profundos sobre las amenazas que constantemente intentan
vulnerar el entorno informático mediante la ejecución de técnicas avanzadas de
propagación e infección de malware.
• En este escenario se requiere que los mecanismos empleados para contrarrestar el
impacto negativo de las amenazas estén a la altura de las circunstancias, con
soluciones de seguridad que permitan bloquear los ataques producidos a través de
códigos maliciosos; sin embargo, la implementación de soluciones de seguridad
debe estar apoyada por el conocimiento de los diferentes métodos empleados por
el malware.

4. Creación automatizada de malware
• El número de nuevas variantes de códigos maliciosos que se
publican a diario es muy grande, y esto se ve reflejado
principalmente por su difusión a través de Internet con el
propósito de infectar a la mayor cantidad de usuarios. Durante
el año 2010, los laboratorios de ESET recibieron 200 mil
muestras de malware únicas por día, un valor que crece de
manera cotidiana.
• Si se deja de lado la cantidad y la variedad, no siempre existen
diferencias entre cada uno de los códigos maliciosos, es usual
encontrar un patrón que se repite y no presenta mucha
innovación en el desarrollo. Esto significa que ese código no es
creado desde cero sino que utiliza como base otras amenazas, lo
que da lugar a las variantes de las diferentes familias de
malware.
• Existen diversos programas de creación automatizada de
malware, que brindan la posibilidad de producir códigos
maliciosos sin la necesidad de poseer conocimientos avanzados
de lenguajes de programación ni mucho menos de informática,
permitiendo a cualquier usuario generar amenazas a través de
estos, sin esfuerzo y con sólo unos pocos clics; como por
ejemplo con la interfaz que se presenta en la siguiente captura:

5. Exploiting
• En los últimos años se observó una clara tendencia en cuanto a la
utilización de Internet como plataforma de ataque, a través de la
propagación de códigos maliciosos que emplean determinadas
características para aprovechar vulnerabilidades (error o falla en el
código fuente de un sistema operativo o una aplicación) y lograr así
la infección de entornos informáticos.
• Para llevarlo a cabo se hace uso de lo que se conoce como exploit:
una secuencia de comandos que intenta explotar vulnerabilidades
específicas de un sistema operativo o aplicación.
• Esta acción permite infectar un sistema aprovechando las
vulnerabilidades que se encuentren presentes en el mismo,
existiendo después de la infección la posibilidad de una intrusión no
autorizada por parte del atacante.
• De esta manera se intenta violar las capas de seguridad que se
hayan implementado en el entorno informático y acceder al mismo
de forma no autorizada. Los exploits suelen ser empleados a través
de otras técnicas avanzadas, mediante diferentes métodos que
permiten incrustarlos en páginas web de manera masiva.
• Los gusanos informáticos suelen explotar vulnerabilidades para
propagarse y de esta manera infectar una mayor cantidad de
sistemas.

6. Malware a través de scripting
• Teniendo en cuenta que en la actualidad un gran
caudal de los ataques que utilizan códigos maliciosos
se canaliza a través de Internet, los agresores buscan
automatizar hasta el máximo posible los mecanismos
de infección que les permitan utilizar las páginas web
para fines no éticos. Para ello recurren al empleo de
pequeños programas diseñados para facilitar sus
tareas, que reciben el nombre de script.
• De esta manera, cuando el usuario accede a un sitio
web manipulado, el navegador interpreta el código
script y ejecuta de forma automática sus
instrucciones. El objetivo principal de los script
maliciosos, además de contener uno o varios exploits,
es descargar y ejecutar malware automáticamente.
• Por lo general los scripts maliciosos que se embeben
en páginas web se encuentran escritos en lenguaje
VBScript o JavaScript, aunque no son los únicos
utilizados. Su aspecto es similar al que se aprecia en la
siguiente captura:

7. • Un aspecto a destacar respecto a los script, es que pueden ser inyectados en páginas no maliciosas
aprovechando ciertas vulnerabilidades que van desde errores de programación hasta fallas de
seguridad en los sitios web atacados, e incluso pueden ser inyectados de manera masiva. A través
de este método de ataque un usuario podría verse infectado por la descarga de un código
malicioso, por el solo hecho de acceder a determinado sitio web y que de esa manera se ejecute
malware de manera transparente.
• Una técnica habitualmente empleada es la inyección de etiquetas iframe dentro de una página
web, creando así un marco (frame) interno. Esto provoca que dentro de una página web se abra,
en segundo plano y a través del iframe, otra página web que ejecutará el script malicioso. En la
siguiente captura se aprecia un caso donde al acceder a la página web, esta muestra "error 500",
sin embargo, cuando se analiza el código HTML del mismo, se observa una etiqueta iframe en la
cual se especifica el redireccionamiento hacia una página maliciosa.
• Para que esto suceda, el software atacado (en el servidor web) debe ser vulnerable; es decir, tiene
que estar desactualizado o no contar con determinados parches de seguridad en el sistema
operativo o las aplicaciones instaladas, o contar con contraseñas débiles o por defecto en alguno
de los servicios en ejecución en el servidor.
Malware a través de scripting

8. Drive-by Download
• Las técnicas invasivas que en la actualidad son utilizadas por códigos maliciosos para
llegar hasta la computadora de los usuarios, son cada vez más sofisticadas y ya no se
limitan al envío de malware a través de spam o clientes de mensajería instantánea.
• Un claro ejemplo de esta situación lo constituye la metodología de ataque
mencionada en la sección anterior, denominada Drive-by Download, cuyo objetivo
es infectar los sistemas de los usuarios de manera masiva simplemente a través del
acceso a determinado sitio web.
• Los desarrolladores de malware propagan sus creaciones mediante esta técnica,
aprovechando las vulnerabilidades existentes en diferentes sitios web, al inyectar
código dañino entre su código original.
• Por lo general el proceso de ataque se lleva a cabo de manera automatizada,
mediante la utilización de aplicaciones que buscan vulnerabilidades y, una vez que
encuentran alguna, insertan el script malicioso entre el código HTML del sitio
atacado.
• Para una mejor comprensión, la siguiente imagen muestra las facetas involucradas
durante el proceso de un ataque Drive-by Download:↓

9. Drive-by Download
• El usuario malicioso (atacante) inserta en la página web vulnerada un script
malicioso y luego el proceso continúa de la siguiente manera:
• 1. El usuario (víctima) realiza una consulta (accede a la página web) en el
sitio comprometido.
• 2. El sitio web consultado (servidor o aplicación web vulnerada) devuelve la
petición (visualización de la página) que contiene embebido en su código el
script dañino previamente inyectado.
• 3. Una vez que el script se descarga en el sistema de la víctima, establece
una conexión pero a otro servidor, denominado Hop Point, desde el cual
descarga otros scripts maliciosos que contienen diversos exploits.
• 4. Cada uno de estos exploits tienen el objetivo de comprobar la existencia
de vulnerabilidades que puedan ser explotadas en el equipo víctima.
• 5. En caso de encontrar alguna vulnerabilidad, se ejecutará una instrucción
que invoca la descarga de un archivo ejecutable (el malware) desde otro
servidor o desde el mismo Hop Point.
• 6. Se infecta el equipo de la víctima.
• En consecuencia, la infección del equipo se habrá llevado a cabo a través de
vulnerabilidades en el sistema del usuario. Los script maliciosos involucrados
en ataques Drive-by Download contienen exploits cuyo objetivo primario es
comprobar la existencia de fallas de seguridad en el sistema
víctima, que puedan ser explotadas para infectarlo.

10. Pharming Local
• En la actualidad existe una estrecha relación entre el robo de información y los códigos
maliciosos, que responde al objetivo primario del malware actual: infectar equipos con fines
netamente lucrativos.
• Existe un mecanismo de ataque relacionado con esta situación, denominado Pharming, que
consiste en la manipulación de los registros en servidores DNS 1, con el objetivo de
redireccionar las solicitudes de los usuarios hacia sitios web con contenidos maliciosos. Es decir,
cuando el usuario accede a determinado sitio web, el servidor DNS atacado dará una respuesta
errónea enviando el usuario a una dirección IP maliciosa e incorrecta para dicho dominio.
• Por otra parte, en todos los sistemas operativos existe un archivo de texto llamado hosts,
utilizado para asociar direcciones IP con nombres de dominio, que funciona a modo de DNS. Es
decir, cada vez que un usuario accede a un sitio web, el sistema busca en este archivo hosts si
existe alguna referencia relacionada con la solicitud del usuario, antes de consultar al servidor
DNS.
• Cuando este archivo es manipulado de manera maliciosa, agregando en él información
relacionada con sitios web que contienen componentes maliciosos, recibe el nombre de
Pharming Local. La siguiente captura muestra un ejemplo de archivo hosts
modificado por un código malicioso.

11. • Realizado por: Jesús Daniel Mayo
• Con la Colaboración de: Academia ESET Latinoamérica