#1 Herramientas de creación de malware y la importancia de la detección heurística
No es una sorpresa oír que la cantidad de malware en circulación aumenta a diario y que el dinero obtenido por sus creadores alcanza sumas elevadísimas. Esto ocurre porque, además de surgir nuevos tipo de códigos dañinos cada año, la cantidad de variantes de cada uno de ellos se multiplica exponencialmente, impulsado además por el crecimiento y desarrollo de las posibilidades y herramientas con las que cuentan los atacantes para crear estas variantes.
Por ejemplo, un malware muy propagado en Latinoamérica es Banbra, un troyano que roba credenciales de acceso a distintos bancos y del cual ESET NOD32 detecta más de 400 versiones. Cada variante incorpora pequeñas modificaciones en su código para obstaculizar la detección por parte de los antivirus, facilitando de este modo la propagación y maximizando la cantidad de infecciones.
Si bien existen distintos métodos por los cuales estas variaciones se pueden realizar, en el presente artículo se analizará una técnica particular que da la posibilidad a cualquier usuario de crear su propio código dañino “a medida” y que facilita la creación de cientos de variantes del mismo malware, si bien las técnicas de heurísticas serán capaces de detectarlos sin inconvenientes.
Es común encontrar herramientas que permiten crear malware a cualquier usuario sin experiencia y sólo con un par de clics, con posibilidades que van desde el robo de credenciales hasta el control completo del sistema remotamente.
La siguiente aplicación, por ejemplo, permite crear un troyano a medida y configurar el mismo para que envíe información a su “creador”:
Otro tipo de aplicación disponible son los RAT (Remote Administration Tool) que son herramientas utilizadas para administrar remotamente algún tipo de sistema. Estas aplicaciones pueden ser legítimas o no y ser utilizadas con o sin autorización del usuario.
En el mundo de malware, estos software suelen ser troyanos que abren un puerta trasera (backdoor) en el equipo del usuario para permitir dicha administración por un tercero, motivo por el cual ahora también se los conoce como RAT por las siglas de Remote Administration Trojan.
En el Blog de Laboratorio de ESET se ha analizado uno de los backdoor más promocionados y conocidos y a continuación se llevará a cabo una revisión sobre otro que incorpora una gran cantidad de opciones luego de haber conectado con el sistema de la víctima:
Algunas otras aplicaciones permiten generar páginas simulando sitios bancarios o financieros y que, posteriormente, serán utilizados en casos de phishing. Existen también herramientas automatizadas que permiten generar páginas falsas de sitios como Youtube o similares. Estos kits están constituidos por archivos HTML que contienen la ruta del sitio falso o al archivo ejecutable dañino que el usuario terminará descargando. En este caso, lo único necesario para completar el proceso de propagación es que el usuario malicioso modifique las líneas de código correspondientes a la descarga del malware que desee.
Estas aplicaciones, en definitiva, facilitan a los usuarios malintencionados la creación de malware, incorporando funcionalidades predefinidas, como las de deshabilitar el registro, la restauración del sistema o el administrador de tareas, o incluyendo estrategias defensivas como la detección de máquinas virtuales u otras técnicas de antianálisis.
Desafortunadamente, existen cientos de usuarios dañinos capaces de utilizar estas herramientas lo que redunda en la generación de miles de variantes de códigos maliciosos, que algunos promocionan (y venden) como troyanos indetectables, aumentando de este modo la cantidad de malware en circulación.
Muchas de estas herramientas automáticas cuentan con códigos que permiten al creador de la misma controlar al usuario malintencionado que haga uso de ella, convirtiéndose en un ladrón que, a su vez, es espiado y robado. De este modo, el cobro asociado que el autor impone a sus usuarios puede llegar a ser muy alto en algunos casos.
Con este abanico de herramientas, no resulta extraño que aparezcan miles de variantes de una amenaza determinada y que cada usuario pueda infectarse con una distinta. Debido a esto, las técnicas inteligentes y proactivas de detección a través de métodos heurísticos, como los que incluye ESET NOD32 Antivirus, se vuelven fundamentales por ser capaces de detectar miles de variantes de una sola creación a través de la verificación de las modificaciones que han sido incorporadas en cada una de ellas.
Por ejemplo, un malware muy propagado en Latinoamérica es Banbra, un troyano que roba credenciales de acceso a distintos bancos y del cual ESET NOD32 detecta más de 400 versiones. Cada variante incorpora pequeñas modificaciones en su código para obstaculizar la detección por parte de los antivirus, facilitando de este modo la propagación y maximizando la cantidad de infecciones.
Si bien existen distintos métodos por los cuales estas variaciones se pueden realizar, en el presente artículo se analizará una técnica particular que da la posibilidad a cualquier usuario de crear su propio código dañino “a medida” y que facilita la creación de cientos de variantes del mismo malware, si bien las técnicas de heurísticas serán capaces de detectarlos sin inconvenientes.
Es común encontrar herramientas que permiten crear malware a cualquier usuario sin experiencia y sólo con un par de clics, con posibilidades que van desde el robo de credenciales hasta el control completo del sistema remotamente.
La siguiente aplicación, por ejemplo, permite crear un troyano a medida y configurar el mismo para que envíe información a su “creador”:
Otro tipo de aplicación disponible son los RAT (Remote Administration Tool) que son herramientas utilizadas para administrar remotamente algún tipo de sistema. Estas aplicaciones pueden ser legítimas o no y ser utilizadas con o sin autorización del usuario.
En el mundo de malware, estos software suelen ser troyanos que abren un puerta trasera (backdoor) en el equipo del usuario para permitir dicha administración por un tercero, motivo por el cual ahora también se los conoce como RAT por las siglas de Remote Administration Trojan.
En el Blog de Laboratorio de ESET se ha analizado uno de los backdoor más promocionados y conocidos y a continuación se llevará a cabo una revisión sobre otro que incorpora una gran cantidad de opciones luego de haber conectado con el sistema de la víctima:
Algunas otras aplicaciones permiten generar páginas simulando sitios bancarios o financieros y que, posteriormente, serán utilizados en casos de phishing. Existen también herramientas automatizadas que permiten generar páginas falsas de sitios como Youtube o similares. Estos kits están constituidos por archivos HTML que contienen la ruta del sitio falso o al archivo ejecutable dañino que el usuario terminará descargando. En este caso, lo único necesario para completar el proceso de propagación es que el usuario malicioso modifique las líneas de código correspondientes a la descarga del malware que desee.
Estas aplicaciones, en definitiva, facilitan a los usuarios malintencionados la creación de malware, incorporando funcionalidades predefinidas, como las de deshabilitar el registro, la restauración del sistema o el administrador de tareas, o incluyendo estrategias defensivas como la detección de máquinas virtuales u otras técnicas de antianálisis.
Desafortunadamente, existen cientos de usuarios dañinos capaces de utilizar estas herramientas lo que redunda en la generación de miles de variantes de códigos maliciosos, que algunos promocionan (y venden) como troyanos indetectables, aumentando de este modo la cantidad de malware en circulación.
Muchas de estas herramientas automáticas cuentan con códigos que permiten al creador de la misma controlar al usuario malintencionado que haga uso de ella, convirtiéndose en un ladrón que, a su vez, es espiado y robado. De este modo, el cobro asociado que el autor impone a sus usuarios puede llegar a ser muy alto en algunos casos.
Con este abanico de herramientas, no resulta extraño que aparezcan miles de variantes de una amenaza determinada y que cada usuario pueda infectarse con una distinta. Debido a esto, las técnicas inteligentes y proactivas de detección a través de métodos heurísticos, como los que incluye ESET NOD32 Antivirus, se vuelven fundamentales por ser capaces de detectar miles de variantes de una sola creación a través de la verificación de las modificaciones que han sido incorporadas en cada una de ellas.
Editado por anitabagg - 07.09.2009 17:20 hs.
0
