Los bootkits: el desafío de 2008

En el artículo se hace un análisis detallado de uno de los incidentes ocurridos durante 2008 que muestra la peligrosidad del MalWare 2.0. La historia de este programa es un claro ejemplo de los métodos aplicados en la lucha entre los autores de virus y las compañías antivirus. El objetivo del artículo es mostrar la importancia del desarrollo e implementación de nuevas tecnologías de protección informática.

El desarrollo del MalWare 2.0 crea una serie de problemas a la industria antivirus. Uno de los más importantes es la incapacidad de los antivirus tradicionales (basados en el análisis por firmas o heurístico) para contrarrestar los ataques Malware 2.0, y esto sin mencionar los problemas del tratamiento de los sistemas ya infectados.

El bootkit es un gran paso adelante en la creación de virus, pero ahora ha adquirido potentísimos instrumentos de difusión y funcionamiento en botnets. El bootkit usa diferentes métodos para evitar ser detectado en las etapas tempranas de la infección, trata de contagiar a la mayor cantidad posible de usuarios y evita que la botnet sea desactivada.

Son impresionantes las dimensiones de la organización del trabajo y las soluciones técnicas aplicadas por los delincuentes: programación de profundo nivel; explotación de las vulnerabilidades de decenas de programas; transición del régimen de inicio del SO, nuevo contagio, creación de aplicaciones en C++ para sistemas *nix; protocolos criptográficos; protocolos de autorización de los bots en el sistema y un largo etcétera.

Para infectar los equipos, los delincuentes usaron un método de sustitución de enlaces que, a pesar de no ser nuevo, era muy original. Se trata de sustituir los enlaces "legales" del sitio por otros "nocivos". Para que el equipo se infecte, no basta con que el usuario visite la página del sitio adulterado, sino que también debe pulsar el enlace sustituido. Una vez pulsado el enlace, el servidor procesa la solicitud entrante y recibe información sobre el sitio desde el que llegó el usuario, cuál es su dirección IP, qué navegador usa y qué complementos están instalados en éste. Basándose en esta información, el servidor asigna al usuario un identificador único (ID) que se almacenará en el servidor. Después de generado, el exploit para el visitante en concreto empieza a usar el programa vulnerable para ejecutarse en el sistema. Durante su funcionamiento, se descarga al equipo un programa troyano-dropper, generado por el servidor usando la llave única del servidor y el identificador del usuario almacenado en la base de datos del servidor.

Después de cargarse en el sistema, el programa troyano-dropper se ejecuta con la ayuda del programa vulnerable, extrae de su cuerpo el instalador del bootkit y le transfiere el ID único del usuario. Después, el programa instalador introduce modificaciones en el sector de arranque del disco duro y graba el cuerpo del programa nocivo en los sectores del disco. Si todas estas acciones en el sistema se realizan con éxito, el dropper le da al equipo la orden de reiniciarse. Después del reinicio, el bootkit intercepta una serie de funciones del sistema y empieza a funcionar a toda máquina en el sistema, pero camuflando su presencia y actuando en calidad de integrante de una botnet.

El equipo infectado, después de su primera conexión con el centro de administración de la botnet, recibe un paquete de datos cifrados que el bootkit recibe y descifra. En el interior del paquete hay una biblioteca DLL que el bootkit carga directamente a la memoria RAM y del que no existe fichero en el disco. Así, el bootkit garantiza la total invisibilidad de la DLL cargada durante el análisis del sistema con métodos tradicionales y con la mayoría de los programas antivirus. El DLL es un módulo que roba contraseñas e intercepta el tráfico de red del usuario.

Otra de las novedades introducidas por los delincuentes es que el centro de administración migra de un dominio a otro. El centro se desplazaba de un sitio a otro 2 o 3 veces por día. Estas botnets son muy difíciles de detectar y, aunque se haga, no son fáciles de desactivar. En cualquier momento los delincuentes pueden cambiar de lugar el centro de administración a cualquiera de las decenas o centenas de dominios preparados ad-hoc. Este método se utiliza para evitar que evitar que la competencia robe la botnet y para evadir las investigaciones de las compañías antivirus y los órganos de seguridad.

Sin duda, la programación de semejante sistema llevó varios meses y su funcionamiento exige constantes ajustes y gastos de adquisición o creación de nuevos exploits, dominios, servidores de hospedaje, etc. Es poco probable que la creación, planificación, realización y soporte de toda esta estructura haya sido obra de una o dos personas. Es evidente que se trata de varios grupos de ciberdelincuentes que trabajan en estrecho contacto y cada uno de los cuales es responsable de su parte del trabajo.

La historia del bootkit refleja las principales amenazas a la seguridad informática de los usuarios. Todos los métodos y tecnologías que hemos analizado son utilizados activamente por los delincuentes en la mayoría de los programas nocivos. La infección mediante navegador Internet, las tecnologías rootkit, las botnets, el robo de datos de los usuarios, la criptografía, la resistencia a los programas antivirus… todos los métodos que antes se usaban por separado, se usan juntas en este bootkit.

Para contrarrestar estos sistemas es necesario usar un amplio espectro de tecnologías de defensa: antivirus web, filtración de tráfico, analizadores de comportamientos, máquinas virtuales, sistemas de análisis de tráfico de red y cortafuegos. Uno de los métodos más efectivos para defenderse de estas amenazas son las tecnologías que bloquean los sitios web infectados. El incidente provocado por la botnet ha demostrado que un antivirus moderno no sólo debe contener tecnologías de lucha contra los rootkits, sino que debe ser capaz de neutralizar sus subespecies, los bootkits.

Lea la versión completa del artículo "Los bootkits: el desafío de 2008" en el sitio de información y análisis Viruslist.com.