Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 3, Número 30, Junio de 2004

Códigos maliciosos en una red institucional

Helios Mier Castillo

Resumen de la conferencia presentada
en el Congreso de Seguridad en Cómputo 2004,
el 28 de mayo en el Palacio de Minería.

 

Tener una solución antivirus de cobertura corporativa, es una muy buena protección contra el problema crónico de los códigos maliciosos en una red.

Pero en el caso de la red de una institución educativa, con un considerable número de equipos conectados, que usan diferentes versiones del sistema operativo Windows, localizados en una amplia zona geográfica, se vuelve complejo el mantenimiento preventivo de los sistemas para evitar sobre todo gusanos tipo activo que pudieran surgir a causa de vulnerabilidades de software.

El proceso se vuelve más laborioso por la naturaleza de la institución, pues existe una gran afluencia de personas entre estudiantes, profesores y personal administrativo, que por sus labores, se ven en la necesidad de introducir medios de almacenamiento secundarios y computadoras que podrían contener algún código malicioso proveniente de redes externas y, por lo tanto, fuera de nuestro control.

También sabemos que existen estudiantes que tienen conocimientos de informática superiores a los de sus compañeros, así como capacidad superior para deshabilitar las medidas de protección de los sistemas cuando sienten que afectan sus "experimentos" (warez, juegos, redes P2P, etc.) y, además, enseñan las técnicas a sus demás compañeros, por lo que es frecuente que algunas computadoras en áreas públicas se encuentren infectadas de virus y gusanos comunes del momento, a pesar de que el sistema haya sido correctamente protegido con anterioridad.

En un determinado momento, se tuvo problemas con la variante de un virus que los antivirus lo reconocían con el nombre de EEK, que se resistía a ser removido. Más tarde, después de que la actualización del antivirus se distribuyó a los sistemas, la identificación del virus cambió a una de las variantes del WYX. Este caso nos llevó a concluir que todo ese tiempo estuvimos lidiando contra un código malicioso, hasta entonces desconocido, por lo que el producto antivirus resultaba inefectivo.

Tiempo más tarde, de manera casi simultánea, los administradores de uno de los laboratorios de cómputo de acceso público y algunos profesores, reportaron que los archivos desaparecieron de los discos. Asimismo, informaron que al ejecutar los procedimientos habituales de revisión y limpieza contra virus, el producto antivirus reportaba al sistema en perfectas condiciones.

Con la sospecha de enfrentarnos de nuevo ante algo desconocido, se realizó un análisis forense al sistema, logrando aislar un archivo ejecutable, del cual se analizaron las cadenas de texto contenidas dentro éste, encontrándose equivalencias con las pistas que nos llevaron a él, sobre todo las llaves del Registry que se añadían para asegurar la ejecución del arranque del sistema.

Al evaluar otros sistemas, se encontró que también se hallaban infectados, por lo que el programa se envió a analizar al departamento de investigación de la compañía del antivirus, para que nos devolvieran la protección mediante el sistema de actualización. Al final, el nuevo gusano recibió una baja clasificación de peligrosidad, por lo que el desarrollo de la protección tardó poco más de una semana, lapso durante el cual se confirmó la presencia de la infección en un par de laboratorios más y el reporte de más casos de desaparición de documentos, lo que nos indicó que el gusano tenía una fecha límite para activar una bomba lógica.

Así, se logró determinar una serie de pasos para remover la infección de forma manual, pero como no había un medio automatizado para contener las infecciones, los sistemas se volvían a encontrar infectados al poco tiempo. No pudimos determinar el tamaño de la infección, hasta que las actualizaciones fueron entregadas de forma automática por el sistema antivirus y se reportaron las notificaciones de infección en cada sistema, para así poder realizar un análisis de las estadísticas.

Descripción general del modelo de trabajo

Ante la sospecha de que tal vez existan más códigos maliciosos desconocidos por los antivirus circulando a través de nuestra red, se decidió poner a prueba un procedimiento experimental para lograr confirmar o rechazar nuestras sospechas.

Se estableció una red de comunicación entre los encargados, aplicando el principio de los Honey-Tokens y HoneyPots, con lo que se intentó pasar a una manera proactiva para detectar las nuevas amenazas antes de difundirse ampliamente.

La parte más importante de este modelo consiste en capacitar a los encargados de mantenimiento de los sistemas, así como de los administradores de redes y laboratorios, acerca de las características que tienen los virus y gusanos modernos con la intención de reconocer cuando algo no esté bien a pesar de contar con los sistemas protegidos. Este grupo de personas es el más importante y el primero que puede lograr una mayor cobertura en la vigilancia, al tener un contacto más directo con los usuarios e intentar detectar aquellos códigos maliciosos que no utilizan las formas más comunes de dispersión como la del correo electrónico y las carpetas compartidas.

En la parte tecnológica, después de estudiar las técnicas comunes que usan los gusanos para replicarse, en algunos sistemas de los centros de cómputo y de algunos profesores, se han establecido las condiciones favorables para orientar los intentos de infección hacia algunos sencillos Honeypots, dejando carpetas compartidas así como instalaciones por default de sistemas operativos de tipo Windows.

Utilizando el principio de los Ho-neyTokens, se crean dos cuentas de correo que son añadidas a las libretas de direcciones de algunas computadoras; y se crean archivos HTML, DOC, XLS, etcétera, que contengan las mismas cuentas, de forma que cuando el sistema sea infectado, el gusano encuentre esas cuentas de correo y reciban éstas, los intentos de infección.

Una de las cuentas se encuentra completamente sin protección de antivirus, y aunque llega a recibir un alto volumen de mensajes, nos permite conocer sobre todo aquellos sistemas que han sido infectados porque el antivirus instalado falló por alguna razón. En la segunda cuenta, todos los correos pasan por el filtro antivirus estándar que se utiliza, de forma que lo que es considerado "común", sabemos va a ser detenido en gran medida para que sólo llegue hasta la bandeja de entrada, todo aquello que en esencia es sospechoso por el principio del HoneyPot.

Resultados a corto plazo y primeras conclusiones

Poco tiempo después, se capturó el primero de los gusanos que no fue detectado por todo el sistema antivirus. Después de analizar las cadenas de texto contenidas en el ejecutable, se emitió una breve alerta a los centros de cómputo, además de enviarse a analizar con nuestro proveedor del antivirus. En esa ocasión se trató de otro gusano que no se conocía en algún otro lado, y la compañía del antivirus preparó y envió las protecciones en menos de 12 horas. Al analizar las estadísticas del sistema antivirus, se confirmó la presencia en una decena de computadoras más y, gracias a la prontitud de la respuesta, la infección fue contenida rápidamente en sus etapas iniciales.

Además, este sencillo esquema nos ha permitido conocer cuándo un nuevo gusano de alta dispersión (como bagle, mydoon, netsky, entre otros) ha llegado a nuestra red en sus primeras horas de actividad y no hay protección automática aún; en algunos casos se envían las muestras recolectadas a diferentes compañías de antivirus, para que sean estudiadas y así, ayudar a la pronta detección de posibles variantes.

Con este esquema, hay un riesgo de que las cuentas reciban SPAM, pero se tolera debido a que los gusanos pueden usar cualquier tipo de mensajes para replicarse, además de que nos ha ayudado a identificar algunos sistemas con el programa SPYWARE instalado.

Utilizar un HoneyPot nos ayuda a vigilar sobre todo si la red es muy grande, pues sólo hay que poner atención a la actividad de las carnadas, junto con los registros del sistema antivirus. Después de investigar más acerca de los gusanos capturados, se descubre que fueron creados a partir de códigos disponibles públicamente en Internet, por lo cual se tiene la sospecha de que dentro de nuestra institución existen personas, que al estilo de Script Kiddies, consiguieron y modificaron el código fuente de otros gusanos para crear los que capturamos; asimismo, se encontraron registros de gusanos marcados como "genéricos", iguales a los identificados cuando se utiliza un programa generador de gusanos.

Inicio | Contacto |