Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 6, Número 57, Marzo de 2007

Proyecto Malware
UNAM-CERT

Luis Fernando Fuentes Serrano

 

La mayoría de los usuarios de una computadora hemos sido víctimas de algún ataque por código malicioso en el sistema de cómputo. Las formas en que este software malicioso (malware) infecta un equipo son diversas como ocurre, por ejemplo, al momento de abrir un correo electrónico de un remitente desconocido —posiblemente infectado—, al utilizar una red Peer to Peer (P2P) para descargar algún software o aplicación, así como por navegar en Internet.

Malware es una palabra que proviene de la contracción de las palabras malicious software. Es el término que se ha adjudicado a todo aquel software que perjudica una computadora, ya sea un virus, un caballo de Troya, una puerta trasera (backdoor), un programa espía (spyware), hasta un devastador gusano que puede afectar toda una infraestructura de red, inclusive redes de datos nacionales y corporativas (véase Enter@ate. Internet, cómputo y telecomunicaciones, números 37 y 41 de marzo y agosto de 2005).

Muchas veces, para la solución de estos problemas de seguridad, los usuarios prefieren hacer una reinstalación de su sistema, sin medir la magnitud del daño que pudo causar el ataque malicioso en el sistema operativo del equipo infectado. En pocas ocasiones, se preocupan por el tipo de actividades que realizó el código malicioso en la computadora y menos aún, tratan de descubrir de qué manera llegó o saber si el software robó información confidencial del sistema (nombres de usuario y contraseñas, por ejemplo). Por lo general, estos códigos dañinos infectan diversos archivos del sistema, descargan más software instalando otras aplicaciones, o se conectan a un sitio remoto para recibir instrucciones y ser más nocivos; afectando así a toda la red en la que está conectada el equipo atacado.

Para ayudar a los usuarios en la atención de incidentes de seguridad por malware, la Dirección General de Servicios de Cómputo Académico de la UNAM, a través del Departamento de Seguridad en Cómputo y el UNAM-CERT, impulsaron la formación del proyecto Malware, como un equipo de investigación capaz de capturar y analizar el malware que se propaga por la red universitaria; de esta forma, se identifica, analiza e informa acerca de las amenazas de códigos maliciosos que se propaguen dentro de la red e incluso fuera de ella, apoyándose en la colaboración con otros equipos de análisis del mundo.

Asimismo, el proyecto Malware es un espacio donde se trabaja en el desarrollo de nuevas técnicas y estrategias empleadas por los realizadores de códigos maliciosos, para disminuir el riesgo de infección de los sistemas de cómputo.

Este proyecto de seguridad en cómputo responde a la importante evolución y tendencia que ha tenido este tipo de amenaza y, por ende, a la necesidad de alertar a la comunidad universitaria sobre los nuevos códigos maliciosos que pueden alojarse en sus equipos de cómputo, así como brindarles las herramientas necesarias para saber cómo combatirlos, ya que muchos de ellos presentan técnicas y métodos de propagación muy novedosos, que los hacen muy difíciles de identificar y erradicar por parte de las firmas antivirus existentes.

Cada día, los intrusos perfeccionan sus técnicas de ataque a los servicios de cómputo y, en ocasiones, trabajan en conjuntos organizados, por lo que resulta de gran trascendencia la detección de sus acciones y seguir sus pasos para analizar sus herramientas y códigos, con la finalidad de conocer sus tendencias, por consiguiente, contrarrestar su impacto.

El proyecto Malware mantiene una estrecha relación con otros proyectos de seguridad del UNAM-CERT de la DGSCA, con objeto de recabar la mayor cantidad de muestras de códigos maliciosos que se propagan por toda RedUNAM, trabajar con los especialistas del Proyecto Honeynet UNAM y los responsables de Atención a Incidentes de RedUNAM y, además, con algunos equipos de seguridad internacionales como REDIRIS de España, ArCert de Argentina, NSPSec de Estados Unidos y el CertBr de Brasil, por citar algunos. Otro mecanismo auxiliar en la recolección de malware se origina a través de sitios web maliciosos, de los cuales se extraen las muestras mediante mecanismos automatizados.

El análisis de malware se integra principalmente de dos técnicas: el comportamiento (análisis dinámico) y el código (análisis estático).

En el análisis de comportamiento se observa la actividad del malware en el sistema de cómputo atacado (comprometido). El proceso se realiza bajo un ambiente controlado (virtual) o bien, mediante una red donde esté limitada la comunicación, con el propósito de evitar la propagación e infección de otros equipos. Esto se hace para monitorear la actividad de los procesos maliciosos que ejecuta el malware en el sistema infectado, las conexiones que establece, su actividad en Internet, la manera cómo se comunica con otro equipo remoto y la forma en que se activa en el sistema.

En ese sentido, el uso de equipos virtuales (o simulaciones de un sistema operativo) permite regresar al escenario anterior al ataque del malware, de manera más sencilla, para evitar alguna infección en un equipo real.

En este tipo de análisis hay que tener presente que, actualmente, gran parte del malware capturado tiene la capacidad de detectar si es ejecutado, bajo estos ambientes virtuales, y evitar que se puedan analizar y recopilar datos, retrasando el tiempo de respuesta por parte de los equipos de seguridad.

Asimismo, algunos códigos maliciosos emplean técnicas especializadas para pasar desapercibidos por las firmas antivirus y hacer ilegible su código. Otros archivos de malware utilizan mecanismos para cifrar la comunicación entre el equipo infectado y el servidor remoto con el cual se comunican. Esto, aunado al empleo de técnicas de polimorfismo y metamorfismo en el malware (las cuales modifican su apariencia y su comportamiento respectivamente, cada vez que son ejecutados), complican aún más su análisis.

El análisis de código o estático es complejo, debido a que requiere de la aplicación de técnicas elaboradas y herramientas especiales para estudiar el código —en la mayoría de las ocasiones sólo se cuenta con el archivo ejecutable, sin tener acceso directo al archivo fuente del malware que contiene las instrucciones— y, para ello, se requiere de conocimiento técnico avanzado.

El laboratorio de análisis del proyecto Malware UNAM-CERT está conformado, principalmente, por una red aislada con sistemas operativos Windows y Linux. El sistema Windows realiza la función de un “sistema experimental” para ejecutar el malware (en caso de ser una muestra para este sistema operativo) y observar su comportamiento, al tiempo que determina si el código malicioso intenta propagarse dentro de esta red. El sistema Linux tiene la función de monitorear el tráfico de red mediante alguna aplicación para tal fin, con lo que se determina la actividad del malware en ella, al tiempo que se observa a qué sitio y bajo qué protocolo intenta establecer conexión, en caso de que así ocurra.

El laboratorio de análisis puede variar en la cantidad de equipos y en los sistemas operativos empleados, debido a la naturaleza del malware detectado, ya que puede tratarse de un código para sistemas Windows o para plataformas Linux/Unix.

Una vez que el malware es estudiado y clasificado, dependiendo del impacto que tenga en los sistemas, se alerta a la comunidad con la publicación de boletines informativos sobre el código detectado y en las listas de discusión en las que participa el UNAM-CERT, además de colocar la información del payload (actividad maliciosa) en el portal del proyecto http://www.malware.unam.mx

Dentro de las experiencias aprendidas en la red universitaria, se ha podido alertar a la comunidad acerca de la propagación de nuevos códigos maliciosos (que incluso no son reconocidos por las firmas antivirus), con lo que se ha mitigado su impacto y expansión. De forma paralela, se trabaja en la promoción de una cultura de seguridad en cómputo para las organizaciones, mediante métodos preventivos que difunden el uso de herramientas que permiten proteger los sistemas de cómputo y el empleo de buenas prácticas de seguridad para las dependencias.

El Departamento de Seguridad en Cómputo/UNAM-CERT maneja una lista de correo gratuita, denominada malware, donde se discuten tópicos relacionados con este tipo de software, además de que se proporciona información y soluciones sobre las nuevas variantes utilizadas por los intrusos. Cualquier usuario puede suscribirse en la dirección: http://www.seguridad.unam.mx/listas/
malware/listas.php

Para mayor información:

http://www.malware.unam.mx

http://www.cert.org.mx

http://www.seguridad.unam.mx/usuario-casero/

http://www.enterate.unam.mx

 

Inicio | Contacto |