Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 11 de junio de 2007

HISHING Y WISHING, NUEVAS VARIANTES DE PHISHING
Los Ataques de Phishing Utilizarán en el Futuro Nuevos Métodos para Distribuir Spyware, Virus Informáticos y Malware.

La Criptovirología combinada con virus informáticos es cada vez más utilizada.

Los ataques de phishing se voverán cada vez más sofisticados y más "especializados". Nuevas técnicas como el" Whale Phishing" o "Whishing", el "Hishing" o Hardware Phishing ya se están siendo utilizadas por hackers y autores de virus informáticos. Cada una de estas técnicas de robo de identidad e información tiene finalidades muy diversas..

La empresa de seguridad informática Websense Security Labs explica con lujo de detalles en su Blog estos nuevos vectores de ataque desarrollados por los hackers y autores de virus informáticos. Uno de ellos es el "Blow Phish" que es una combinación de criptografía con virus informáticos o códigos maliciosos. Estos también se denominan cripto-virus.

El "Wishing" tiene como finalidad atacar a individuos o pequeños grupos que cumplen con algún criterio determinado, como altos funcionarios de gobierno, políticos, administradores de redes, etc. El código es diseñado para estar "dormido", al asecho, y realizar análisis de sus comportamientos para robarles información.

El Hishing, por ejemplo, consiste en ocultar virus informáticos, spyware, keyloggers, troyanos, etc en equipos que van a ser vendidos, ya sean estos nuevos o usados. Estos códigos maliciosos pueden ocultarse en teléfonos móviles, equipos MP3, etc.

Fuente:
http://www.virusprot.com/
http://www.websense.com/

Ver más

EL EMPAQUETADO ES LA TECNICA MAS UTILIZADA PARA OCULTAR MALWARE
UPX, que apareció en un 15% de los casos, es el empaquetador más utilizado, seguido de PECompact y PE, que son utilizados por el 10% de los creadores de malware.

Diario Ti: El 78% del nuevo malware usa algún tipo de empaquetado para impedir que las soluciones de seguridad puedan detectarlos. Así se desprende de un estudio realizado por PandaLabs.

Un packer o empaquetador es un programa que se utiliza para reducir el tamaño de un archivo ejecutable, generalmente, mediante la compresión del mismo. Ahora bien, ese mismo programa puede ser utilizado para proteger las copias que algunos códigos maliciosos dejan en los equipos o para hacerlos más difíciles de detectar por las soluciones antivirus durante su distribución.

Hay muchos programas empaquetadores. El más usado, según el estudio de PandaLabs, es UPX que aparece en un 15% del malware analizado. PECompact y PE, ambos con un 10%, son otros de los programas más utilizados para esta labor.

“Es, en definitiva, una técnica de ocultación. El uso, cada vez mayor, de este tipo de programas pone de manifiesto el interés de los criminales de la red porque sus creaciones pasen lo más desapercibidas posible", explica Luis Corrons, Director Técnico de PandaLabs.

En muchas ocasiones, además, estas herramientas permiten a los ciberdelincuentes unir en un solo archivo varios ficheros maliciosos. Esto, además de dificultar la detección, permite a un código malicioso descargar copias de otros ejemplares de una manera más efectiva.

“El problema es cuándo detectar estos códigos maliciosos. La mayoría están empaquetados con programas legales, por lo que no se puede discriminar entre goodware y malware sólo por el empaquetador utilizado. Entonces ¿cuál es la solución? En el caso de los correos, hay que contar con un sistema que detenga estos emails antes de llegar al PC. Por otro, las soluciones de seguridad han de ser capaces de detectar el malware empaquetado, antes de que el usuario lo ejecute", asegura Corrons.

Fuente: http://diarioti.com/

Ver más

TIPOS DE ATAQUES QUE PUEDE SUFRIR UNA COMPUTADORA
El método más directo de ataque es la conexión a nuestro ordenador tal y como nosotros nos conectamos a los ordenadores que nos ofrecen servicios. Esta vía, sin embargo, por ser fácilmente detectable y necesitar de información previa (los servicios activos en nuestro ordenador), es también la más infrecuente. Generalmente, para poder hacer uso clandestino de los recursos e información residentes en nuestro ordenador los piratas hacen uso de programas que actúan por ellos. Estos programas son denominados virus y troyanos. Los mecanismos habituales para hacer llegar estos programas a nuestro ordenador son los siguientes:

1- Correo electrónico
El correo electrónico es una vía de fácil acceso para virus y caballos de troya. El correo es usado como vehículo de transporte que les introduce dentro de nuestro ordenador.
Virus y caballos de troya viajan camuflados como ficheros adjuntos, o bien infectan ficheros adjuntos de un e-mail. Una vez que estos ficheros son leídos por la aplicación de correo electrónico utilizada, los virus y caballos de troya se copian en el disco duro del equipo e infectan de esta forma el ordenador. Después de ésto ya están preparados para realizar su misión que puede ser borrar información, enviar ésta a través de Internet, servir de punto de apoyo para ataques a otros equipos, etc.
Una recomendación es no abrir correos de remitentes desconocidos, y por supuesto no descargar los ficheros adjuntos que estos correos pudiesen llevar.
Aún así, el mejor método para prevenir los efectos de estos programas es el uso de aplicaciones antivirus y firewalls personales, para la detección y bloqueo de virus y caballos de troya antes de que éstos puedan realizar cualquier operación no deseada, o bien minimizar su acción no deseable. Estas herramientas informan al usuario de los ataques recibidos de virus y caballos de troya

2 - Navegación por servidores web
Navegando por Internet existe el peligro de acceder a páginas que utilicen código Java o controles ActiveX. Estos lenguajes pueden utilizarse para crear códigos maliciosos que sean ejecutados directamente en el equipo atacado. Un hacker puede utilizar programas realizados con estos lenguajes para acceder a nuestro ordenador y obtener información privada, utilizar nuestro ordenador como equipo desde donde atacar a otros, etc.
Por otra parte, descargar software de servidores web es otra forma de adquirir un virus ó un caballo de troya, de forma indeseada. Es muy recomendable no descargar software de servidores de los que no se tenga la certeza de ser fiables.
Una vez que un virus o troyano está instalado sin nosotros saberlo en nuestro ordenador, puede realizar diversas acciones en nombre del pirata. Las actividades más frecuentes que suelen realizar son las siguientes.

3 - Eavesdropping (intercepción pasiva)
Consiste en la intercepción pasiva (sin modificación) del tráfico de red. Éste es realizado por herramientas denominadas sniffers, que son programas que recogen los paquetes de datos que circulan por la red donde ellos están situados. El sniffer puede ser utilizado por un usuario con legítimo acceso, o por un intruso que se ha introducido en un equipo de la red.
Este método es utilizado para capturar números de tarjetas de crédito y direcciones de e-mail entrantes y salientes. También es muy utilizado para capturar loginIDs y passwords de usuarios, que generalmente viajan en claro (sin cifrar). El análisis de tráfico puede ser utilizado también para determinar relaciones entre organizaciones e individuos.

4 - Snooping (espionaje de información)
Los ataques de esta categoría tienen como objetivo obtener información y documentación privada. Además de interceptar el tráfico de red, el atacante accede a documentos, mensajes de e-mail y otra información guardada en el sistema, guardando en la mayoría de los casos esta información en su equipo.
El snooping se puede realizar por simple curiosidad, pero también se realiza con fines de espionaje y robo de información o software.

5 - Tampering (modificación de la información)
Esta categoría se refiere a la modificación desautorizada a los datos, o al software instalado en un sistema, incluyendo borrado de archivos. Este tipo de ataques son particularmente serios cuando el que lo realiza ha obtenido derechos de administrador o supervisor, con la capacidad de ejecutar cualquier comando y por tanto de alterar o borrar cualquier información. El resultado puede incluso terminar en la caída total de un equipo o servidor de forma deliberada.
Múltiples servidores web han sido víctimas del cambio de sus home pages por imágenes terroristas o humorísticas, o el reemplazo de versiones de software (que los usuarios obtienen a través de la red) por software con el mismo nombre pero que incorporan código malicioso (virus, troyanos). La utilización de programas troyanos, enmascarados como aplicaciones válidas del sistema, está dentro de esta categoría. Dos ejemplos de troyanos son Back Orifice y NetBus.

6 - Envío de e-mails con nuestra identidad
Aquí el atacante envía e-mails con el nombre de otra persona como remitente. Muchos ataques de este tipo cuentan con la falta de precaución por parte de los usuarios que facilitan a extraños sus identificaciones dentro del sistema. Esta primera información es conseguida usualmente a través de una simple llamada telefónica. La finalidad de estos e-mails suele ser maliciosa, un ejemplo puede ser el envío de virus y caballos de troya a un grupo de amigos. Los receptores del mensaje al comprobar que el remitente del correo es alguien conocido, abren estos correos descuidadamente y el resultado puede ser la infección de sus equipos con un virus o un troyano.

7 - Saturación de servidores web
Este tipo de ataques desactivan o saturan los recursos del sistema. Generalmente se basan en el envio de gran cantidad de tráfico a un servidor web de forma que éste llega a saturarse y quedar fuera de servicio. El tráfico enviado por el atacante suele ser una serie de paquetes de inicio de conexión, de forma que el servidor web responde a estos quedando en espera de completar la conexión. Sin embargo, el atacante no continúa con el proceso de establecimiento de la conexión, y los recursos del servidor se consumen en la espera de la respuesta necesaria para completar estas falsas conexiones. Llega un punto en que el servidor se queda sin recursos y queda fuera de servicio. Estos ataques reciben el nombre de denegación de servicio (DoS).
Normalmente, los atacantes que realizan este tipo de ataques suelen camuflar su propia identidad utilizando ordenadores de otras personas o entidades, para llevar a cabo estos ataques. El hacker puede hacerse con el control de un equipo que no sea el suyo, y desde éste, tomar el control de un tercer equipo y así sucesivamente hasta que su identidad queda en el anonimato. Para conocer el origen auténtico del ataque sería necesario seguir la pista de todas las conexiones que estableció, y esto puede ser muy costoso.

8 - Spoofing
Esta técnica consiste en tomar la identidad de otro usuario y actuar en su nombre. Una forma común de spoofing, es acceder a un equipo como un usuario legítimo para, una vez que se ha accedido al sistema, realizar acciones en nombre de él, como por ejemplo atacar a otros equipos conectados a la red.
Todas las acciones anteriores, que el pirata puede llevar a cabo lleva a cabo desde nuestro ordenador, pueden ser consideradas como spoofing si el pirata usa nuestra identidad de e-mail o dirección IP de modo fraudulento.
Existen otras formas de spoofing que consisten en enviar tráfico, a través de Internet, marcando como origen la dirección IP que pertenece a otro usuario. Aunque las redes que forman Internet deben estar preparadas para evitar esto.

Los virus y troyanos difundidos por los piratas hacen en muchas ocasiones uso de las vulnerabilidades de los programas de mas amplia difusión, tales como el sistema operativo Windows en sus diversas versiones o el conjunto de utilidades Microsoft Office. Estas vulnerabilidades se convierten en agujeros de seguridad que son explotados para acceder a archivos, obtener privilegios o realizar sabotajes.

Las razones de dichas vulnerabilidades son variadas y se han descubierto muchas puertas invisibles en aplicaciones software, sistemas operativos, protocolos de red, navegadores de Internet, correo electrónico y toda clase de servicios de red. Estos problemas suelen ser corregidos por los fabricantes tras su descubrimiento. Por eso es muy recomendable tener actualizado el software con las últimas versiones o parches.

Además de la secuencia de ataque descrita, existen otros mecanismos mediante los cuales un pirata puede involucrarnos en sus acciones. Uno de ellos es la llamada ingeniería social. Ésta consiste en la obtención de información acerca de las cuentas de usuario, direcciones de correo y otra información privada de la que se pueda obtener algún provecho a la hora de atacarnos. A este respecto la mejor recomendación es no comentar esta información con extraños, evitando caer en posibles trampas aparentemente inofensivas. Y tampoco contestar a correos electrónicos de extraños.

Ver más