Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 4 de enero de 2010

Crimeware-as-a-Service y mecanismos de evasión antivirus

Los modelos de negocio que ofrece el Cloud Computing no son novedosos. Incluso, muchos servicios que en la actualidad se ofrecen bajo esta bandera poseen un modelo ya implantado hace mucho tiempo en el mercado.

Sin embargo, el concepto Cloud Computing en sí mismo que conocemos en la actualidad responde a una orientación netamente inclinada a generar negocios aprovechando Internet como infraestructura, lo cual en un mercado altamente competitivo goza de ciertas ventajas con respecto al negocio convencional.

Bajo este escenario, lo cierto es que esta manera de crear negocios también fue aceptada y puesto en marcha por quienes cotidianamente lucran a través de una batería de programas diseñados con fines fraudulentos que cuando son utilizados a través de Internet, reciben el término de Crimeware-as-a-Service, o también por su acrónimo CaaS.

De esta manera comienzan a gestarse servicios fraudulentos que buscan automatizar la manipulación de malware en un proceso creado exclusivamente para evadir su detección. Un ejemplo de esto lo es el servicio (que hoy ya no existe), llamado PoisonIvy Polymorphic Online Builder, creado para cifrar malware y del cual hablamos en su momento. En este caso, al manipular solamente códigos maliciosos, este tipo de servicio se aglomera bajo el término de Malware-as-a-Service (MaaS).

Del mismo modo, en la actualidad existen servicios desarrollados con fines de lucro y destinados a alimentar el negocio del crimeware a través de mecanismos que permiten verificar el grado de efectividad del malware frente a los motores de detección antivirus.

Estos servicios constituyen el antónimo de otros altamente empleados por los profesionales de seguridad como por ejemplo VirusTotal de la compañía español Hispasec. Sobre uno de ellos también ya hemos hablado, llamado VirTest.

Sin embargo, existen algunos otros como Private antivirus service (creado en el 2008), que al igual que VirTest es de origen ruso y busca obtener un beneficio económico a través de un servicio pago, pero al mismo tiempo colaborar con el ambiente del ciber-crimen ofreciendo la posibilidad de chequear el malware creado para conocer su índice de detección en determinado momento, asegurándose además, que el binario no será compartido con las compañías antivirus. De esta manera, se asegura el anonimato y un ciclo de vida más prolongado para la amenaza.

El servicio fraudulento permite verificar la efectividad del malware frente a 17 motores de los antivirus más conocidos del mercado antimalware, y como se visualiza en la primera captura, existen tres costos en función de la característica de los "contratado":
  • USD 0.2 por chequeo
  • USD 15 por 10 chequeos limitados diariamente
  • USD 20 por chequeos sin límites
Una vez dentro del sistema, desde la solapa AV check, se suben los binarios que serán sometidos al escaneo de los antivirus, ofreciendo luego el reporte y un historial de los archivos subidos. Estas opciones se encuentran en el ángulo inferior izquierdo.

Un aspecto interesante que ofrece este servicio de crimeware, lo constituye la posibilidad de programar tareas de verificación, a través de la segunda solapa llamada Programador.

Esta opción permite, por un lado, subir un archivo malicioso desde el disco duro del creador del malware; y por el otro, seleccionar un malware que ya se encuentre en el circuito de propagación a través de la URL; es decir, que el ciber-delincuente puede verificar y controlar la detección de o los códigos maliciosos que ya este propagando.

De esta forma y a través del "programador", se planifica la frecuencia de chequeo de los códigos maliciosos subidos en función de una serie de parámetros que se eligen según un tiempo establecido que van en el rango de 3, 6, 12 horas, ó 1 y 3 días.

Estos parámetros son configurables y una vez establecido pueden ser visualizados en una tabla que se muestra en la misma ventana. La tercera columna corresponde al rango de tiempo. También se configura la manera en que desplegará una alerta con el reporte, que puede ser a través de un correo electrónico o a través de ICQ.

Claramente estas opciones están ideadas pensando en agilizar las maniobras delictivas de propagación de malware chequeando, en el menor de los tiempos, cada 3 horas para verificar si la amenaza es detectada por las compañías antivirus. Esto permite cambiar el malware cada vez que sea necesario, y hasta combinar el servicio con otros como por ejemplo el "servicio" mencionado líneas arriba para cifrar los archivos.

Evidentemente quienes forman parte de la cadena delictiva del negocio del crimeware, colaboran entre sí por intermedio de diferentes alternativas, conformando también un negocio paralelo que también se nutre de las actividades delictivas.

Información relacionada
Servicio ruso en línea para comprobar la detección de malware
Software as a Service en la industria del malware
Creación Online de malware polimórfico basado en PoisonIvy

Jorge Mieres

Ver más