Inteligencia colectiva: la evolucion del modelo de - Panda Security
13.05.2014 Views
Share Embed Flag

Inteligencia colectiva: la evolucion del modelo de - Panda Security

Inteligencia colectiva: la evolucion del modelo de - Panda Security

Inteligencia colectiva: la evolucion del modelo de - Panda Security

SHOW MORE
SHOW LESS
ePAPER READ
DOWNLOAD ePAPER
pandasecurity.com

Create successful ePaper yourself

Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.

START NOW

INTELIGENCIA COLECTIVA: LA EVOLUCIÓN DEL MODELO DE SEGURIDAD TRADICIONAL<br />

Pág. 8<br />

2.2.5 Botnets<br />

Según algunos estudios, aproximadamente<br />

el 11% <strong>de</strong> los or<strong>de</strong>nadores <strong>de</strong> todo el<br />

mundo están infectados por bots, responsables<br />

<strong><strong>de</strong>l</strong> 80% <strong><strong>de</strong>l</strong> spam que se envía 14 .<br />

Una buena parte <strong><strong>de</strong>l</strong> dinero que consiguen<br />

los <strong><strong>de</strong>l</strong>incuentes informáticos proce<strong>de</strong> <strong>de</strong><br />

los botnets.<br />

El control <strong>de</strong> estas gran<strong>de</strong>s re<strong>de</strong>s <strong>de</strong> or<strong>de</strong>nadores<br />

infectados se ven<strong>de</strong> o alqui<strong>la</strong> para<br />

llevar a cabo <strong><strong>de</strong>l</strong>itos informáticos: envío <strong>de</strong><br />

spam, ataques <strong>de</strong> <strong>de</strong>negación <strong>de</strong> servicio<br />

distribuida, venta <strong>de</strong> proxies, etc. <strong>Panda</strong>­<br />

Labs ha sido testigo <strong>de</strong> guerras online entre<br />

diferentes bandas <strong>de</strong> bots para hacerse<br />

con los PCs secuestrados.<br />

Hay pruebas que sugieren que existen muchos<br />

PCs <strong>de</strong> empresas pertenecientes al<br />

índice Fortune 500 que son contro<strong>la</strong>dos<br />

<strong>de</strong> forma remota por bot her<strong>de</strong>rs para el<br />

envío <strong>de</strong> spam 15 .<br />

Aunque los botnets tradicionales son contro<strong>la</strong>dos<br />

vía IRC, hay botnets nuevos basados<br />

en P2P y HTTP que utilizan técnicas <strong>de</strong><br />

encriptación <strong>de</strong> comunicaciones más potentes<br />

y se están haciendo popu<strong>la</strong>res entre<br />

los <strong><strong>de</strong>l</strong>incuentes informáticos para evadir<br />

<strong>la</strong> <strong>de</strong>tección.<br />

2.2.6 Vectores <strong>de</strong> infección por<br />

fases<br />

No es nuevo que <strong>la</strong> mayoría <strong><strong>de</strong>l</strong> malware<br />

actual tien<strong>de</strong> a utilizar ataques en dos fases<br />

como principal técnica <strong>de</strong> infección, ya sea<br />

explotando vulnerabilida<strong>de</strong>s conocidas o<br />

<strong><strong>de</strong>l</strong> tipo día cero, o utilizando pequeños<br />

“downloa<strong>de</strong>rs” que cambian muy rápidamente<br />

para evitar <strong>la</strong> <strong>de</strong>tección.<br />

Mientras en el pasado aprovecharse <strong>de</strong> una<br />

vulnerabilidad como principal vector <strong>de</strong><br />

infección podía llevar semanas o incluso<br />

meses a los autores <strong><strong>de</strong>l</strong> malware, hoy en<br />

día es normal ver exploits in-the-wild que<br />

se aprovechan <strong>de</strong> vulnerabilida<strong>de</strong>s dos días<br />

<strong>de</strong>spués <strong>de</strong> que se hagan públicas.<br />

Aplicaciones maliciosas automatizadas,<br />

como Web-Attacker 16 y MPack 17 están<br />

explotando, por ejemplo, vulnerabilida<strong>de</strong>s<br />

GDI, <strong>de</strong> cursores animados y VML para<br />

aprovecharse <strong>de</strong> usuarios <strong>de</strong>sprevenidos o<br />

sin parches e infectarles con un troyano.<br />

Los downloa<strong>de</strong>rs se están convirtiendo<br />

también en herramientas habituales en <strong>la</strong>s<br />

técnicas <strong>de</strong> infección en dos fases. En<br />

primer lugar, se ejecuta un pequeño<br />

fichero mediante una <strong>de</strong>scarga conducida<br />

<strong><strong>de</strong>l</strong> navegador o un exploit simi<strong>la</strong>r. El<br />

objetivo <strong>de</strong> este archivo es el siguiente:<br />

<strong>de</strong>scargar un segundo archivo <strong>de</strong>s<strong>de</strong> una<br />

URL y ejecutarlo. Este segundo archivo es el<br />

verda<strong>de</strong>ro troyano que termina infectando<br />

al sistema.<br />

Estos downloa<strong>de</strong>rs han <strong>evolucion</strong>ado mucho.<br />

SecuriTeam organizó recientemente<br />

un concurso para crear el downloa<strong>de</strong>r más<br />

pequeño <strong><strong>de</strong>l</strong> mundo 18 . Más recientemente,<br />

hemos visto surgir miles <strong>de</strong> herramientas<br />

gráficas que simplifican el trabajo <strong>de</strong><br />

creación <strong>de</strong> downloa<strong>de</strong>rs 19 , incluso con técnicas<br />

<strong>de</strong> empaquetamiento personalizadas<br />

para eludir <strong>la</strong> <strong>de</strong>tección.<br />

2.2.7 “Malware 2.0”<br />

Una <strong>de</strong> <strong>la</strong>s ten<strong>de</strong>ncias actuales en <strong>la</strong><br />

creación <strong>de</strong> malware es que el binario que<br />

infecta al PC <strong><strong>de</strong>l</strong> usuario sea “tonto” y <strong>la</strong><br />

inteligencia esté “en <strong>la</strong> nube”. El código<br />

que resi<strong>de</strong> en el PC posee funciones simples<br />

que transfiere a un servidor compinchado<br />

remotamente. El servidor, entonces,

logo

productos

Resources

Compañías

Terms of service
Privacy policy
Cookie policy
Cookie settings
Imprint
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hooray! Your file is uploaded and ready to be published.

Saved successfully!

Ooh no, something went wrong!