Gusano invisible a filtros y antivirus perimetrales
El gusano Mimail.C abre un camino a un nuevo tipo de virus que
seguramente será estudiado por los creadores de patógenos en un futuro
próximo.
Uno de los recientes gusanos que ha saltado a la palestra, Mimail.C,
utiliza el formato de compresión ZIP para distribuirse, característica
que le permite traspasar la mayoría de filtros perimetrales basados en
extensiones potencialmente peligrosas. En el futuro, otros especímenes
podrían utilizar técnicas similares para burlar también a los antivirus
instalados en el perímetro. Desde Hispasec vamos a ver un ejemplo muy
básico de un hipotético gusano de este tipo para concienciar de la
importancia de mantener y no descuidar la protección de las estaciones
de trabajo.
El uso del formato ZIP escogido por el creador de
Mimail.C puede ser interpretado a primera vista como una medida de
Ingeniería Social, ya que es común que los usuarios intercambien fotos y
archivos en dicho formato. Por otro lado, cada vez son más los usuarios
que desconfían de los archivos ejecutables que llegan adjuntos por
e-mail, por ejemplo con extensión EXE, presentación típica de los
gusanos. Es por ello que un archivo con formato ZIP parece, de entrada,
más fiable para un usuario y, por tanto, aumenta las posibilidades de
engaño. Por contra, requiere que el usuario lo abra con un descompresor
y lo ejecute, algo muy fácil en el caso del formato ZIP, ampliamente
reconocido y utilizado.
Filtros genéricos
Desde el punto de vista de las soluciones de seguridad, esta
característica del gusano le ha hecho inmune a los filtros basados en la
extensión de los nombres de archivo, muy comunes por ejemplo en
servidores de correo, sin olvidar algunos clientes como las nuevas
versiones de Outlook. Estas soluciones se basan en impedir el paso o
acceso a los archivos que contengan determinadas extensiones utilizadas
masivamente por los gusanos y el malware en general, o que se consideran
potencialmente peligrosas.
Estas políticas, que limitan el tipo
de archivos que pueden ser recibidos, pueden parecer demasiado
restrictivas cuando se aplican a un gran número de usuarios en bloque,
como ocurre cuando se implantan en servidores de correo. Sin embargo la
experiencia demuestra que estas prácticas no resultan muy intrusivas, ya
que los usuarios no tienen necesidad de enviar/recibir este tipo de
formatos ejecutables y, en caso estrictamente necesario, pueden hacerlo
empaquetándolos con utilidades como los compresores sin verse afectados
por el filtro.
Respecto a su efectividad, este tipo de filtros
puede prevenir de forma genérica, a bajo coste, y sin necesidad de
actualizaciones constantes, la mayoría de los gusanos de Internet que
hoy día se propagan a través del correo electrónico atendiendo
únicamente al formato o extensión del nombre de archivo. Por contra, los
filtros basados en extensiones de archivo pueden tener un gran impacto
en el trabajo diario si se incluyen algunos formatos que son ampliamente
utilizados, como es el caso de los documentos de las aplicaciones
Office, y que igualmente pueden albergar virus, gusanos y todo tipo de
código malicioso. De forma que los filtros son un complemento a tener en
cuenta, pero no pueden de ninguna forma sustituir al antivirus.
Antivirus
Llegados a este punto, son los antivirus, con su capacidad de analizar
el contenido interior de los archivos, los más fiables para detectar con
certeza el malware. En el caso de Mimail.C, que viaja oculto en un ZIP,
el antivirus perimetral detecta que el archivo está comprimido, lo
descomprime, y analiza el ejecutable EXE que se encuentra en su
interior. Si el antivirus había sido actualizado y tenía la firma de
este nuevo gusano, el ZIP puede ser detectado sin problemas y prevenir
que llegue al usuario.
Con respecto a los filtros, los antivirus
pierden poder de prevención proactiva, ya que se basan en buscar
concordancias con firmas de especímenes conocidos. Un gusano de nueva
creación, aun teniendo extensión EXE, pasaría el análisis del antivirus
en el perímetro. Esa es la ventana de tiempo, entre la aparición de un
gusano nuevo y la disponibilidad/actualización de la firma, en la que un
antivirus no puede protegernos, permaneciendo vulnerables durante horas
en el mejor de los casos.
Soluciones mixtas
Muchas soluciones antivirus han decidido, con acierto, complementar
ambas estrategias, e incorporan la posibilidad de configurar filtros
genéricos por extensiones y formatos potencialmente peligrosos,
previniendo la entrada a los sistemas y redes corporativas de una buena
parte de los virus y gusanos aunque sean de nueva creación, junto a
detectores antivirus que analizan el resto de archivos y datos a la
búsqueda de firmas reconocidas como malware.
Estas soluciones, en
especial las instaladas en el perímetro, permiten establecer unas
políticas corporativas de contenidos genéricas y proactivas de forma
centralizada, a la vez que aprovechar la especialización de los
antivirus actualizados de forma constante contra el malware.
Algunos antivirus dan un paso más y, visto el auge del spam, incorporan
funcionalidades como filtros bayesianos, listas negras de relays, etc.,
que además del correo comercial no solicitado, también permiten desechar
de entrada algunos gusanos y malware atendiendo únicamente a aspectos de
los mensajes.
Debilidades en el perímetro
No es la primera vez que desde Hispasec se analizan las debilidades
intrínsecas de las soluciones antivirus perimetrales. El hecho de situar
en un punto de tránsito el motor antivirus tiene la ventaja de poder
abarcar el análisis centralizado de todo el tráfico entrante y saliente,
pero también supone importantes trabas para su trabajo. Entre los
problemas con que deben enfrentarse estas soluciones destacan el poco
tiempo disponible para realizar el análisis y la necesidad de minimizar
al máximo los recursos consumidos. De no ser así tendrá problemas de
rendimiento, saturación o desbordamiento cuando se sucedan los picos de
tráfico, resultando inútiles.
Debido a estos requerimientos, los
motores antivirus instalados en el perímetro simplifican al máximo el
análisis, basándose principalmente en la detección clásica por firmas.
Evidentemente es inviable que pueden utilizar técnicas más sofisticadas
que sí pueden incorporar algunos antivirus de escritorio, como por
ejemplo la emulación de código, por los recursos y tiempo que consumiría.
Otro de los grandes talones de Aquiles son los protocolos o formatos que
empaquetan la información, haciendo imposible al antivirus poder
analizar el contenido que viaja en su interior. Un ejemplo claro lo
tenemos en el protocolo HTTPS, que crea una sesión cifrada entre el
servidor web y el navegador del cliente, impidiendo que la solución
instalada en el perímetro, ya sea un filtro de contenidos o antivirus,
pueda detectar nada.
El uso del formato ZIP por parte de Mimail.C
para distribuirse por e-mail puede representar el origen de una
corriente de nuevos gusanos que intenten nuevas técnicas de ocultación
durante el tránsito para burlar las protecciones perimetrales.
Dificultando el reconocimiento a los antivirus y filtros
Desde el punto de vista de un antivirus en el perímetro la detección se
produce a través del análisis del código. Una vez extraído el ejecutable
que se encuentra en el ZIP, se compara su código con una base de datos
de firmas de virus (porciones de código de los virus conocidos). Si
existe coincidencia, hemos encontrado al gusano.
Si además de
comprimir, utilizamos funciones de contraseña y cifrado, podemos obtener
un archivo que contiene un ejecutable que los antivirus no pueden
extraer y, por tanto, comprobar si se trata de un virus o no. Para que
el virus sea efectivo debe, mediante algún tipo de engaño, proporcionar
la contraseña al usuario y convencerlo para que lo descomprima y ejecute.
Esta técnica ya ha sido utilizada de forma masiva para evitar a los antivirus,
durante este verano pudimos ver como se distribuyó un troyano mediante
spam que viajaba adjunto en este mensaje:
Cuerpo: Hi! As I’ve
promised I’m sending you my photo
Use old password: 123
El
archivo adjunto, “MyProfile.zip”, incluía en su interior un troyano
comprimido y protegido con contraseña. El ZIP pasaba a través de los
antivirus, que no podían examinar su interior al estar protegido, y los
usuarios podían descomprimirlo e infectarse gracias a que la contraseña
se suministraba en el mensaje.
Afortunadamente en este caso se
trató de un envío único manual, a través de spam, y el archivo
“MyProfile.zip” no variaba. En caso de tratarse de un gusano, capaz de
autoenviarse, los antivirus podrían haber incluido directamente en sus
actualizaciones la firma del archivo “MyProfile.zip”, de forma que
identificarían al archivo comprimido como infectado, sin necesidad de
descomprimir y examinar el archivo interior.
Pero, ¿qué ocurre si
el gusano es capaz de comprimirse y cifrarse en base a una contraseña al
azar antes de cada autoenvío?. En ese caso tendríamos envíos de archivos
con aspectos externos diferentes, ya que la contraseña se utiliza como
clave para el cifrado simétrico del archivo, dando como resultado
diferentes archivos, con diferentes firmas, según la contraseña
utilizada.
Llegados a este punto tendríamos un archivo protegido,
de forma que los antivirus no pueden examinar su interior, y que tampoco
podrían reconocerlo por su aspecto exterior ya que varía en cada envío
al utilizar diferentes contraseñas.
Soluciones
Si nos basamos en el formato ZIP, que ya de por si tiene algunas
debilidades por diseño en su algoritmo, existen diversas soluciones para
atajar este hipotético gusano en tránsito, por ejemplo se almacena en el
ZIP en texto claro algunos datos como el nombre, tamaño o CRC del
archivo original, que podría permitir detectarlo de forma rápida si el
gusano no utiliza funcionalidades extras para modificar algunos de sus
aspectos más externos.
Sin embargo, partiendo de un esquema
similar, existen otras muchas posibilidades de abordar un diseño más
optimizado del gusano que pondría en serio aprieto a los antivirus en el
perímetro.
Algunas de las limitaciones con las que se encuentran
los antivirus en el perímetro desaparecen en la estación de trabajo. Por
ejemplo, en el caso de un ZIP protegido con contraseña o un archivo
cifrado, al extraerlo se realiza una copia del original en el disco,
momento en el cual nuestro antivirus residente podría identificarlo sin
problemas.
La moraleja es que, si bien los antivirus y filtros
instalados en el perímetro son muy recomendables, dotando a la red de
una capa adicional de protección que permite de forma centralizada
detectar la mayoría de los virus y gusanos, la estación de trabajo
continúa siendo el punto más importante en la lucha antivirus. Las
soluciones perimetrales corporativas no deben ser excusa para relajar la
seguridad de los PCs.