Gusano invisible a filtros y antivirus perimetrales

El gusano Mimail.C abre un camino a un nuevo tipo de virus que
seguramente será estudiado por los creadores de patógenos en un futuro
próximo.

Uno de los recientes gusanos que ha saltado a la palestra, Mimail.C,

utiliza el formato de compresión ZIP para distribuirse, característica

que le permite traspasar la mayoría de filtros perimetrales basados en

extensiones potencialmente peligrosas. En el futuro, otros especímenes

podrían utilizar técnicas similares para burlar también a los antivirus

instalados en el perímetro. Desde Hispasec vamos a ver un ejemplo muy

básico de un hipotético gusano de este tipo para concienciar de la

importancia de mantener y no descuidar la protección de las estaciones

de trabajo.

El uso del formato ZIP escogido por el creador de

Mimail.C puede ser interpretado a primera vista como una medida de

Ingeniería Social, ya que es común que los usuarios intercambien fotos y

archivos en dicho formato. Por otro lado, cada vez son más los usuarios

que desconfían de los archivos ejecutables que llegan adjuntos por

e-mail, por ejemplo con extensión EXE, presentación típica de los

gusanos. Es por ello que un archivo con formato ZIP parece, de entrada,

más fiable para un usuario y, por tanto, aumenta las posibilidades de

engaño. Por contra, requiere que el usuario lo abra con un descompresor

y lo ejecute, algo muy fácil en el caso del formato ZIP, ampliamente

reconocido y utilizado.

Filtros genéricos

Desde el punto de vista de las soluciones de seguridad, esta

característica del gusano le ha hecho inmune a los filtros basados en la

extensión de los nombres de archivo, muy comunes por ejemplo en

servidores de correo, sin olvidar algunos clientes como las nuevas

versiones de Outlook. Estas soluciones se basan en impedir el paso o

acceso a los archivos que contengan determinadas extensiones utilizadas

masivamente por los gusanos y el malware en general, o que se consideran

potencialmente peligrosas.

Estas políticas, que limitan el tipo

de archivos que pueden ser recibidos, pueden parecer demasiado

restrictivas cuando se aplican a un gran número de usuarios en bloque,

como ocurre cuando se implantan en servidores de correo. Sin embargo la

experiencia demuestra que estas prácticas no resultan muy intrusivas, ya

que los usuarios no tienen necesidad de enviar/recibir este tipo de

formatos ejecutables y, en caso estrictamente necesario, pueden hacerlo

empaquetándolos con utilidades como los compresores sin verse afectados

por el filtro.

Respecto a su efectividad, este tipo de filtros

puede prevenir de forma genérica, a bajo coste, y sin necesidad de

actualizaciones constantes, la mayoría de los gusanos de Internet que

hoy día se propagan a través del correo electrónico atendiendo

únicamente al formato o extensión del nombre de archivo. Por contra, los

filtros basados en extensiones de archivo pueden tener un gran impacto

en el trabajo diario si se incluyen algunos formatos que son ampliamente

utilizados, como es el caso de los documentos de las aplicaciones

Office, y que igualmente pueden albergar virus, gusanos y todo tipo de

código malicioso. De forma que los filtros son un complemento a tener en

cuenta, pero no pueden de ninguna forma sustituir al antivirus.

Antivirus

Llegados a este punto, son los antivirus, con su capacidad de analizar

el contenido interior de los archivos, los más fiables para detectar con

certeza el malware. En el caso de Mimail.C, que viaja oculto en un ZIP,

el antivirus perimetral detecta que el archivo está comprimido, lo

descomprime, y analiza el ejecutable EXE que se encuentra en su

interior. Si el antivirus había sido actualizado y tenía la firma de

este nuevo gusano, el ZIP puede ser detectado sin problemas y prevenir

que llegue al usuario.

Con respecto a los filtros, los antivirus

pierden poder de prevención proactiva, ya que se basan en buscar

concordancias con firmas de especímenes conocidos. Un gusano de nueva

creación, aun teniendo extensión EXE, pasaría el análisis del antivirus

en el perímetro. Esa es la ventana de tiempo, entre la aparición de un

gusano nuevo y la disponibilidad/actualización de la firma, en la que un

antivirus no puede protegernos, permaneciendo vulnerables durante horas

en el mejor de los casos.

Soluciones mixtas

Muchas soluciones antivirus han decidido, con acierto, complementar

ambas estrategias, e incorporan la posibilidad de configurar filtros

genéricos por extensiones y formatos potencialmente peligrosos,

previniendo la entrada a los sistemas y redes corporativas de una buena

parte de los virus y gusanos aunque sean de nueva creación, junto a

detectores antivirus que analizan el resto de archivos y datos a la

búsqueda de firmas reconocidas como malware.

Estas soluciones, en

especial las instaladas en el perímetro, permiten establecer unas

políticas corporativas de contenidos genéricas y proactivas de forma

centralizada, a la vez que aprovechar la especialización de los

antivirus actualizados de forma constante contra el malware.

Algunos antivirus dan un paso más y, visto el auge del spam, incorporan

funcionalidades como filtros bayesianos, listas negras de relays, etc.,

que además del correo comercial no solicitado, también permiten desechar

de entrada algunos gusanos y malware atendiendo únicamente a aspectos de

los mensajes.

Debilidades en el perímetro

No es la primera vez que desde Hispasec se analizan las debilidades

intrínsecas de las soluciones antivirus perimetrales. El hecho de situar

en un punto de tránsito el motor antivirus tiene la ventaja de poder

abarcar el análisis centralizado de todo el tráfico entrante y saliente,

pero también supone importantes trabas para su trabajo. Entre los

problemas con que deben enfrentarse estas soluciones destacan el poco

tiempo disponible para realizar el análisis y la necesidad de minimizar

al máximo los recursos consumidos. De no ser así tendrá problemas de

rendimiento, saturación o desbordamiento cuando se sucedan los picos de

tráfico, resultando inútiles.

Debido a estos requerimientos, los

motores antivirus instalados en el perímetro simplifican al máximo el

análisis, basándose principalmente en la detección clásica por firmas.

Evidentemente es inviable que pueden utilizar técnicas más sofisticadas

que sí pueden incorporar algunos antivirus de escritorio, como por

ejemplo la emulación de código, por los recursos y tiempo que consumiría.

Otro de los grandes talones de Aquiles son los protocolos o formatos que

empaquetan la información, haciendo imposible al antivirus poder

analizar el contenido que viaja en su interior. Un ejemplo claro lo

tenemos en el protocolo HTTPS, que crea una sesión cifrada entre el

servidor web y el navegador del cliente, impidiendo que la solución

instalada en el perímetro, ya sea un filtro de contenidos o antivirus,

pueda detectar nada.

El uso del formato ZIP por parte de Mimail.C

para distribuirse por e-mail puede representar el origen de una

corriente de nuevos gusanos que intenten nuevas técnicas de ocultación

durante el tránsito para burlar las protecciones perimetrales.

Dificultando el reconocimiento a los antivirus y filtros

Desde el punto de vista de un antivirus en el perímetro la detección se

produce a través del análisis del código. Una vez extraído el ejecutable

que se encuentra en el ZIP, se compara su código con una base de datos

de firmas de virus (porciones de código de los virus conocidos). Si

existe coincidencia, hemos encontrado al gusano.

Si además de

comprimir, utilizamos funciones de contraseña y cifrado, podemos obtener

un archivo que contiene un ejecutable que los antivirus no pueden

extraer y, por tanto, comprobar si se trata de un virus o no. Para que

el virus sea efectivo debe, mediante algún tipo de engaño, proporcionar

la contraseña al usuario y convencerlo para que lo descomprima y ejecute.

Esta técnica ya ha sido utilizada de forma masiva para evitar a los antivirus,

durante este verano pudimos ver como se distribuyó un troyano mediante

spam que viajaba adjunto en este mensaje:

Cuerpo: Hi! As I’ve

promised I’m sending you my photo

Use old password: 123

El

archivo adjunto, “MyProfile.zip”, incluía en su interior un troyano

comprimido y protegido con contraseña. El ZIP pasaba a través de los

antivirus, que no podían examinar su interior al estar protegido, y los

usuarios podían descomprimirlo e infectarse gracias a que la contraseña

se suministraba en el mensaje.

Afortunadamente en este caso se

trató de un envío único manual, a través de spam, y el archivo

“MyProfile.zip” no variaba. En caso de tratarse de un gusano, capaz de

autoenviarse, los antivirus podrían haber incluido directamente en sus

actualizaciones la firma del archivo “MyProfile.zip”, de forma que

identificarían al archivo comprimido como infectado, sin necesidad de

descomprimir y examinar el archivo interior.

Pero, ¿qué ocurre si

el gusano es capaz de comprimirse y cifrarse en base a una contraseña al

azar antes de cada autoenvío?. En ese caso tendríamos envíos de archivos

con aspectos externos diferentes, ya que la contraseña se utiliza como

clave para el cifrado simétrico del archivo, dando como resultado

diferentes archivos, con diferentes firmas, según la contraseña

utilizada.

Llegados a este punto tendríamos un archivo protegido,

de forma que los antivirus no pueden examinar su interior, y que tampoco

podrían reconocerlo por su aspecto exterior ya que varía en cada envío

al utilizar diferentes contraseñas.

Soluciones

Si nos basamos en el formato ZIP, que ya de por si tiene algunas

debilidades por diseño en su algoritmo, existen diversas soluciones para

atajar este hipotético gusano en tránsito, por ejemplo se almacena en el

ZIP en texto claro algunos datos como el nombre, tamaño o CRC del

archivo original, que podría permitir detectarlo de forma rápida si el

gusano no utiliza funcionalidades extras para modificar algunos de sus

aspectos más externos.

Sin embargo, partiendo de un esquema

similar, existen otras muchas posibilidades de abordar un diseño más

optimizado del gusano que pondría en serio aprieto a los antivirus en el

perímetro.

Algunas de las limitaciones con las que se encuentran

los antivirus en el perímetro desaparecen en la estación de trabajo. Por

ejemplo, en el caso de un ZIP protegido con contraseña o un archivo

cifrado, al extraerlo se realiza una copia del original en el disco,

momento en el cual nuestro antivirus residente podría identificarlo sin

problemas.

La moraleja es que, si bien los antivirus y filtros

instalados en el perímetro son muy recomendables, dotando a la red de

una capa adicional de protección que permite de forma centralizada

detectar la mayoría de los virus y gusanos, la estación de trabajo

continúa siendo el punto más importante en la lucha antivirus. Las

soluciones perimetrales corporativas no deben ser excusa para relajar la

seguridad de los PCs.