7 ataques furtivos utilizados por los piratas informáticos más astutos de la actualidad

Millones de piezas de malware y miles de bandas de piratas informáticos maliciosos deambulan por el mundo en línea de hoy en día aprovechando los engaños fáciles. Reutilizando las mismas tácticas que han funcionado durante años, si no décadas, no hacen nada nuevo o interesante para explotar nuestra pereza, errores de juicio o pura idiotez.

Pero cada año, los investigadores antimalware se encuentran con algunas técnicas que sorprenden. Utilizadas por malware o piratas informáticos, estas técnicas inspiradas amplían los límites de la piratería maliciosa. Piense en ellos como innovaciones en desviación. Como todo lo innovador, muchos son una medida de simplicidad.

[Compruébelo usted mismo en 14 trucos sucios de consultores de seguridad de TI, 9 prácticas populares de seguridad de TI que simplemente no funcionan y 10 trucos de seguridad locos que sí. | Aprenda a proteger sus sistemas con el informe especial en PDF de exploración profunda del navegador web y el boletín de Security Central, ambos de. ]

Tomemos el virus de macro de Microsoft Excel de la década de 1990 que reemplazó silenciosamente ceros con O mayúsculas en hojas de cálculo, transformando inmediatamente los números en etiquetas de texto con un valor de cero; cambios que, en su mayor parte, no se detectaron hasta mucho después de que los sistemas de respaldo no contenían nada más que datos incorrectos.

El malware y los piratas informáticos más ingeniosos de la actualidad son igualmente sigilosos y conspiradores. Estas son algunas de las técnicas más recientes que han despertado mi interés como investigador de seguridad y las lecciones aprendidas. Algunos se apoyan sobre los hombros de innovadores malintencionados del pasado, pero todos están muy de moda hoy en día como formas de estafar incluso a los usuarios más expertos.

Ataque sigiloso n. ° 1: puntos de acceso inalámbricos falsos

Ningún truco es más fácil de lograr que un WAP falso (punto de acceso inalámbrico). Cualquiera que utilice un poco de software y una tarjeta de red inalámbrica puede anunciar su computadora como un WAP disponible que luego se conecta al WAP real y legítimo en un lugar público.

Piense en todas las veces que usted, o sus usuarios, ha ido a la cafetería local, al aeropuerto o lugar de reunión público y se ha conectado a la red "inalámbrica gratuita". Los piratas informáticos de Starbucks que llaman a su falso WAP "Red inalámbrica de Starbucks" o en el aeropuerto de Atlanta lo llaman "Atlanta Airport Free Wireless" tienen todo tipo de personas conectadas a su computadora en minutos. Los piratas informáticos pueden entonces olfatear datos desprotegidos de los flujos de datos enviados entre las víctimas involuntarias y sus hosts remotos previstos. Le sorprendería saber cuántos datos, incluso contraseñas, se siguen enviando en texto sin cifrar.

Los piratas informáticos más nefastos pedirán a sus víctimas que creen una nueva cuenta de acceso para usar su WAP. Es muy probable que estos usuarios utilicen un nombre de inicio de sesión común o una de sus direcciones de correo electrónico, junto con una contraseña que utilicen en otro lugar. El pirata informático WAP puede intentar usar las mismas credenciales de inicio de sesión en sitios web populares (Facebook, Twitter, Amazon, iTunes, etc.) y las víctimas nunca sabrán cómo sucedió.

Lección: No puede confiar en los puntos de acceso inalámbricos públicos. Proteja siempre la información confidencial enviada a través de una red inalámbrica. Considere usar una conexión VPN, que protege todas sus comunicaciones, y no recicle las contraseñas entre sitios públicos y privados.

Ataque sigiloso n. ° 2: robo de galletas

Las cookies del navegador son un invento maravilloso que conserva el "estado" cuando un usuario navega por un sitio web. Estos pequeños archivos de texto, enviados a nuestras máquinas por un sitio web, ayudan al sitio web o al servicio a rastrearnos durante nuestra visita, o en múltiples visitas, lo que nos permite comprar jeans más fácilmente, por ejemplo. ¿Que es no gustar?

Respuesta: Cuando un pirata informático roba nuestras cookies y, al hacerlo, se convierte en nosotros, un hecho cada vez más frecuente en estos días. Más bien, se autentican en nuestros sitios web como si fueran nosotros y hubieran proporcionado un nombre de inicio de sesión y una contraseña válidos.

Claro, el robo de cookies ha existido desde la invención de la Web, pero en estos días las herramientas hacen que el proceso sea tan fácil como hacer clic, hacer clic, hacer clic. Firesheep, por ejemplo, es un complemento del navegador Firefox que permite a las personas robar cookies desprotegidas de otros. Cuando se usa con un WAP falso o en una red pública compartida, el secuestro de cookies puede tener bastante éxito. Firesheep mostrará todos los nombres y ubicaciones de las cookies que encuentre, y con un simple clic del mouse, el hacker puede tomar el control de la sesión (vea el blog de Codebutler para ver un ejemplo de lo fácil que es usar Firesheep).

Peor aún, los piratas informáticos ahora pueden robar incluso cookies protegidas por SSL / TLS y olfatearlas de la nada. En septiembre de 2011, un ataque etiquetado como "BESTIA" por sus creadores demostró que incluso se pueden obtener cookies protegidas por SSL / TLS. Más mejoras y refinamientos este año, incluido el bien llamado CRIME, han facilitado aún más el robo y la reutilización de cookies cifradas.

Con cada ataque de cookies publicado, los sitios web y los desarrolladores de aplicaciones reciben información sobre cómo proteger a sus usuarios. A veces, la respuesta es utilizar el último cifrado de cifrado; otras veces es para deshabilitar alguna característica oscura que la mayoría de la gente no usa. La clave es que todos los desarrolladores web deben utilizar técnicas de desarrollo seguras para reducir el robo de cookies. Si su sitio web no ha actualizado su protección de cifrado en algunos años, probablemente esté en riesgo.

Lecciones: Incluso las cookies encriptadas se pueden robar. Conéctese a sitios web que utilizan técnicas de desarrollo seguras y las últimas criptomonedas. Sus sitios web HTTPS deben utilizar la última criptografía, incluida la versión 1.2 de TLS.

Ataque sigiloso n. ° 3: trucos de nombres de archivo

Los piratas informáticos han estado utilizando trucos de nombres de archivos para hacernos ejecutar código malicioso desde el comienzo del malware. Los primeros ejemplos incluyeron nombrar el archivo con algo que alentaría a las víctimas desprevenidas a hacer clic en él (como AnnaKournikovaNudePics) y usar varias extensiones de archivo (como AnnaKournikovaNudePics.Zip.exe). Hasta el día de hoy, Microsoft Windows y otros sistemas operativos ocultan fácilmente extensiones de archivo "bien conocidas", lo que hará que AnnaKournikovaNudePics.Gif.Exe se parezca a AnnaKournikovaNudePics.Gif.

Hace años, los programas de virus de malware conocidos como "gemelos", "generadores" o "virus complementarios" se basaban en una característica poco conocida de Microsoft Windows / DOS, donde incluso si escribía el nombre de archivo Start.exe, Windows se vería for y, si lo encuentra, ejecute Start.com en su lugar. Los virus acompañantes buscarían todos los archivos .exe en su disco duro y crearían un virus con el mismo nombre que el EXE, pero con la extensión de archivo .com. Hace mucho tiempo que Microsoft solucionó este problema, pero su descubrimiento y explotación por parte de los primeros piratas informáticos sentó las bases para formas ingeniosas de ocultar virus que continúan evolucionando en la actualidad.

Entre los trucos de cambio de nombre de archivos más sofisticados que se emplean actualmente se encuentra el uso de caracteres Unicode que afectan la salida del nombre de archivo que se presenta a los usuarios. Por ejemplo, el carácter Unicode (U + 202E), llamado Anulación de derecha a izquierda, puede engañar a muchos sistemas para que muestren un archivo llamado AnnaKournikovaNudeavi.exe como AnnaKournikovaNudexe.avi.

Lección: Siempre que sea posible, asegúrese de conocer el nombre real y completo de cualquier archivo antes de ejecutarlo.

Ataque sigiloso n. ° 4: ubicación, ubicación, ubicación

Otro truco de sigilo interesante que usa un sistema operativo contra sí mismo es un truco de ubicación de archivos conocido como "relativo versus absoluto". En las versiones heredadas de Windows (Windows XP, 2003 y anteriores) y otros sistemas operativos anteriores, si escribía un nombre de archivo y presionaba Enter, o si el sistema operativo buscaba un archivo en su nombre, siempre comenzaría con su carpeta actual o ubicación de directorio primero, antes de buscar en otra parte. Este comportamiento puede parecer lo suficientemente eficiente e inofensivo, pero los piratas informáticos y el malware lo utilizaron en su beneficio.

Por ejemplo, suponga que desea ejecutar la calculadora inofensiva de Windows integrada (calc.exe). Es bastante fácil (y a menudo más rápido que usar varios clics del mouse) para abrir un símbolo del sistema, escribir calc.exey presionar Enter. Pero el malware podría crear un archivo malicioso llamado calc.exe y ocultarlo en el directorio actual o en su carpeta de inicio; cuando intentaba ejecutar calc.exe, en su lugar ejecutaba la copia falsa.

Me encantó esta falla como probador de penetración. A menudo, después de haber entrado en una computadora y necesitaba elevar mis privilegios a Administrador, tomaba una versión sin parches de un software conocido y previamente vulnerable y lo colocaba en una carpeta temporal. La mayoría de las veces, todo lo que tenía que hacer era colocar un solo archivo ejecutable o DLL vulnerable, mientras dejaba todo el programa parcheado previamente instalado. Escribiría el nombre de archivo del ejecutable del programa en mi carpeta temporal, y Windows cargaría mi ejecutable troyano vulnerable desde mi carpeta temporal en lugar de la versión parcheada más recientemente. Me encantó: podía aprovechar un sistema completamente parcheado con un solo archivo defectuoso.

Los sistemas Linux, Unix y BSD han solucionado este problema durante más de una década. Microsoft solucionó el problema en 2006 con las versiones de Windows Vista / 2008, aunque el problema persiste en las versiones heredadas debido a problemas de compatibilidad con versiones anteriores. Microsoft también ha estado advirtiendo y enseñando a los desarrolladores a usar nombres de archivo / ruta absolutos (en lugar de relativos) dentro de sus propios programas durante muchos años. Aún así, decenas de miles de programas heredados son vulnerables a los trucos de ubicación. Los hackers lo saben mejor que nadie.

Lección: Utilice sistemas operativos que impongan rutas absolutas de directorios y carpetas, y busque primero los archivos en las áreas predeterminadas del sistema.

Ataque sigiloso n. ° 5: redireccionamiento de archivos de hosts

Sin el conocimiento de la mayoría de los usuarios de computadoras de hoy en día, existe un archivo relacionado con DNS llamado Hosts. Ubicado en C: \ Windows \ System32 \ Drivers \ Etc en Windows, el archivo Hosts puede contener entradas que vinculan los nombres de dominio ingresados ​​a sus direcciones IP correspondientes. El archivo Hosts fue utilizado originalmente por DNS como una forma para que los hosts resuelvan localmente las búsquedas de direcciones de nombre a IP sin tener que contactar con los servidores DNS y realizar una resolución de nombres recursiva. En su mayor parte, el DNS funciona bien y la mayoría de las personas nunca interactúan con su archivo Hosts, aunque está ahí.

A los piratas informáticos y al malware les encanta escribir sus propias entradas maliciosas en los hosts, de modo que cuando alguien escribe un nombre de dominio popular, por ejemplo, bing.com, se les redirige a otro lugar más malicioso. La redirección maliciosa a menudo contiene una copia casi perfecta del sitio web deseado original, de modo que el usuario afectado no se da cuenta del cambio.

Este exploit todavía se usa ampliamente en la actualidad.

Lección: Si no puede averiguar por qué está siendo redirigido maliciosamente, consulte su archivo Hosts.

Ataque sigiloso n. ° 6: ataques de abrevadero

Los ataques a pozos de agua recibieron su nombre por su ingeniosa metodología. En estos ataques, los piratas informáticos aprovechan el hecho de que sus víctimas objetivo a menudo se encuentran o trabajan en una ubicación física o virtual en particular. Luego "envenenan" esa ubicación para lograr objetivos maliciosos.

Por ejemplo, la mayoría de las grandes empresas tienen una cafetería, bar o restaurante local que es popular entre los empleados de la empresa. Los atacantes crearán WAP falsos en un intento de obtener tantas credenciales de la empresa como sea posible. O los atacantes modificarán maliciosamente un sitio web visitado con frecuencia para hacer lo mismo. Las víctimas suelen estar más relajadas y desprevenidas porque la ubicación objetivo es un portal público o social.

Los ataques a pozos de agua se convirtieron en una gran noticia este año cuando varias empresas tecnológicas de alto perfil, incluidas Apple, Facebook y Microsoft, entre otras, se vieron comprometidas debido a los sitios web de desarrollo de aplicaciones populares que visitaron sus desarrolladores. Los sitios web habían sido envenenados con redireccionamientos maliciosos de JavaScript que instalaban malware (a veces cero días) en las computadoras de los desarrolladores. Las estaciones de trabajo de desarrolladores comprometidas se utilizaron luego para acceder a las redes internas de las empresas víctimas.

Lección: Asegúrese de que sus empleados se den cuenta de que los "abrevaderos" populares son objetivos comunes de los piratas informáticos.

Ataque sigiloso n. ° 7: cebo y cambio

Una de las técnicas de piratería en curso más interesantes se llama cebo y cambio. A las víctimas se les dice que están descargando o ejecutando una cosa, y temporalmente lo están, pero luego se cambia con un elemento malicioso. Abundan los ejemplos.

Es común que los propagadores de malware compren espacios publicitarios en sitios web populares. Los sitios web, al confirmar el pedido, se muestran un enlace o contenido no malicioso. El sitio web aprueba el anuncio y se lleva el dinero. El malo cambia el enlace o el contenido por algo más malicioso. A menudo, codificarán el nuevo sitio web malicioso para redirigir a los espectadores al enlace o contenido original si lo ve alguien desde una dirección IP que pertenece al aprobador original. Esto complica la detección y el desmontaje rápidos.

Los ataques de cebo y cambio más interesantes que he visto últimamente involucran a tipos malos que crean contenido "gratuito" que cualquier persona puede descargar y usar. (Piense en la consola administrativa o en un contador de visitantes para la parte inferior de una página web). A menudo, estos subprogramas y elementos gratuitos contienen una cláusula de licencia que dice: "Se pueden reutilizar libremente mientras se mantenga el enlace original". Los usuarios desprevenidos emplean el contenido de buena fe, dejando intacto el enlace original. Por lo general, el enlace original no contendrá nada más que un emblema de archivo gráfico o algo más trivial y pequeño. Más tarde, después de que el elemento falso se haya incluido en miles de sitios web, el desarrollador malicioso original cambia el contenido inofensivo por algo más malicioso (como una redirección JavaScript dañina).

Lección: Tenga cuidado con cualquier enlace a cualquier contenido que no esté bajo su control directo porque puede cambiarse en cualquier momento sin su consentimiento.