Un problema de seguridad furtiva, ignorado por los chicos malos

Frank Boldewin había visto una gran cantidad de software malicioso en su tiempo, pero nunca algo como Rustock.C.

Utilizado para infectar PC con Windows y convertirlos en servidores de spam involuntarios, Rustock.C es un rootkit que se instala en el sistema operativo Windows y luego usa una variedad de técnicas sofisticadas que lo hacen casi imposible de detectar o incluso analizar.

Cuando comenzó a buscar el código a principios de este año, simplemente causaba que su computadora fallara. Hubo cifrado a nivel de controlador, que tuvo que ser descifrado, y fue escrito en lenguaje ensamblador, usando la "estructura de código spaghetti" que hizo extremadamente difícil para Boldewin descubrir qué estaba haciendo realmente el software.

[Más información: Cómo eliminar el malware de su PC con Windows]

El análisis de un rootkit suele ser el trabajo de una tarde para alguien con las habilidades técnicas de Boldewin. Con Rustock.C, sin embargo, le tomó varios días descubrir cómo funcionaba el software.

Debido a que es tan difícil de detectar, Boldewin, un investigador de seguridad con el proveedor alemán de servicios de TI GAD, cree que Rustock.C había estado presente. durante casi un año antes de que los productos antivirus comenzaran a detectarlo.

Esta es la historia con los rootkits. Ellos son astutos. ¿Pero son una gran amenaza?

A finales de 2005, Mark Russinovich descubrió el rootkit más famoso. Un experto en seguridad de Windows, Russinovich se sorprendió un día cuando descubrió un rootkit en su PC. Después de algunas investigaciones, finalmente descubrió que el software de protección contra copias utilizado por Sony BMG Music Entertainment en realidad utilizaba técnicas de rootkits para ocultarse en las computadoras. El software de Sony no estaba diseñado para hacer nada malicioso, pero era virtualmente indetectable y extremadamente difícil de eliminar.

El rootkit de Sony se convirtió en un gran desastre de relaciones públicas para la compañía, que gastó millones en acuerdos legales con usuarios afectados por el software.

Tres años más tarde, Russinovich, técnico de Microsoft, todavía considera que es el rootkit el que causó más problemas para los usuarios de computadoras.

Pero el rootkit de Sony también presagiaba problemas para los vendedores de antivirus. El hecho de que ninguno de ellos haya notado este software durante aproximadamente un año fue un serio problema para la industria de la seguridad.

Aunque comenzaron en máquinas Unix años antes, en el momento del fiasco de Sony, se consideraban los rootkits. la próxima gran amenaza para los proveedores de antivirus. Los investigadores de seguridad exploraron el uso de la tecnología de virtualización para ocultar rootkits y debatieron si un rootkit completamente indetectable podría algún día ser creado.

Pero Russinovich ahora dice que los rootkits no han podido cumplir con su exageración. "No son tan frecuentes como todos esperaban que fueran", dijo en una entrevista.

"El malware hoy funciona de manera muy diferente a cuando estaba en marcha la locura del rootkit", dijo. "Entonces … el malware arrojaría ventanas emergentes por todo su escritorio y se haría cargo de su navegador. Hoy vemos un tipo de malware totalmente diferente".

El malware de hoy se ejecuta silenciosamente en segundo plano, enviando spam o alojando sus desagradables sitios web sin el víctima que se da cuenta de lo que está pasando. Irónicamente, aunque están diseñados para evadir la detección, los rootkits más sofisticados del núcleo son a menudo tan increíblemente intrusivos que llaman la atención sobre ellos mismos, dicen los expertos en seguridad.

"Es extremadamente difícil escribir código para su núcleo que no lo hace bloquee su computadora ", dijo Alfred Huger, vicepresidente del equipo de respuesta de seguridad de Symantec. "Su software puede pisar a otra persona con bastante facilidad".

Huger está de acuerdo en que, aunque los rootkits siguen siendo un problema para los usuarios de Unix, no están muy extendidos en las PC con Windows.

Los rootkits representan menos del 1 por ciento de todos las infecciones intentadas que Symantec rastrea en estos días. En cuanto a Rustock.C, a pesar de toda su sofisticación técnica, Symantec solo lo ha visto en la naturaleza unas 300 veces.

"En todo el espectro de malware, es una pieza muy pequeña y tiene un riesgo limitado hoy", dijo Huger.

Sin embargo, no todos están de acuerdo con los hallazgos de Symantec. Thierry Zoller, director de seguridad de productos con n.runs, dice que Rustock.C se distribuyó ampliamente a través de la notoria red rusa de negocios y que las infecciones probablemente se encuentren en decenas de miles.

"Se usaron rootkits para tener acceso a un comprometió el objetivo el mayor tiempo posible y nunca tuvo el objetivo de extenderse ampliamente ", dijo en una entrevista realizada a través de un mensaje instantáneo.

Al final, los delincuentes pueden estar evitando los rootkits por una razón muy simple: simplemente no lo hacen Necesitarlos.

En lugar de utilizar técnicas de rootkit furtivas, los piratas informáticos han desarrollado nuevas técnicas para dificultar que los proveedores de antivirus distingan entre su software y los programas legítimos. Por ejemplo, crean miles de versiones diferentes de un programa malicioso, mezclando el código cada vez para que los productos antivirus tengan dificultades para detectarlo.

En la segunda mitad de 2007, por ejemplo, Symantec rastreó casi medio millón nuevos tipos de códigos maliciosos, un 136 por ciento más que en la primera mitad del año. Los expertos en seguridad dicen que esta situación es aún peor en 2008.

"Lo que encontramos no es tan complicado", dijo Greg Hoglund, CEO de HBGary, una compañía que vende software para ayudar a los clientes a responder a las intrusiones de la computadora. "La mayoría del malware que existe hoy en día … ni siquiera intenta ocultarse".

Por ejemplo, uno de los clientes de HB Gary fue golpeado recientemente por un ataque dirigido. Los malvados sabían exactamente lo que querían y, después de entrar en la red, pasaban la información antes de que el equipo de respuesta a incidentes de la compañía pudiera llegar allí, dijo Hoglund. "Estaba muy claro que los atacantes sabían que se saldrían con la suya tan rápido que ni siquiera tenían que esconderse".