Protección contra Malware
Table of Contents
ToggleIntroducción
Existen muchas formas de Protección contra malware. En este apartado estaremos indagando sobre aquellas en las que podemos ser víctimas, como así también, los métodos por los cuales podemos practicar y cuidarnos, medios de propagación, formas de detectar códigos maliciosos (para conocer la forma en la que suelen operar los cibercriminales), como asi también, softwares antimalware. Con esto, buscaremos lograr una mayor protección contra malware y efectividad en la aplicación de la seguridad. De esta forma, protegeremos la integridad de nuestros datos, como así también, ayudar a otras personas a hacerlo.
Formas de esconder un malware
Como ya hemos mencionado, el formato más común de los malware es el ejecutable (.exe). Ahora bien, el mismo sólo realiza acciones maliciosas, sin mostrar nada al usuario ya que suelen ejecutarse en segundo plano para reducir la sospecha del usuario Por tanto, los atacantes suelen camuflar el ejecutable malicioso uniéndolo a un programa o archivo multimedia. Estos pueden ser un archivo de música, una imagen, un documento de Word o cualquier otro archivo benigno que se muestre en pantalla mientras el código malicioso lleva a cabo sus acciones. Esta técnica se conoce como esteganografía y es crucial entenderla para tener una mejor protección contra malware.
Uso de Joiners
Para lograr unir un código malicioso con un archivo, existen herramientas llamadas joiners o binders. Las mismas se encargan de formar un único paquete que contenga cada archivo que se quiera ejecutar (malicioso o no), el orden en que deben mostrarse al usuario, entre otras cosas.
Veamos un ejemplo
Al utilizar el joiner, se creará un nuevo archivo ejecutable (.exe) que contendrá el malware y la imagen como contenedor del mismo. Como opción adicional para el camuflaje, los joiners permiten añadir un icono a ese ejecutable final, el cual lógicamente estará relacionado con el archivo benigno.
Por lo tanto, ya sea un archivo de música (.mp3), una imagen (.jpg o .png), un documento Word (.docx), entre otros. Estos se ejecutarán normalmente, pero por detrás y en segundo plano se estará ejecutando el código malicioso.
Teniendo esto en cuenta, podemos concluir que hay algo que siempre se mantiene intacto, y es la extensión .exe. El archivo que crea el binder no es más que un contenedor que lleva dentro el malware y el archivo benigno, para poder ejecutar a ambos archivos necesita ser en sí mismo un ejecutable. Por lo tanto, la extensión seguirá siendo .exe.
¿Cómo cuidarnos de estos contenedores maliciosos?
Windows por defecto oculta las extensiones de los archivos. Una buena práctica de seguridad sería modificar este comportamiento, para conocer rápidamente las verdaderas extensiones de todos los archivos. Para eso podemos ir a Panel de control y luego Appearance and Personalization –> File explorer option –> View y destildamos la casilla que dice “Don´t show hidden files..” y tildamos la casilla que dice “Show hidden files..”.
Dicho comportamiento en un archivo nos da suficientes motivos para eliminarlo de nuestro sistema o analizar sus acciones en un entorno de prueba, lejos de los documentos importantes.
A tener en cuenta
Si bien el formato .exe es el más utilizado por el malware, no es el único. Hoy en día se han desarrollado complejos troyanos multiplataforma en el lenguaje Java (.jar) así como también distintos lenguajes de scripting como es el caso de Python (.py) o Perl (.pl). Por supuesto que para poder ejecutarlos se necesita la máquina virtual de Java o, en caso de ser scripting, el correspondiente intérprete del lenguaje en el equipo.
También, sobre todo los virus, se programan en Batch o VBScript (extensión .bat y .vbs respectivamente).
Métodos de distribución de Malware
Otro aspecto que hay que tener en cuenta es el medio por el cual un atacante enviará el malware. Recordemos que el Phishing juega un rol fundamenta aquí, ya que es el encargado de la ingeniería social del malware a través de los distintos medios. A continuación, hablaremos de estos y sus detalles.
El correo electrónico es el principal medio de distribución de malware, por lo tanto, debemos evitar el SPAM y descargar adjuntos que no hemos solicitado. Aún si estos archivos provienen de un correo el cual conocemos, ya que es muy fácil falsificar el remitente para que se vea idéntico a un contacto de nuestra lista o a fuentes oficiales. La mensajería instantánea también se utiliza para distribuir malware.
¿Cómo percibir un phishing?
Existen muchas formas de percibir o determinar o mail o mensaje malicioso. Debemos tener en cuenta que el atacante usará cualquier método para hacernos caer en la trampa.
Para una buena práctica de phishing y protección contra malware se recomienda:
1- Tener en cuenta el auténtico dominio de un sitio web. Por ejemplo, una entidad bancaria jamás le pediría contraseñas, dinero o datos confidenciales a través de un correo. Un atacante puede clonar la página web de dicho banco y hacerse pasar por este. En cuanto esto pase, lo más probable es que haya una pequeña modificación en el dominio del sitio web. Por más que este sea idéntico, jamás será igual.
2- En el caso de recibir un mail con el mensaje «Han ingresado a tu cuenta, has sido tú?» de nuestro homebanking o alguna red social, debemos cambiar la contraseña siempre desde el sitio oficial. A veces los atacantes se aprovechan de las emociones para hacernos creer que nos han vulnerado la cuenta. Sin embargo, es solo el primer paso para luego hacer click en un link del correo y caer en algún malware.
3- Desconfiar de remitentes desconocidos e incluso, si el mail o correo proviene de algún conocido, amigo o familiar. Ya que, no podemos estar seguros de que ellos no hayan sido víctima de un phishing y les estén suplantando la identidad.
Colaboración
¿Cómo combatimos a estos estafadores? Una medida de protección contra malware hacia otras personas es comunicarlo de la siguiente manera:
Si recibió un mail tipo phishing, repórtelo a su entidad bancaria (en caso de que se hagan pasar por ellos), sino reenvíelo a la Anti-Phishing Working Group a [email protected].
En el caso de recibir un mensaje SMS, o de texto, de tipo phishing, reenvíelo a SPAM (7726).
Reporte los intentos de phishing a la FTC en ReporteFraude.ftc.gov.
Prácticas Recomendadas
A continuación mostraremos algunas herramientas prácticas para estar informado ante cualquier anomalía en un correo electrónico:
El sitio web de phishingquiz le ayudará, mediante un test, cómo localizar un phishing y cuáles son las formas que suelen usar los atacantes para suplantar la identidad.
Otro sitio web recomendable, no solo para phishing sino también para cualquier archivo que desconfiemos en nuestro equipo, es Virus total. Este nos permite verificar links, archivos e incluso realizar búsqueda a través de sitios web o direcciones IP. También suele ser muy utilizado para detectar virus, ya que esta plataforma trabaja recopilando información de varias base de datos de muchos antivirus.
Tener en cuenta
Podemos confirmar que el phishing, mediante el correo electrónico, suele ser el método más usado para transportar malwares por parte de los atacantes. Sin embargo, no es el único. También son utilizadas las redes P2P. Estas actúan simultáneamente como clientes y servidores respecto a los demás nodos de la red. Dichas redes permiten el intercambio directo de información, en cualquier formato, entre los ordenadores interconectados. Por ejemplo, casos como estos son Torrent, Mega, Ares, etc.
Por último, otro medio extremadamente usado para propagar malware son aquellos sitios web de descarga de contenidos multimedia como software gratis, videojuegos, cracks de programas, entre otros. Procuremos evitar descargar contenidos de estas fuentes o, de ser necesario hacerlo, analizar minuciosamente los archivos antes de ejecutarlos. SIEMPRE DESCARGAR DESDE SITIOS OFICIALES.
Detectar infecciones en nuestro equipo
A veces los equipos infectados pueden empezar a tener comportamientos extraños como los siguientes:
Disminución de rendimiento
Desaparición de archivos o menúes
Funciones deshabilitadas (como adm. de tareas, firewall,
antivirus, etc)
Archivos con nombres extraños
Cuelgues o pantallazos azules (BSOD)
En base a esto es recomendable emplear los siguientes métodos:
Revisión de Procesos
Un paso rápido y sencillo es revisar los Procesos que se están ejecutando en nuestro sistema. Para eso abrimos el administrador de tareas ejecutando CTRL + ALT + SUPR o click derecho del mouse sobre la barra de Windows y seleccionamos el ítem: Iniciar administrador de tareas o Task Manager.
Procesos nativos de Windows
En la pestaña de procesos encontraremos muchos de ellos que son nativos del sistema operativo Windows. Por ej:
- alg.exe: se trata de un servicio que posibilita la conexión de diferentes protocolos a través de Internet Connection Sharing (ICS) e Internet Connection Firewall (ICF).
- lsass.exe: se trata de un proceso netamente relacionado con la seguridad en Windows, encargándose de los mecanismos de autenticación como parte de la capa de seguridad a nivel local.
- explorer.exe: representa al explorador (Shell gráfica) de Windows.
- ctfmon.exe: es un proceso que forma parte de lSuite de Ofimática de Microsoft y se activa cada vez que se ejecuta una de sus aplicaciones (Word, Excel, PowerPoint, etc.).
- smss.exe: encargado de manejar las sesiones de usuario en el sistema.
- csrss.exe: utilizado por las aplicaciones para interactuar con el núcleo (kernel) del sistema y ejecutar las API Win32.
- winlogon.exe: utilizado por el sistema operativo durante la fase de autenticación.
- services.exe: encargado de iniciar y detener los servicios del sistema operativo.
- svchost.exe: se encarga de ejecutar todos aquellos servicios que utilizan las Librerías de Enlaces Dinámicos (DLL). Básicamente realiza un chequeo del registro para identificar los servicios que el sistema necesita cargar.
Procesos Secundarios
También existen otros procesos precedentes de aplicaciones que hayamos instalado. Por ejemplo, nos puede aparecer el proceso “Firefox.exe” en el caso de nuestro navegador web o “Mysqld.exe” en caso de nuestra base de datos. Sabiendo esto, podemos suponer que un malware también puede estar ejecutándose en segundo plano como los anteriores, y peor aún, hacerse pasar por alguno de ellos. Por eso es muy importante conocer los procesos que se ejecutan en nuestro equipo ya que, de ser así, localizaremos más rápido la infección.
El atacante puede hacer dicho malware de forma tal que sea muy difícil encontrarlo, ya sea que se ejecute a través de un rootkit, que se haya inyecto en un proceso propio del sistema (como explorer.exe) o que lleve el nombre de alguna aplicación benigna (por ejemplo, adobereader.exe).
Conexiones
Una buena práctica para protección de malware ante ciertas anomalías en el sistema, sería analizar las conexiones activas del mismo. Haciendo esto podemos verificar cuáles son los procesos que entran y salen desde nuestra máquina.
Para esto, vamos a abrir la consola o cmd de Windows (Es importante que lo abramos ejecutándolo como administrador) y utilizaremos el comando netstat. Esta herramienta nos permitirá monitorizar aquellos procesos con sus respectiva dirección IP, puerto y estado del mismo. Con netstat –b podremos saber cuál es el ejecutable que está abriendo la conexión en nuestro sistema.
Es importante que antes de ejecutar este comando cerremos todas las aplicaciones que hagan conexiones externas (navegadores webs, mensajería instantánea, software P2P, etc) si todo está cerrado, netstat –b no debería mostrar conexiones activas. En caso de que lo haga, tendremos que identificar cuál es el ejecutable que efectivamente está abriendo la conexión ya que podría tratarse de un malware.
Auto-Arranque
No debemos olvidar que los malwares pueden estar tan bien hechos, que incluso pueden auto iniciarse con el sistema. Es decir, además de generar conexiones, puede realizar técnicas de persistencia con el arranque del sistema operativo. Por lo tanto, teniendo esto en cuenta, como medida de protección contra malware también se recomienda utilizar la herramienta autoruns de la suite Sysinternals, que va a verificar todas estas técnicas de auto arranque y nos va a mostrar cuáles son los programas que se van a iniciar de forma automática.
Softwares antimalware
Mucho se habla sobre la diferencia entre antivirus y antimalware, primero debemos tener en cuenta que todo virus es un malware, pero no todo malware en un virus. Sin embargo, con el paso del tiempo las empresas de antivirus se fueron actualizando y enfocando, no solamente en los virus, sino en los malwares que más estaban teniendo relevancia.
Por lo tanto, un antivirus es un software que posee la función de detectar códigos maliciosos. Aunque su nombre está relacionado con los virus informáticos, actualmente estos programas siven para la protección contra malware, ya que poseen seguridad contra gusanos, troyanos, spyware, rootkit, etc. Es decir, todo tipo de códigos maliciosos. Además, un antivirus tiene como función identificar una amenaza. Esto se refiere a la capacidad de la aplicación no sólo de detectar un malware, sino también de describir de qué amenaza se trata, tanto por su tipo (virus, troyano, gusano, etc.) como su nombre (por ejemplo, los mas famosos Michelangelo, Conficker, QHost, Nuwar, etc.). Finalmente, una vez detectada e identificada cierta amenaza, un antivirus debe prevenir o eliminar la misma del sistema.
Simulación de malware
A continuación, y a modo de protección contra malware, estableceremos un archivo «vulnerable» para ver el procedimiento que deberíamos llevar a cabo mediante una supuesta amenaza. Esta práctica la realizaremos mediante el antimalware McAfee.
Iniciar Antimalware
Cuando iniciamos el programa, este nos ofrecerá los distintos tipos de escaneo. Como vemos, este incluye un escaneo general del equipo (el cual vamos a elegir en el ejemplo), un archivo en particular, una url o link de algún sitio web y algún tipo de documento de Office (Word, Excel, power point) inluso PDF.
Una vez elegida la opción deberemos aceptar los términos y condiciones. Y comenzará el escaneo.
Finalizado el mismo, nos mostrará en pantalla la cantidad de archivos que verificó y cuántos de estos son sospechosos. Podemos ver todo el trabajo realizado en “View Results”. Por lo general, este resultado se suele guardar en el directorio C:\Users\usuario \AppData\Local\Temp a través de un block de notas.
Escanear archivo
A modo de ejemplo, vemos que toma como “sospechoso” un video juego en el sistema (cuyo formato es .exe, es decir un ejecutable), dentro de la carpeta Program Files (x86).
En este caso, y como hemos mencionado anteriormente, lo mejor que podemos hacer es verificar dicho archivo sospechoso a través de Virus Total.
Efectivamente nuestro archivo, según Virus total, no representa ningún riesgo para nuestro equipo. Incluso podemos ver que nos da mucha información con respecto al Hash y la base de datos de los antivirus.
Veamos la columna de “DETAILS” (detalles):
Podemos ver que nos da el resultado en distintos Hash como es el caso de MD5, SHA-1, SHA-256, etc.. Ahora bien, debemos tener en cuenta que no es recomendable confiar siempre un 100% en estos servicios. Siempre hay que aplicar todo lo visto anteriormente y, en el caso de querer poner a prueba el funcionamiento de dicho archivo ejecutable, usar una máquina virtual o hacerlo en algún laboratorio de prueba.
Para reforzar estos conocimientos en seguridad, recomendamos leer los tipos de malwares existentes. Recordemos, nuestra mayor arma es NUESTRO CONOCIMIENTO.