El fantasma del sector de inicio

My power over you
grows stronger yet
(с) Andrew Lloyd Webber – Phantom Of The Opera

En la batalla en curso entre el malware y las tecnologías anti-malware, hay un interesante juego que se juega cada vez más por el rey del castillo.

Las reglas son simples: el ganador es quien se registra primero en la memoria del ordenador, toma el control de las “palancas” y, así, se protege de otras aplicaciones primero. En la parte superior del castillo se puede estudiar con todo con tranquilidad y proteger el orden del sistema (o, si usted es malicioso, provocar el caos de manera desapercibida e impune).

En resumen, el vencedor toma el control sobre el equipo.

Los cibercriminales tomaron interés en el sector de bootkit, ya que invadirlo es el camino ideal para ocultar el hecho de que el equipo está infectado.

La lista de aplicaciones que aspiran a asumir el liderazgo en el proceso de inicio comienza con… ¡El sector de boot! Una sección especial del disco que almacena toda las instrucciones que indican cómo, dónde y cuándo descargar. ¡Lo peor es que el sistema operacional también entra en esta lista! No es de extrañar que los cibercriminales hayan tomado especial interés en este sector, ya que invadirlo es el camino ideal para ocultar por completo el hecho de que el equipo está infectado. Estos ciberdelincuentes se apoyan en una clase particular de malware, los bootkits. Estos ciberdelincuentes se apoyan en una clase particular de malware, los bootkits.

Como se inicia tu computadora

1Lea atentamente para descubrir que son los bootkits e, así, proteger su sistema de ellos.

La verdad es que los bootkits existen desde hace un tiempo.

Ya en la década de los ochenta fueron una de las variantes más populares de virus. El primer virus de DOS, Brain, fue un bootkit. Pero los cazadores de virus aprendieron a lidiar con ellos con bastante rapidez, por lo que los creadores de virus perdieron interés en ellos rápidamente, y se trasladaron a otros métodos más efectivos (¡para ellos!) como el macro-virus para MS Office y worms de Internet.

Los Bootkits tuvieron su segunda oportunidad a finales de 2007, cuando una nueva versión del troyano-espía Sinowal apareció, que infectaba a los sectores de arranque. Esto fue un shock para algunas compañías anti-virus, porque los consideraban una cosa del pasado (desde finales de los años noventa) – al punto de que algunos productos eran absolutamente incapaces de proteger el sector de inicio del equipo.

Aunque los bootkits no representan una pandemia mundial, los informes demuestran que son una perceptible molestia.

Aunque los bootkits no representan una pandemia a escala mundial, los informes demuestran que son una perceptible molestia. Y en el submundo informático siempre surgen nuevos trucos…

Pero si los bootkits son tan astutos e indetectables, te preguntarás ¿por qué no atacan de forma más generalizada? ¿Realmente vale la pena preocuparnos en desarrollar una protección contra ellos?

Si, en primer lugar porque estimamos que el número de computadoras infectadas alrededor del mundo es de aproximadamente 10 millones – una pequeña cantidad ocmparada al número de equipos infectados no identificados.

Segundo, porque este método de infección es frecuentemente utilizado en ataques direccionados patrocinados por el Estado (el famoso FinSpy por ejemplo). Debes estar de acuerdo en que ser víctima de operativos de ciberguerra u operativos especiales no es la más atractiva de las perspectivas.

Y en tercer lugar, crear un bootkit exige un profundo conocimiento de la programación del sistema, característica que el cibercriminal no posee. Los bootkits son realmente astutos e indetectables -, pero no invencibles. Pero defenderse de este tipo de cosas también es difícil. Aún así, podemos hacerlo…

Infecciones de Bootkit, 2013

(basado solo en productos Kaspersky Lab)

2

Primero unas palabras sobre el ciclo de vida de un bootkit.

Por lo general, un ataque bootkit empieza con una vulnerabilidad en el sistema operativo o el software instalado en tu computadora. Al visitar una página web, éste investiga su equipo y, en caso de encontrar puntos débiles, ataca. En concreto: un archivo se carga sub-repticiamente en el ordenador y así se inicia la infección.

Tras la infección, el bootkit se escribe en el sector de arranque y mueve el contenido original desde este sector hasta un lugar bien protegido en el disco duro para cifrarlo. A partir de entonces cada vez que el ordenador se encienda, los bootkit cargarán módulos maliciosos en la memoria (como un troyano bancario) al mismo tiempo que un medio para ocultarlo, como un rootkit. El rootkit es necesario para ocultar el hecho de que el equipo está infectado, identificará los futuros intentos de sistema operativo para verificar el contenido de otros aplicativos durante el inicio (inclusive anti-virus) y simplemente ¡deslizará el contenido original de nuevo en el sector de arranque! De esta forma, ¡parece que todo está bien!

Al parecer, con este monopolio de control sobre el sistema, una ciber-infección sólo puede ser eliminada desde otro disco con un sistema operativo limpio y un buen antivirus. Eso es sin duda una opción. Pero hemos desarrollado una tecnología que puede ayudar a combatir los bootkits activos (¡incluyendo los desconocidos!) para así curar la computadora automáticamente.

Nuestro emulador de arranque crea un ambiente artificial que replica el proceso de arranque del equipo, replicando todas las funciones, forma un recipiente de arranque especial y se lanza . El bootkit comienza a accionar… ¡y es en ese punto dónde nuestro producto se abalanza sobre él!

Nuestros productos corporativos y para el hogar tienen un emulador de arranque. Al igual que nuestro emulador para el sistema operativo o el navegador, se crea un ambiente artificial que replica el proceso de arranque del equipo. A continuación, el emulador va inteligentemente replicando todas las funciones de disco interceptadas, recoge todos los sectores necesarios, forma un recipiente de arranque especial y se lanza en este entorno. El bootkit piensa que es hora de entrar en acción y comienza su procedimiento habitual… ¡y es en ese punto dónde nuestro producto se abalanza sobre él! El objeto sospechoso es enviado a nuestros analistas de virus a través del servicio anti-malware de nube KSN para desarrollar la protección adecuada y actualizar las bases de datos. A partir de entonces la tecnología hace su tarea: el antivirus descifra el sector de arranque original, elimina el bootkit y todos sus módulos, y restaura el sistema. Si no puedes esperar, es posible tratar y curar la computadora utilizando nuestra funcionalidad gratuita KVRT.

Lo realmente bueno de esta tecnología es la forma en que ayuda a proteger contra bootkits desconocidos. En primer lugar, se utiliza el análisis heurístico local que detecta actividades sospechosas en la emulación de arranque. En segundo lugar, utilizamos nuestra nube KSN, que utiliza métodos estadísticos en los mismos contenedores para detectar anomalías en el bootkit.

Al igual que cualquier otro emulador, iniciar virtualmente la computadora precisa de un gasto de recursos bastante grande. Entonces, ¿por qué harías un análisis frecuente del sector de arranque? En resumen, porque ofrecemos el mejor de los dos mundos, el scanner del sistema puede ser agendado  (por ejemplo, para la noche), o se hace cuando el equipo está inactivo. Trabajo hecho y todo el mundo feliz :).

3

¿Qué viene luego?

Sin lugar a dudas blos ootkits evolucionarán aún más y serán más avanzados. Un ejemplo evidente son los polimórfos malware XPAJ, que fácilmente rondan las funciones de defensa de Windows, inclusive las recientemente introducidas para enmascarar su módo bootkit. También existen los bioskits – que consiguen ahondar aún más en el nivel de sistema …

Es claro que esta clase de malware seguirá siendo el arma predilecta de un pequeño número de grupos de ciberdelincuentes, para atraer la atención. Y habrá espacio para ellos es tanto haya productos anti-virus que no protegen de los bootkits. Aquí está la prueba: a continuación se presentan los resultados de un reciente ensayo comparativo de la capacidad de varios antivirus “para curar infecciones activas con varios bootkits comunes”. El panorama es sombrío, pero con ciertos destellos de optimismo…

4Al fin y al cabo, las cosas se ponen interesantes. Mientras tanto, ¡nosotros no esperamos sentados! Estamos pensando, trabajando, inventando, introduciendo, detectando,  curando… y salvando al mundo!

 

LEER COMENTARIOS 0
Deja una nota