fbpx
Wikipedia

Malware

Enero 12, 2022

Se llama programa malicioso, programa malévolo, programa malintencionado, en inglés malware (acortamiento de malicious software), badware o código maligno, a cualquier tipo de software que realiza acciones dañinas en un sistema informático de forma intencionada (al contrario que el «software defectuoso») y sin el conocimiento del usuario (al contrario que el software potencialmente no deseado[1]​).[2]​ Ejemplos típicos de estas actividades maliciosas son el[3]​ robo de información (p. ej. troyanos), dañar o causar un mal funcionamiento el sistema informático (p. ej. Stuxnet, Shamoon o Chernobyl), provocar un perjuicio económico, chantajear al propietario de los datos del sistema informático (p. ej. ransomware o programas de chantajeo), permitir el acceso de usuarios no autorizados, provocar molestias o una combinación de varias de estas actividades.[4][5][6][7]

El malware suele ser representado con símbolos de peligro o advertencia de archivo maligno.

Antes de que el término malware fuera acuñado por Yisrael Radai en 1990,[8][9]​ el software maligno se agrupaba bajo el término «virus informático» (un virus es en realidad un tipo de programa maligno).[10]

Para el 2020 un programa malicioso conocido con el nombre de Joker —debido a que el icono que utiliza al momento de aparecer en tiendas de aplicaciones es el de un payaso— infectó a más de 1700 aplicaciones que tuvieron que ser retirada de once tiendas de aplicaciones, pero este se adapta muy rápidamente a la tienda y se puede ocultar fácilmente.[11]

El malware tiene darse por crackers que entran a un dispositivo por diferentes movimientos, uno de ellos son por enlace y por el correo electrónico, y sacan información del usuario.[12]

Motivaciones

Durante los años 1980 y 1990, el malware era creado como una forma de vandalismo o travesura. Sin embargo hoy día la motivación principal es la obtención de un beneficio económico. En los últimos años está apareciendo malware asociado a amenazas persistentes avanzadas, que son campañas fuertemente orquestadas realizadas por grupos asociados a estados o a importantes instancias con poder, cuyo objetivo más habitual es el robo de información estratégica o producir daños en sistemas de organizaciones objetivo.

Las motivaciones más habituales para la creación de malware son:

  • Experimentar al aprender. Por el ejemplo el Gusano Morris tuvo este origen
  • Realizar bromas, provocar molestias y satisfacer el ego del creador. Ejemplos de este tipo de virus son Melissa y los llamados Virus joke.
  • Producir daños en el sistema informático ya sea en el hardware (por ejemplo Stuxnet y Chernobyl), en el software (por ejemplo Ramen cambia la página inicial del servidor web), en los datos (por ejemplo Shamoon o Narilam buscan la destrucción de los datos)[13]​ o provocando la caída de servidor (por ejemplo Code Red)
  • Provocar una degradación en el funcionamiento del sistema. Por ejemplo consumiendo ancho de banda de la red o tiempo de CPU.
  • Sacar beneficio económico. Por ejemplo:
    • Robando información (personal, empresarial, de defensa...) para luego usarla directamente en fraudes o revenderla a terceros. Al tipo de malware que roba información se le llama Spyware.
    • Chantajeando al propietario del sistema informático. Por ejemplo el Ransomware
    • Presentar publicidad. A este tipo de malware se le llama adware.
    • Mediante la suplantación de identidad. Es el objetivo final de muchos ataques de phishing.
    • Tomando control de computadoras para su explotación en el mercado negro. Estas computadoras infectadas zombis) son usadas luego para por ejemplo el envío masivo de correo basura, para alojar datos ilegales como pornografía infantil,[14]​ distribuir malware (pago por instalación[15]​), o para unirse en ataques de denegación de servicio distribuido (DDoS).

Cuando el malware produce pérdidas económicas para el usuario o propietario de un equipo, también se clasifica como 'crimeware o software criminal. Estos programas suelen estar encaminados al aspecto financiero, la suplantación de personalidad y el espionaje.[16]

Algunos autores distinguen el malware del grayware (también llamados greyware, graynet o greynet), definiendo estos como programas que se instalan sin la autorización usuario y se comportan de modo tal que resultan molestos o indeseables para el usuario, pero son menos peligrosos que los malware. En esta categoría, por ejemplo, se incluyen los programas publicitarios, marcadores, programas espía, herramientas de acceso remoto y virus de broma. El término grayware comenzó a utilizarse en septiembre del 2004.[17][18][19][20]

Estructura

Dentro del código del malware podemos tener código destinado a aportantes distintos tipos de funcionalidades:

  • La carga útil. Es la parte del código relacionada con la actividad maliciosa que realiza el malware. Por tanto esta parte es obligatoria.[21]
  • Opcionalmente el malware puede tener código para su distribución automática, se le llama reproducción, que propaga el malware a otras ubicaciones. Por tanto la infección por el malware puede ser directa, por ejemplo a través de la ejecución de programas descargados de la red, o a través de esta reproducción automática.
  • Opcionalmente el malware puede tener un código útil para el usuario destinado a ocultar la funcionalidad verdadera del software. Es típico ocultar el malware en plugins o programas de utilidad básica como salvapantallas. A los malware que tienen este componente se les llama troyanos.
  • Opcionalmente el malware puede tener código destinado a ocultar la actividad maliciosa realizada.

El malware, para realizar alguna de sus funciones, puede hacer uso de programas legítimos aprovechando sus funcionalidades para por ejemplo eliminar, bloquear, modificar, copiar datos o alterar el rendimiento de computadoras o redes. A este tipo de programas legítimos se les llama Riskware.[22]​ Algunos tipos de programas que son riskware son: Utilidades de administración remota, Clientes IRC, Descargadores de archivos, monitorizadores la actividad de la computadora, utilidades de administración de contraseñas, servidores de Internet (FTP, Web, proxy, telnet,...). Es habitual que los antivirus permitan detectar el riskware instalado.

Tipos

Hay distintos tipos de malware donde un caso concreto de malware puede pertenece a varios tipos a la vez:

  • Virus: secuencia de código malicioso que se aloja en fichero ejecutable (huésped) de manera que al ejecutar el programa también se ejecuta el virus. Tienen la propiedades de propagarse por reproducción dentro de la misma computadora.
  • Gusano: malware capaz de ejecutarse por sí mismo. Se propaga por la red explotando vulnerabilidades para infectar otros equipos.
  • Troyano: programa que bajo apariencia inofensiva y útil tiene otra funcionalidad oculta maliciosa. Típicamente esta funcionalidad suele permitir el control de forma remota del equipo (administración remota) o la instalación de puertas traseras que permitan conexiones no autorizadas al equipo. No se reproducen. Los troyanos conocidos como droppers son usados para empezar la propagación de un gusano inyectándolo dentro de la red local de un usuario.[23][24]
  • Bomba lógica: programas que se activan cuando se da una condición determinada causando daños en el sistema. Las condiciones de ejecución típicas suelen ser que un contador llegue a un valor concreto o que el sistema esté en una hora o fecha concreta.
  • Adware: muestran publicidad no solicitada de forma intrusiva provocando molestias. Algunos programas shareware permiten usar el programa de forma gratuita a cambio de mostrar publicidad, en este caso el usuario consiente la publicidad al instalar el programa. Este tipo de adware no debería ser considerado malware, pero muchas veces los términos de uso no son completamente transparentes y ocultan lo que el programa realmente hace.
  • Spyware: envía información del equipo a terceros sin que el usuario tenga conocimiento. La información puede ser de cualquier tipo, como por ejemplo, información industrial, datos personales, contraseñas, tarjetas de crédito, direcciones de correo electrónico (utilizable para enviarles correos basura) o información sobre páginas que se visitan (usable para seleccionar el tipo de publicidad que se le envía al usuario). Los autores de spyware que intentan actuar de manera legal pueden incluir unos términos de uso, en los que se explica de manera imprecisa el comportamiento del spyware, que los usuarios aceptan sin leer o sin entender. La mayoría de los programas spyware son instalados como troyanos junto a software deseable bajado de Internet. Sin embargo otras veces el spyware proviene de programas famosos de pago (ej. Red Shell fue distribuido a través de la plataforma [Steam]] por los propios desarrolladores de juegos).[25]​. El spyware suele estar centrado en obtener tipos específicos de información. Según como operan o la clase de información al que está orientado, tenemos distintos tipos de spyware. Hay que tener en cuenta que un spyware concreto puede ser de varios tipos a la vez. Algunos de los tipos más frecuentes son:
    • Keylogger: software que almacena las teclas pulsadas por el usuario con el fin de capturar información confidencial. Este tipo de software permite obtener credenciales, números de tarjeta de crédito, conversaciones de chat, contenido de correos, direcciones de los sitios web a los que se accede,...[26]
    • Banking Trojan: software que aprovecha vulnerabilidades para adquirir credenciales de financieras (de bancos, portales financieros por Internet, cartera de criptomonedas, brókers por Internet,...).[26]​ Es frecuente que este tipo de software, además, modifique el contenido de transacciones o de la página web, o inserten transacciones adicionales.[26]
    • Ladrón de contraseñas o inglés Password Stealer: software que se encarga de recopilar cualquier contraseña introducida dentro del dispositivo infectado.[26]
    • Infostealer: software que roba información sensible guardada en el equipo (navegadores, clientes de correo, clientes de mensajería instantánea,...), como por ejemplo contraseñas, usuarios, direcciones de correo electrónico, ficheros de log, historial del navegador, información del sistema, hojas de cálculo, documentos, ficheros multimedia...
    • Cookies de seguimiento, en inglés Tracking Cookie, o Cookies de terceros, en inglés third-party cookies. Es una cookie que se usa para compartir detalles de las actividades de navegación realizadas por el usuario entre dos o más sitios o servicios no relacionados.[27]​ Suelen estar relacionadas con empresas de publicidad que tienen algún acuerdo con sitios web y utilizan esa información para realizar marketing dirigido, orientar y mostrar anuncios, de forma tan precisa como sea posible, a segmentos relevantes de usuarios (Adware Tracking Cookie).[28][29]​ También pueden utilizarse para crear un perfil y realizar un seguimiento detallado de la actividad del usuario.[30]​ Por ejemplo, en 2000 se anunció que la Oficina de la Casa Blanca de la Política Nacional para el Control de Drogas, en colaboración con DoubleClick, había usado cookies de terceros para medir la eficacia de una campaña por Internet antidrogas haciendo seguimiento de quien había clicado en el anuncio y que páginas fueron vistas a continuación (Cookiegate).[31][32]​ Google tiene previsto eliminar el soporte de cookies de terceros en 2023 e imponer el uso de la API FLoC como sustituto.[33]
    • Stalkerware. Es un spyware especialmente diseñado para dispositivos móviles que tiene como objetivo obtener todo tipo de datos e información de la víctima, su actividad por Internet y controlar todos sus movimientos.[34]
  • Malvertising: se aprovecha de recursos disponibles por ser un anunciante publicitario, para buscar puertas traseras y poder ejecutar o instalar otro malware. Por ejemplo anunciante publicitario en una página web aprovecha brecha de seguridad de navegador para instalar malware.
  • Ransomware o criptovirus: software que afecta gravemente al funcionamiento del ordenador infectado (ejemplo cifra el disco duro o lo bloquea) infectado y le ofrece al usuario la posibilidad de comprar la clave que permita recuperarse de la información. An algunas versiones del malware (p. ej. Virus ucash) se enmascara el ataque como realizado por la policía y el pago como el abono de una multa por haber realizado una actividad ilegal como por ejemplo descarga de software ilegal.
  • Rogueware: es un falso programa de seguridad que no es lo que dice ser, sino que es un malware. Por ejemplo falsos antivirus, antiespía, cortafuegos o similar. Estos programas suelen promocionar su instalación usando técnicas de scareware, es decir, recurriendo a amenazas inexistentes como por ejemplo alertando de que un virus ha infectado el dispositivo. En ocasiones también son promocionados como antivirus reales sin recurrir a las amenazas en la computadora. Una vez instalados en la computadora es frecuente que simulen ser la solución de seguridad indicada, mostrando que han encontrado amenazas y que, si el usuario quiere eliminarlas, es necesario la versión de completa, la cual es de pago.[35]
  • Decoy o señuelo: software que imita la interfaz de otro programa para solicitar el usuario y contraseña y así poder obtener esa información.
  • Dialer: toman el control del módem dial-up, realizan una llamada a un número de teléfono de tarificación especial, muchas veces internacional, y dejan la línea abierta cargando el coste de dicha llamada al usuario infectado. La forma más habitual de infección suele ser en páginas web que ofrecen contenidos gratuitos pero que solo permiten el acceso mediante conexión telefónica. Actualmente la mayoría de las conexiones a Internet son mediante ADSL y no mediante módem, lo cual hace que los dialers ya no sean tan populares como en el pasado.
  • Secuestrador de navegador: son programas que realizan cambios en la configuración del navegador web. Por ejemplo, algunos cambian la página de inicio del navegador por páginas web de publicidad o páginas pornográficas, otros redireccionan los resultados de los buscadores hacia anuncios de pago o páginas de phishing bancario.
  • Wiper: es un malware orientado al borrado masivo de datos. Por ejemplo discos duros o bases de datos.[36]
  • Clipper malware. Es un malware que se aprovecha de que los usuarios tienden a, en lugar de insertar manualmente, copiar cierto tipo de informaciones en el portapapeles (en inglés clipboard) y luego la utilizan pegándola en donde necesitan. Lo que hace este tipo de malware es monitorizar el portapapeles y cuando su contenido se ajusta a ciertos patrones lo reemplaza de manera oculta con lo que el atacante quiera.[37][38]​ El uso más habitual de este tipo de aplicaciones es el secuestro de transacciones de pago al cambiar el destino de las mismas[37][39]​. Lo que hacen es sustituir dirección de una cartera digital o cartera de criptomonedas, posible destino de la transacción, copiada en el portapapeles, por una perteneciente al atacante.[37][38][39]​ Este tipo de ataque explota la complejidad inherente a cierto tipo de datos, los cuales son largas cadenas de números y/o letras que parecen aleatorios.[38]​ Esto favorece que el usuario se apoye en el Copiar & Pegar del portapapeles y además dificulta que al pegar pueda ser advertido que el dato ha sido reemplazado.[38]
  • Criptominado malicioso, en inglés Cryptojacking: es un malware que se oculta en un ordenador y se ejecuta sin consentimiento utilizando los recursos de la máquina (CPU, memoria, ancho de banda,...) para la minería de criptomonedas y así obtener beneficios económicos. Este tipo de software se puede ejecutar directamente sobre el sistema operativo de la máquina o desde plataforma de ejecución como el navegador.[40][41]
  • Malware para el robo de criptomonedas. Es un malware especialmente diseñado para el robo de criptomonedas. Para este cometido es habitual el uso de Clipper malware, tipo de malware ya visto, diseñado para controlar el portapapeles y cuando detecta una dirección de criptomonedas, automáticamente la reemplaza por la del atacante.[37][42]​ De esta forma si queremos realizar una transferencia a la dirección que creemos que tenemos en el portapapeles, en este caso irá a la dirección del atacante.[42]​ Otros malware, como HackBoss, se centran en robar claves de carteras de criptomonedas.[43]
  • Web skimming: software que los atacantes instalan en aplicaciones webs de comercio electrónico con el fin de recopilar información de pago (datos personales y de tarjetas de crédito fundamentalmente) de los usuario que visiten dicho sitio web comprometido.[44]
  • Apropiador de formulario: software que permite robar información que es introducida en formularios web.[45]

Técnicas de evasión

Para que un software maligno pueda completar sus objetivos, es esencial que permanezca oculto ya que si es detectado sería eliminado tanto el proceso como el propio malware, pudiéndose no haber completado sus objetivos. Las principales técnicas de evasión, algunas de ellas calificadas como técnicas de evasión avanzadas (AET),[46]​ son:[47]

  • Estrategias orientadas a evadir la detección haciendo que el código del malware en las distintas infecciones sea lo menos identificable posible por patrones de código o basado en hash. Para implementar este tipo de estrategias se usan técnicas de cifrado y ofuscación. Las estrategias más importantes son las siguientes:[48]
    • El Cifrado base, o simplemente malware cifrado,[49]​ consiste en cifrar una parte significativa del malware y tener un descifrador/cargador. El descifrador carga en memoria el texto cifrado, los descifra en memoria y lo ejecuta. La clave para descifrar está explícita o implícitamente en el descifrador/cargador. Es habitual que cada instancia use una clave distinta. Incluso la clave puede cambiar cada cierto tiempo teniendo que recifrar el texto cifrado y actualizar el cargador en consecuencia. El descifrador/cargador queda invariante excepto quizá la clave[50]​ Hacer detecciones confiables basadas en los componentes no cifrados es difícil, dado que los elementos que residen en el disco no exponen comportamientos maliciosos.[51]​ A las herramientas que a partir de un programa automáticamente generan otro que realizan el cifrado base se les llama crypters.[52]
    • Oligomórfico. Es una forma avanzada de uso del cifrado en el malware que consiste en tener una colección de diferentes descifrador/cargador y se elige para cada nueva víctima uno al azar. De esta forma el código del descifrador/cargador no es el mismo en todos los casos. Esto dificulta un poco la detección del descifrador/cargador ya que en lugar de comprobar un solo descifrador/cargador, se tiene que comprobar todas las posibles formas que puede tener. El número de posibilidades suele ser como mucho varios centenares[53]​).[54]
    • Polimórfico. Es una forma avanzada de uso del cifrado en el malware que consiste en generar diferentes descifrador/cargador a partir de un motor polimórfico embebido. El motor polimórfico es un software que permite automáticamente generar un gran número de descifrador/cargador, del orden de millones. Para ello usa distintas técnicas de ofuscación[55]​ En 1990 se creó el primer virus polimórfico V2PX, también llamado 1260. En 1992 se creó el primer toolkit polimórfico, Mutation Engine (MtE), el cual permitía crear malware polimórfico.[55]
    • Metamórfico. Esta técnica se creó debido a que las herramientas antimalware aprovechaban que era fácil detectar código malicioso una vez que la parte cifrada había sido descifrada.[55]​ Este tipo de software se basa en el uso de un motor metamórfico embebido dentro del mismo que muta su código. El cuerpo completo del malware cambia, incluido el propio motor de mutación. El malware metamórfico no tiene parte cifrada y, por lo tanto, no necesita descifrador. Se trata de malware polimórfico que emplea un motor de mutación para mutar todo su cuerpo en lugar de modificar solo el descifrador.[56]​ De esta forma el malware nunca revela su contenido común en memoria, lo que hace que sea más difícil de detectar por sistemas antimalware.[57]
De esta forma cada vez que se propaga un malware metamórfico bien construido, se crea una nueva versión que mantendrá el mismo efecto y comportamiento general. Se supone que un buen motor metamórfico crea un número infinito de versiones sin patrones de cadena identificables comunes, lo que hace que su detección mediante firmas sea prácticamente imposible.[55]​ Para detectar este tipo de malware se han de emplear técnicas basadas en el análisis de comportamiento y herurísticas.[56]
  • El cifrado de los datos transferidos.[46]​ Lo habitual es usar cifrado simétrico debido a que el cifrado asimétrico tiene un coste computacional alto.[58]
  • Uso de protectores de software para dificultar la detección del malware. Pueden usar técnicas de empaquetamiento de ejecutables, cifrado y ofuscación.[59]
  • Infección sin afectar a ficheros (en inglés fileless infections). Infecciones que no tocan el disco y solo residen en memoria para evitar la detección. Por ejemplo el kit de exploit Angler hacía este tipo de infecciones.[60]
  • Uso de protocolo de Diffie-Hellman de intercambio de claves para ocultar el tráfico a herramientas de detección de tráfico de red malicioso. Este sistema es usando por los kits de exploit web Angler y Nuclear.[61]
  • Uso de técnicas de DNS Fluxing destinadas a ocultar la ubicación real de determinados recursos (servidores) dentro de una red.[62]
  • Uso de Algoritmos de generación de dominio. Estos algoritmos generan automáticamente dominios nuevos que son usados para alojar servidores usados en el ciberataque. Típicamente se usan para alojar servidores de mando y control.[63]
  • Uso de técnicas de Blind proxy redirection. Consiste en usar equipos intermedios como proxy inverso con el propósito de dificultar los intentos de descubrir los servidores desde donde se controla el ataque. Estos nodos actúan como intermediarios entre nodos esclavos y servidores de C&C, así como entre sí. Agentes bot actúan como redireccionadores que canalizan las solicitudes y los datos hacia y desde otros servidores bajo el control del operador del ataque.[64]
  • Ocultar el tráfico en el tráfico habitual. Es habitual aprovechar comunicaciones IRC, programas de mensajería (p. ej. Skype), Blogs, webs de compartición de video, redes sociales o, en general cualquier servicio como Google Groups, Google Calendar o Reddit. Por ejemplo estos servidores se pueden utilizar para dejar la localización de los servidores C&C (ej. Casbaneiro y Stantinko usan descripciones de vídeos YouTube para dejar direcciones de máquinas involucradas en el ataque[65][66]​) o para dejar los comandos que son leídos por el malware. A veces (p. ej. Stego) se usan técnicas esteganográficas pasando del todo inadvertidas para cualquier que acceda[64][58]
  • Establecer comunicaciones y tráficos aleatorios entre servidores comprometidos y servidores de C&C.[64]
  • Domain shadowing. Consiste en tomar el control de un dominio registrado consiguiendo las credenciales de administración de modo que sea posible crear registros DNS para nuevos subdominios. Creando multitud de subdominios, el atacante configura una lista lo más amplia posible. Este comportamiento ha demostrado ser alta-mente efectivo para evitar técnicas de bloqueo típicas como el blacklisting y/o sinkholingde sitios o direcciones IP. A diferencia de fast-flux donde se cambia rápidamente la IP asignada a un único dominio, domain shadowing rota subdominos asociados a un dominio. Esos subdominios pueden apuntar bien a una única IP, o a un conjunto de ellas según las necesidades y circunstancias.[64]
  • Abuso de servicios de DNS gratuitos y dinámicos para generar dominios y subdominios maliciosos. Eso les permite a los atacantes entregar cargas maliciosas que cambian constantemente las IP de alojamiento, ya sea las computadoras de usuarios infectados o los sitios web públicos comprometidos.[67]
  • Fragmentar los payloads maliciosos y enviarlos a través de diferentes protocolos, normalmente poco habituales, con el fin de que una vez que hayan sorteado las protecciones del sistema atacado se vuelvan a unir para poder así continuar con el proceso de comprometer el sistema.[46]​ Cambiar de una inspección basada en paquetes a una inspección basada en el flujo completo no es fácil. Hacerlo requiere grandes cambios en el manejo de paquetes de bajo nivel y diferencias fundamentales en la arquitectura de los disposivos de seguridad de red. La inspección basada en el flujo completo usa más memoria y afecta al rendimiento del dispositivo.[68]
  • Canales encubiertos.[46]​ Por ejemplo, a veces se envía información empleando para ello las cabeceras de los protocolos de comunicación. Al llegar los paquetes a su correspondiente destino, se procesan los valores de las cabeceras de modo que se obtiene la información.[58]
  • Utilización de campos poco habituales de algunos protocolos.[46]
  • Realizar ataques de denegación de servicio. Por ejemplo para provocar la ralentización del procesamiento de datos por parte de un dispositivo de red de modo que se imposibilite la capacidad de gestionar correctamente todo el tráfico. Este hecho puede provocar que el dispositivo funcione en modo de error y que bloquee o permita todo el tráfico.[46]
  • Técnicas para evitar la identificación de todos los nodos pertenecientes a una botnet. Para ello los nodos de las botnets se envían únicamente listas parciales del resto de nodos de la botnet, es decir, envían únicamente el listado de nodos que conocen (peerlist), e incluso lo hacen de manera fragmentada. Además, algunas, como es el caso de Zeus, implementan mecanismos mediante los cuales bloquean los nodos que solicitan frecuentemente peerlist.[58]
  • Técnicas para evitar infiltraciones en la botnet que puedan tomar el control de la misma. Para ello incorporan esquemas de reputación para determinar qué nodos dentro de la botnet son confiables y cuáles no, y bloquean los nodos que identifican que consideran sospechosos.[58]
  • Comprobación del entorno en el que se ejecutan, con el fin de determinar si lo están haciendo en sandboxes o entornos de análisis de malware. En el caso de identificar estos entornos, su comportamiento es distinto con el fin de parecer software confiable. Incluso, en ocasiones, generan blacklists con las IPs de las sandboxes y entornos de análisis de malware con el fin de que otros malware utilicen ese conocimiento para evitar ser detectados.[58]
  • Dividir la funcionalidad en distintos malware con diferentes funcionalidades. Por ejemplo los droppers encargados de introducir el payload en el sistema, que es el que contiene realmente la funcionalidad. De este modo, puede ocurrir que se detecten los droppers y downloaders, y no el payload, o al revés.[58]
  • Descentralización de la estructura de una botnet. La utilización de botnets con estructura descentralizada, como es el caso de las P2P, dificulta significativamente su desmantelamiento. En algunos casos, utilizan múltiples servidores C&C con distintas versiones del malware. Así mismo, la utilización de servicios alojados en la red Tor, permite enmascarar la localización real de los servidores C&C.[58]
  • En sistemas Windows, esconder el código malicioso en el registro de Windows. De esta forma el programa no parece malware si es que no tenemos acceso al contenido de la clave de registro.[69]

Técnicas de resiliencia

Hay malware que tiene técnicas de resiliencia que permiten que sea difícil su eliminación. Por ejemplo:

  • Instalar varios servicios que se ejecutan al inicio del sistema, donde cada uno tiene la habilidad de reinstalar al otro en caso de que sea borrado del sistema. Esto provoca que para eliminar completamente la amenaza ambos deban borrarse al mismo tiempo. Por ejemplo Stantinko tiene esta estrategia.[51]
  • Actualización del malware. El malware, como cualquier otro software, puede tener mantenimiento. Esto permite mejorar sus características. Por ejemplo podemos mejorar sus métodos de ocultación para evitar ser detectado.. Tener algún mecanismo que permita la actualización permite mejorar dinámicamente su comportamiento para así evitar su detección y eliminación.

Malware como servicio

En el marco del Cibercrimen como servicio[70]​ o CaaS[71]​ (del inglés cybercrime-as-a-service) hay organizaciones de ciberdelincuentes que ofrecen servicios de programas maliciosos ilegales en la nube (por ejemplo para interrumpir operación, robar datos,...) dando lugar al llamado Malware como servicio o MaaS (del inglés Malware as a Service). Estos servicios son accesibles desde cualquier lugar y son extremadamente fáciles de usar. Cualquiera los puede usar y por tanto se les pueda vender a cualquiera. Estos servicios son contratados por operadores externos. Por ejemplo, empresas que quieren eliminar competidor o personas que quieren cometer fraude con tarjetas de crédito.[72]

Como con cualquier otro servicio, el proveedor es importante realizar la atención al cliente, para garantizar la satisfacción del cliente e intentar ventas adicionales.[72]​Dada la facilidad de manejo de estos servicios y el pago a través de criptomonedas, los ciberdelincuentes solo deben preocuparse de propagar esta amenaza entre la mayor cantidad de víctimas posible.[73]

El MaaS amenaza a las organizaciones de dos maneras:[72]

  • Crea una demanda de programas maliciosos cada vez mejores y más fáciles de usar, ya que los desarrolladores de malware luchan por distinguirse de su competencia. Esto conduce a avances significativos en la accesibilidad y sofisticación de las amenazas de malware.
  • Aumenta enormemente el número de amenazas individuales, ya que permite a los usuarios que de otro modo no tendrían la habilidad técnica para crear sus propios programas maliciosos. Esto efectivamente permite que casi cualquier persona inicie ataques cibernéticos.

Según el tipo de actividad maliciosa que realiza podemos tener malware de distintos tipos: Ransomware como servicio o RaaS (del inglés Ransomware as a Service),[74]Phishing como servicio o PHaaS (del inglés Phishing-as-a-Service),[75]DDoS como servicio[76]​ o DDoSaaS (del inglés DDoS as a service)[77]​,...

Es habitual que este tipo de servicios se alojen en la red de anonimato TOR, para dificultar a las autoridades identificarlos.[78]

Conceptos relacionados

Relacionados con el malware hay una serie de conceptos informáticos:

  • Puerta trasera. Vía alternativa de acceso que elude los procedimientos habituales de autenticación al conectarse a una computadora. En relación con el malware es frecuente que:
    • Un malware instale una puerta trasera para permitir un acceso remoto más fácil en el futuro
    • Se use una puerta trasera como vía para instalar un malware.
  • Drive-by-Download. Consiste en la descarga involuntaria de software de ordenador proveniente de Internet. Es una vía típica para descargar malware especialmente las descargas ocultas que se producen cuando navegamos por ciertas webs.[79][80]​ Por esta razón a los navegadores se les están agregando bloqueadores antimalware que muestran alertas cuando se accede a una página maliciosa, aunque no siempre dan una total protección.
  • Rootkits. Son juegos de herramientas disponibles que permiten a usuarios externos acceder sin autorización a un sistema informático y modifican el sistema operativo para encubrir acciones maliciosas. Por ejemplo para encubrir pueden proporcionar herramientas que oculten los puertos abiertos que evidencias comunicación, ocultar archivos u ocultar procesos involucrados. Al instalar malware es frecuente hacer uso de estos juegos de utilidades. Hoy día también es frecuente que el propio malware incluya las rutinas de ocultación del rootkit. Algunos programas malignos también contienen rutinas para evitar ser borrados como porjemplo tener dos procesos-fantasmas corriendo al mismo tiempo y cada proceso-fantasma debe detectar que el otro ha sido terminado y debe iniciar una nueva instancia de este en cuestión de milisegundos. Con este sistema la única manera de eliminar ambos procesos-fantasma es eliminarlos simultáneamente, cosa muy difícil de realizar, o provocar un error al sistema deliberadamente.[81]
  • botnets. Son redes de computadoras infectadas por malware, a las que se llama zombis, que pueden ser controladas a la vez por un individuo y realizan distintas tareas. Este tipo de redes son usadas para el envío masivo de spam o para lanzar ataques DDoS contra organizaciones como forma de extorsión o para impedir su correcto funcionamiento. La ventaja que ofrece a los spammers el uso de ordenadores infectados es el anonimato, que les protege de la persecución policial. Típicamente la computadora infecta se logueq en una canal de IRC u otro sistema de chat desde donde el atacante puede dar instrucciones a todos los sistemas infectados simultáneamente. Las botnets pueden ser usadas para actualizar el malware en los sistemas infectados manteniéndolos así resistentes ante antivirus u otras medidas de seguridad.
  • Vulnerabilidades. Las vulnerabilidades son puntos débiles de un sistema informático que permiten que un atacante comprometa la integridad, disponibilidad o confidencialidad del mismo. Estas vulnerabilidades son aprovechadas por el malware para ejecutar su código malignos. Las vulnerabilidades suelen ser producidos por Errores de software, sobre-privilegios de usuarios (usuarios a los que se les ha concedido más privilegios de los que se debería haber otorgado), sobre-privilegios de código (programas a los que se le ha concedido más privilegios del que se debería haber otorgado), ejecución por parte del usuario de software no confiable. Otro factor que afecta a la vulnerabilidad de un sistema complejo formado por varios ordenadores es que todos los ordenadores del sistema funcionen con el mismo software (homogeneidad). Por ejemplo, cuando todos los ordenadores de una red funcionan con el mismo sistema operativo, si se puede comprometer ese sistema, se podría afectar a cualquier ordenador que lo use.[82]
  • Exploits. Es un software que aprovecha un defecto del programa (vulnerabilidad). Es la forma de aprovechar una vulnerabilidad. Están incorporados en el malware ya sea para su instalación en el sistema objetivo, para reproducirse o para realizar su funcionalidad objetivo.
  • Honeypots y Honeynets. Los Honeypots son un recurso de red destinado a ser atacado o comprometido. Por ejemplo por un malware. Su objetivo es que sea examinado, atacado y probablemente comprometido por cualquier atacante. Son los encargados de proporcionarnos información valiosa sobre los posibles atacantes en potencia a nuestra red antes de que comprometan sistemas reales. Una vez realizadas las primeras pruebas con éxito, se propuso la extensión de este concepto dando lugar a las Honeynet. Una Honeynet es un Honeypot que es una red real, con todos sus elementos funcionando, diseñada para ser comprometida y poder obtener información sobre los atacantes.[83]
  • Kits de exploits. Son herramientas que ayudan en la creación de malware proveyendo distintos exploits a modo de biblioteca. Con este software es fácil crear malware que puede ser aprovechado para realizar tests de intrusión y validar la seguridad del sistema. Ejemplos de este tipo de software son Metasploit Framework, Immunity CANVAS, Core Impact, unicorn, Malicious Macro Generator o Lucky Strike. Otros sitios, como Packet Storm y Miw0rm, poseen igualmente importantes cantidades de código de explotación disponible para ayudar en esta tarea.[84][85][86]
  • Herramientas de simulación de ataque. Permiten emular cualquier amenaza real en una red para comprobar la eficacia de los sistemas de seguridad frente a ella. Un ejemplo de este tipo de software es Cobalt Strike.[87]
  • Escáner de puertos. Herramientas que realizan la comprobación de qué puertos de un sistema están abiertos. Es habitual este tipo de herramientas cuando se diseña un malware para usar con un sistema objetivo concreto. El ejemplo típico de este tipo de herramientas es nmap.[88]
  • Escáner de vulnerabilidades. Son herramientas utilizadas para buscar vulnerabilidades en un sistema. Es habitual este tipo de herramientas cuando se diseña un malware para usar con un sistema objetivo concreto. Ejemplos de este tipo de herramientas son Shadow Security Scanner, Retina, OpenVAS y Nessus.[88]
  • Servicios de resolución de CAPTCHA. Es frecuente que el malware haga uso de servicios de resolución de CAPTCHA con el fin de poder acceder a recursos gratuitos que ofrece la red. Por ejemplo, malware que crea cuentas falsas en redes sociales.[69]
  • Acortador de URL. Es habitual que el malware hagan de servicios de URL acortadas. Estos servicios permite ocultar la URLs final de servicios maliciosos.[89]​ Además, en ocasiones, permiten introducir publicidad y registrar datos sobre los usuarios (navegador, sistema operativo,...).[90]​ Por todas estas razones, es frecuento que algunos servicios que acortan URL, especialmente los que no controlan los destinos de los enlaces, se han dominios prohibidos en las listas negras.
  • Sumidero de DNS. Para luchar contra el malware a veces es efectivo tener un sumidero de DNS que proporcione IPs falsas o nulas como resolución de cierto dominio que solicita el malware. De esta forma se evita que el malware use un cierto nombre de dominio en el ataque (p. ej. servidor de mando y control, servidor objetivo de un ataque de DoS).

Protección contra malware

Prevención

Siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de una computadora, algunos son:

  • Tener el sistema operativo y el navegador web actualizados.[91]
  • Tener instalado un antivirus y un firewall y configurarlos para que se actualicen automáticamente de forma regular ya que cada día aparecen nuevas amenazas.[92]
  • Utilizar una cuenta de usuario con privilegios limitados, la cuenta de administrador solo debe utilizarse cuándo sea necesario cambiar la configuración o instalar un nuevo software.
  • Tener precaución al ejecutar software procedente de Internet o de medio extraíble como CD o memorias USB. Es importante asegurarse de que proceden de algún sitio de confianza.
  • Una recomendación en tableta, teléfono celular y otros dispositivos móviles es instalar aplicaciones de tiendas muy reconocidas como App Store, Google Play o Tienda Windows, pues esto garantiza un muy mínimo riesgo de contener malware alguno.[93]​Existe además, la posibilidad de instalar un antivirus para este tipo de dispositivos.
  • Evitar descargar archivos (programas, contenido multimedia, documentos) de origen no confiable (ej. redes P2P, páginas web de descarga de contenidos).
  • No conectar dispositivos externos no confiables. Los dispositivos pueden contener archivos infectados, que pueden ejecutarse automáticamente, o incluso el dispositivo en sí puede tener como objetivo dañar eléctricamente los equipos (Ej. USB Killer).
  • Desactivar la interpretación de Visual Basic Script y permitir JavaScript, ActiveX y cookies solo en páginas web de confianza.
  • Utilizar contraseñas de alta seguridad para evitar ataques de diccionario.[94]
  • Uso de tecnologías que analicen la fiabilidad de sitios web. Son tecnologías que antes de acceder a una página web avisan si el sitio web ha sido notificado como malicioso y/o que un análisis de su código ha dado como conclusión que tiene contenido malintencionado. Por ejemplo, en Windows la opción SmartScreen del Internet Explorer hace este tipo de funcionalidades. Hay extensiones/complementos de navegador como WOT muestras reputaciones de páginas web basadas en opiniones de usuarios. Algunos buscadores (ej. Google) alertan en los resultados de búsquedas de sitios web que pudieran ser de sitios maliciosos. Hay páginas web como [1] que dada una página web muestran su reputación desde diferentes sistemas de reputación (WOT, Avira,...).

Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes a medios extraíbles como CD, DVD o Disco duro externo, para poderlos recuperar en caso de infección por parte de algún malware, pero solamente si se está 100% seguro que esas copias están limpias.

Software anti-malware

Es un tipo de programa diseñado para prevenir, detectar y remediar software malicioso en los dispositivos y sistemas informáticos. Los términos antivirus y anti-malware se utilizan a menudo como sinónimos ya que los virus informáticos son un tipo específico de malware.

Tipos de software anti-malware:

  • Antivirus. Son programas que detectan y eliminan o bloquean la actividad de malware. Puede proteger de varias formas:[95]
    • Escaneando el tráfico procedente de la red en busca de malware que bloquea.
    • Interceptando intentos de ejecución automática no permitida
    • Interceptando intentos de modificaciones no permitidas sobre aplicaciones importantes como el navegador web.
    • Detectando y eliminando o bloqueando malware que ya ha sido instalado en una computadora. Para ello analiza los programas instalados, el contenido del registro de Windows (para sistemas Windows), los archivos del sistema operativo y la memoria. Al terminar el escaneo muestra al usuario una lista con todas las amenazas encontradas y permiten escoger cuales eliminar o bloquear.
  • Antispyware. Software que sirve para detectar, prevenir y eliminar Spywares. Está centrado en este tipo de malware.[96]
  • Virtualización, permite dar acceso ilimitado pero solo a recursos virtuales.
  • aislamiento de procesos también conocido como sandbox.
  • Cortafuegos. Software diseñado para controlar el tráfico de red. Ejemplos de funciones: Filtrar paquetes de red sospechosos a partir de la información que contiene (por ejemplo dirección origen, dirección destino, tipo de mensaje,...), autenticación y autorización de accesos. Proporcionan cierto grado de protección frente a ataques de malware.
  • IDS o Sistemas de detección de intrusos. Sistema que recolecta y analiza información con el objetivo de identificar posibles fallos de seguridad debido.[97]​ Por ejemplo esta actividad puede ser debida a malware. El sistema cuando detecta acción sospechosa genera alarmas. La detección suele basarse en ver si el comportamiento se ajusta a algunos de los comportamientos típicos de malware que tiene en su báse de datos, la detección de ciertas secuencias en el código y/o en el análisis estadísticos de parámetros (ancho de banda, protocolos y puertos usados, dispositivos conectados,...). Los tipos más habituales son:
    • HIDS o IDS de host. Reside en un equipo monitorizado y se encarga de analizar todos los logs para detectar actividades sospechas.
    • NIDS o Sistemas de detección de intrusos en red. Están conectados a un segmento de red y se encargan de detectar actividades sospechosas en el tráfico, como por ejemplo ataques de denegación de servicio, escáneres de puertos o intentos de acceso.
  • IPS o Sistemas de prevención de intrusos. Hardware o software que tiene la habilidad de detectar ataques tanto conocidos como desconocidos y reaccionar a ellos para impedir su éxito.[97]​ suelen usar un software de cortafuegos asociado o trabajar de forma coordinada con un cortafuegos.

Convenciones de nombres

El número de malware identificado es enorme. Por ejemplo, en 2013 se localizazon 170 millones distintos malware, y de ellos 70 millones habían aparecido nuevos ese mismo año.[98]​ Cada organización que trabaja con malware usa sus propios nombres internos para identificarlos. Sin embargo, para que las distintas organizaciones se puedan intercambiar información, es necesario un sistema estándar de identificación precisa. Esto es complicado debido al gran volumen del malware y a que varios malware pueden ser muy similares. Ha habido distintas iniciativas:[99][100]

  • La primera convención de nombres para malware fue propuesta en 1991 por la Computer Antivirus Researcher Organization. Esta convención se basaba en dar al malware un nombre base en función a característica/s reseñable/s, agruparlo en familias y desglosarlo en variantes. Debido a su propia naturaleza era frecuente que las distintas organizaciones que lo adoptaban daban distinto nombre al mismo malware lo que causaba confusión.
  • En 2004 el Mitre desarrolla la iniciativa Common Malware Enumeration (CME) con el objetivo de dar un identificador único a cada malware. Su propósito era intentar que la industria colaborara en este proyecto y con consenso conseguir identificadores únicos. El sistema pareció funcionar en 2005 pero en 2006 el gran incremento en la cantidad de malware redujo la necesidad de tener un identificador por cada malware. Lo importante era el desarrollo de heurísticas, que al analizar de forma genérica, permitiera la detección de gran número de instancias de malware. De este modo el último CME-ID fue generado a principios de 2017.
  • Malware Attribute Enumeration and Characterization (MAEC). Lenguaje basado en XML estandarizado por Mitre para la descripción y comunicación de información sobre malware. Está basado en atributos como comportamiento, artefactos, patrones de ataque, capacidades, relaciones con otros malware,.... Es un lenguaje de caracterización de malware basada en atributos que permite eliminar la ambigüedad y la inexactitud en su descripción. Ha habido distintas versiones.[101]​ Debido a que el malware concreto a partir de su comportamiento, se puede considerar como un indicador de compromiso.[102]​ A causa del nivele de detalle propuesto en MAEC, es prohibitivo caracterizar un con conjunto amplio de malware. Además, el conjunto de muestras que es posible caracterizar con este método está muy sesgado hacia aquellos que se pueden ejecutar en un entorno controlado de sandbox.[103]

Antimalware Day

El Antimalware Day se celebra el 3 de noviembre de cada año.[104]​ Se trata de una fecha que fue establecida en 2017 por la compañía de seguridad ESET con el objetivo de destacar la labor que realizan los investigadores que se desempeñan en el campo de la seguridad de la información y la industria en general. Asimismo, también para recordar la importancia de estar protegidos en un mundo cada vez más influenciado por la tecnología. La fecha elegida es el 3 de noviembre en homenaje a Frederick Cohen y Leonard Adleman, ya que esa misma fecha, pero del año 1983, el estudiante de Ingeniería de la Universidad del Sur de California, Fred Cohen, presentó un prototipo de programa maligno en un seminario de informática que luego su profesor, Len Adleman, bautizaría como virus informático.

Véase también

Compañías antimalware

 

Referencias

  1. ¿Qué es un programa potencialmente no deseado o PUP?. Manuel Cantero. cybernautas.es. 22 de agosto de 2018
  2. Rodríguez Campos, David (18 de febrero de 2020). (html). Think Big Telefónica. Archivado desde el original el 19 de febrero de 2020. Consultado el 18 de febrero de 2020. «El malware es cualquier tipo de código malicioso que busca infectar un sistema operativo, un computador o un artefacto que utiliza software. El objetivo del malware es incorporar un virus informático para acceder a información valiosa, los servicios del dispositivo o sus capacidades de procesamiento.» 
  3. «La guía esencial del malware: detección, prevención y eliminación». La guía esencial del malware: detección, prevención y eliminación. Consultado el 12 de noviembre de 2020. 
  4. Fruhlinger, Josh (23 de enero de 2019). (html). Revista CSO (IDG Ventures) (en inglés). Archivado desde el original el 30 de marzo de 2019. Consultado el 12 de abril de 2019. «Malware, short for malicious software, is a blanket term for viruses, worms, trojans and other harmful computer programs hackers use to wreak destruction and gain access to sensitive information.» 
  5. (html). Fundación del Español Urgente. 8 de noviembre de 2013. Archivado desde el original el 23 de diciembre de 2013. Consultado el 12 de abril de 2019. «La expresión programa maligno es una alternativa en español al anglicismo malware.» 
  6. Moir, Robert (31 de marzo de 2009). (html). Microsoft Docs (en inglés). Archivado desde el original el 20 de septiembre de 2018. Consultado el 12 de abril de 2019. «"Malware" is short for malicious software and is typically used as a catch-all term to refer to any software designed to cause damage to a single computer, server, or computer network, whether it's a virus, spyware, et al.» 
  7. Microsoft TechNet. «Defining Malware: FAQ» (en inglés). 
  8. Messmer, Ellen (29 de junio de 2008). (html). PC World (en inglés). Archivado desde el original el 16 de octubre de 2012. Consultado el 12 de abril de 2019. «MALWARE: A term to describe the wide range of malicious code, it was first used by Yisrael Radai on July 4, 1990, in a public posting in which he wrote: "Trojans constitute only a very small percentage of malware (a word I just coined for trojans, viruses, worms, etc)." Chris Klaus gets credit for being the first to widely use the word malware in presentations.» 
  9. Christopher Elisan (5 de septiembre de 2012). Malware, Rootkits & Botnets A Beginner's Guide. McGraw Hill Professional. pp. 10-. ISBN 978-0-07-179205-9. 
  10. Fruhlinger, Josh (23 de enero de 2019). (html). Revista CSO (IDG Ventures) (en inglés). Archivado desde el original el 30 de marzo de 2019. Consultado el 12 de abril de 2019. «This means that the question of, say, what the difference is between malware and a virus misses the point a bit: a virus is a type of malware, so all viruses are malware (but not every piece of malware is a virus).» 
  11. «What its Joker Malware? How to protect yourself from this thread.». 
  12. «La guía esencial del malware: detección, prevención y eliminación». La guía esencial del malware: detección, prevención y eliminación. Consultado el 12 de noviembre de 2020. 
  13. Donohue, Brian (27 de enero de 2014). (html). Kaspersky. Archivado desde el original el 24 de febrero de 2020. Consultado el 24 de febrero de 2020. «El primer Wiper fue tan efectivo que él mismo se eliminó de los miles de equipos iraníes que había infectado. De esta manera, no fue posible encontrar ni una muestra del malware.» 
  14. PC World. (en inglés). Archivado desde el original el 27 de julio de 2008. 
  15. El 60% del malware se distribuye mediante pay-per-install. ccn-cert.cni.es. 13 de Septiembre 2011
  16. ALEGSA. «Definición de Crimeware». 
  17. Definición de greyware en la Webopedia (en inglés)
  18. Sobre los riesgos del grayware (en inglés)
  19. Definición de graynet o greynet (en inglés)
  20. Definición de greyware (en inglés)
  21. ESET. . Archivado desde el original el 14 de diciembre de 2009. 
  22. ¿Qué es el riskware?. kaspersky.com
  23. Viruslist.com. . Archivado desde el original el 24 de septiembre de 2010. 
  24. Symantec Corporation. «Trojan.Dropper» (en inglés). 
  25. Red Shell, el spyware de juegos de Steam que espía a los usuarios. Alejandro Alcolea Huertos. computerhoy.com. 22 de junio de 2018
  26. 4 Common Types of Spyware and How To Detect Them]. managedsolution.com. 11 de agosto de 2020
  27. Tracking Cookie. f-secure.com
  28. Adware Tracking Cookie: qué es y en qué se diferencia del adware normal. José Antonio Lorenzo. redeszone.net. 20 de junio de 2021
  29. Cookies de seguimiento y el RGPD. cookiebot.com. 21 de julio de 2021
  30. Tracking Cookies. Vanessa Orozco. 13 de octubre de 2017
  31. Federal Government Policy on the Use of Persistent Internet Cookies: Time for Change or More of the Same?. Daniel Castro. The information Technology & Innovation foundation. Mayo de 2009
  32. U.S. antidrug site dealing cookies. Keith Perine. cnn.com. 23 de junio de 2000
  33. ¡Google recula! No matará las cookies hasta 2023. Alberto García. adslzone.net. 24 de junio de 2021
  34. Stalkerware, el spyware que controla todos tus movimientos. javier Jimenez. redeszone.net. 29 de noviembre de 2019
  35. Software malintencionado o infeccionso. Bertha Lopez Azamar
  36. Wiper y otros malware destructivos. Brian Donohue. kaspersky.es
  37. Descubren el primer malware tipo clipper en Google Play. Lukas Stefanko. welivesecurity.com. 8 de febrero de 2019
  38. What Is Clipper Malware and How Does It Affect Android Users?. Simon Batt. makeuseof.com. 15 de febrero de 2019
  39. How to remove E-Clipper malware from the operating system . Tomas Meskauskas. pcrisk.com 23 de agosto de 2021.
  40. Criptominería (Criptojacking). eset.com
  41. Todo acerca del cryptojacking. malwarebytes.com
  42. Evrial, el malware que roba criptomonedas a través del portapapeles, y el estafador estafado. ElevenPaths. blogthinkbig.com. 26 febrero de 2018
  43. HackBoss, el nuevo malware de robo de criptomonedas que opera a través de Telegram, Raquel Holgado. 20minutos.es. 16 de abril de 2021
  44. Análisis de actualidad:Ciberataquesjulio 2019. Adolfo Hernández Lorente. thiber.org. Julio 2019
  45. The art of stealing banking information – form grabbing on fire. Aditya K. Sood et ali. virusbulletin.com. 1 de noviembre de 2011
  46. Técnicas de evasión avanzadas. Asier Martínez. incibe-cert.es. 28 de mayo de 2015
  47. What is an Evasion Technique? . libraesva.com Diciembre de 2019
  48. BREVE NOTA SOBRE LA OFUSCACIÓN: LA CLAVE DEL MALWARE - PARTE 1. Sombrero Blanco. sombrero-blanco.com. 17 de noviembre de 2018
  49. Transcriptase–Light: A Polymorphic Virus Construction Kit. Saurabh Borwankar. San José State University. 22 de abril de 2017.
  50. Malware Intrusion Detection. Morton G. Swimmer. página 24. Lulu.com. 5 de julio de 2005
  51. Stantinko: campaña masiva de adware operando en secreto desde 2012. Frédéric Vachon y Matthieu Faou. .welivesecurity.com. 20 de julio de 2017
  52. Que son los Crypters?. lapaginadezero.wordpress.com. ZERO. 1 de mayo de 2015
  53. Malware Obfuscation Techniques: A Brief Survey. Ilsun You y Kangbin Yim . 2010 International Conference on Broadband, Wireless Computing, Communication and Applications
  54. Sistema_de_ofuscacion_de_malware_para_el_evasion_de_NIDS.pdf Sistema de ofuscacion de malware para la evasion de NIDS. Roberto Carrasco de la Fuente et ali. Universidad Complutense de Madrid. Junio de 2013
  55. Malware vs. Antivirus: the never-ending story (Part I). Eva Chen. blueliv.com/. 25 de diciembre de 2019
  56. Sistema de ofuscacion de malware para la evasion de NIDS. Roberto Carrasco de la Fuente et ali. Universidad Complutense de Madrid. Junio de 2013
  57. Malware Obfuscation Techniques: A Brief Survey. Ilsun You y Kangbin Yim . 2010 International Conference on Broadband, Wireless Computing, Communication and Applications
  58. La resiliencia de las botnets: "redes duras de pelar". Asier Martínez. incibe-cert.es. 21 de octubre de 2014
  59. Explained: Packer, Crypter, and Protector. Pieter Arntz. malwarebytes.com. 27 de marzo de 2017
  60. Angler. malwarebytes.com. 24 de Junio de 2016
  61. How Exploit Kit Operators are Misusing Diffie-Hellman Key Exchange. Brooks Li, Stanley Liu and Allen Wu. trendmicro.com. 21 de septiembre de 2015
  62. Detecting Algorithmically Generated Domains Using Data Visualization and N-Grams Methods. Tianyu Wang y Li-Chiou Chen. Seidenberg School of CSIS, Pace University, Pleasantville, New York. Proceedings of Student-Faculty Research Day, CSIS, Pace University, May 5th, 2017
  63. Algoritmo de Generación de Dominios. David Romero Trejo. davidromerotrejo.com. 2 de marzo de 2015
  64. Botnets: La amenaza fantasma. Guillermo Calvo Ortega. Enero 2018
  65. ESET descubre Casbaneiro, un nuevo troyano bancario que roba criptomonedas. Adán Moctezuma. neuronamagazine.com. 4 de octubre, 2019
  66. Nueva funcionalidad de la botnet Stantinko: minado de criptomonedas. Raquel Gálvez. hispasec.com. 25 de noviembre de 2019
  67. Reporte Anual de Ciberseguridad de Cisco 2018. Cisco 2018
  68. Advanced Evasion Techniques for dummies. Klaus Majewski. Willey 2015
  69. Stantinko. Teddy Bear Surfing Out of Sight. Frédéric Vachon. ESET. Julio de 2017.
  70. El modelo de negocio del cibercrimen y su cadena de valor. Miguel Ángel Mendoza. .welivesecurity.com. 3 de noviembre de 2016
  71. Evolution of the Cybercrime-as-a-Service Epidemic. Phil Muncaster. infosecurity-magazine.com. 17 de septiembre de 2018
  72. Malware-as-a-Service: The 9-to-5 of Organized Cybercrime. Brian Laing. lastline.com 8 de marzo de 2018
  73. Martínez, Raúl (20 de abril de 2017). «EL RANSOMWARE COMO SERVICIO, UNA TENDENCIA EN AUGE». Noticias de seguridad informática, ciberseguridad y hacking. Consultado el 3 de septiembre de 2020. 
  74. ¿Qué es un ransomware-as-a-service (RaaS)?. Julie Splinters. losvirus.es. 24 de julio de 2018
  75. 679.000 logins gestolen met Phishing as a Service (PHaas). informatiebeveiliging.nl. 2 de septiembre de 2016
  76. Dos plataformas de cibercrimen como servicio. 17 de julio de 2017
  77. DDoS Attack Tools. A Survey of the Toolkits, Apps and Services Used Today to Launch DDoS Attacks. A10 Networks. Junio de 2015
  78. The Shark Ransomware Project allows you to create your own Customized Ransomware. Lawrence Abrams. bleepingcomputer.com. 15 de agosto de 2016
  79. Google. searches web's dark side/ «BBC News» (en inglés). 
  80. Niels Provos. «The Ghost In The Browser, Analysis of Web-based Malware» (en inglés). 
  81. Catb.org. «The Meaning of ‘Hack’» (en inglés). 
  82. Microsoft (14 de abril de 2009). «Documento informativo sobre seguridad de Microsoft (951306), Una vulnerabilidad en Windows podría permitir la elevación de privilegios». Microsoft Tech Net. 
  83. CAPÍTULO 4: Honeypots y Honeynets. SEGURIDAD EN REDES IP. Gabriel Verdejo Álvarez. Unitat de Combinatòria i Comunicació Digital. Departament d’Informàtica. Universitat Autònoma de Barcelona. 2003
  84. Técnicas y herramientas de análisis de vulnerabilidades de una red. Javier Ríos Yáguez. Proyecto fin de grado. Escuela Técnica superior de ingeniería y sistemas de telecomunicaciones. Universidad Politécnica de Madrid.
  85. Introducción al METASPLOIT. msc. 3 enero 2011
  86. [Phishing – Creando el gancho – Parte 2] el 21 de febrero de 2020 en Wayback Machine.. Luis Franciso Monge Martínez. ihacklabs.com. 22 de diciembre de 2018
  87. Las dos herramientas gratuitas que no deben faltar a cualquier hacker. Rubén Velasco. redeszone.net. 31 de julio, 2016
  88. Técnicas y herramientas de análisis de vulnerabilidades de una red.Javier Ríos Yáguez. Proyecto fin de grado. Escuela Técnica superior de ingeniería y sistemas de telecomunicaciones. Universidad Politécnica de Madrid.
  89. Cómo utilizan los ciberdelincuentes las URLs acortadas para estafar y distribuir malware. Adrián Crespo. redeszone.net. 4 de abril de 2018
  90. Qué es un acortador de URL y cuáles son los mejores. Israel Fernández. nobbot.com. 13 de marzo de 2019
  91. ESET Global LLC. «Mantenga su sistema operativo actualizado». 
  92. ESET Global LLC. «Consejos de Seguridad». 
  93. DiarioTi.com,Año 14,Edición 3683. «Diez consejos para un uso ciberseguro de los dispositivos móviles». 
  94. Departamento de Seguridad en Computo/UNAM-CERT. . Archivado desde el original el 14 de marzo de 2013. Consultado el 25 de marzo de 2014. 
  95. Fabián Romo:UNAM redes sociales. «10 sencillas formas de detectar el malware en la computadora». 
  96. AntiSpyware: qué son y los 11 mejores. Yúbal FM. Xataka Octubre 2019.
  97. CAPÍTULO 3: IDS .SEGURIDAD EN REDES IP. Gabriel Verdejo Álvarez. Unitat de Combinatòria i Comunicació Digital. Departament d’Informàtica. Universitat Autònoma de Barcelona. 2003
  98. La «otra manera» de identificar malware. Asier Martínez. INCIBE. 19 de marzo de 2014
  99. The Concepts of the Malware Attribute Enumeration and Characterization(MAEC) Effort. Ivan A. Kirillov et ali.
  100. Automatic Malware Description via AttributeTagging and Similarity Embedding. Felipe N. Ducau et ali.
  101. THE MAEC LANGUAGE. THE MITRE CORPORATION. 12 de junio de 104
  102. Inteligencia de amenazas I. Sothis.tech. 20 noviembre de 2018
  103. Automatic Malware Description via AttributeTagging and Similarity Embedding. Felipe N. Ducau et ali. 23 de enero de 2020
  104. «Antimalware Day: cómo nació la lucha contra las amenazas informáticas». 

Enlaces externos

  • Blog de Chema Alonso (Maligno Alonso) dedicado a la investigación y prevención de los programas malignos.
  • Blog de Playmaax Cómo eliminar malware rogueads.unwanted_ads WordPress.
  •   Datos: Q14001
  •   Multimedia: Malware

Enero 12, 2022
malware, llama, programa, malicioso, programa, malévolo, programa, malintencionado, inglés, malware, acortamiento, malicious, software, badware, código, maligno, cualquier, tipo, software, realiza, acciones, dañinas, sistema, informático, forma, intencionada, . Se llama programa malicioso programa malevolo programa malintencionado en ingles malware acortamiento de malicious software badware o codigo maligno a cualquier tipo de software que realiza acciones daninas en un sistema informatico de forma intencionada al contrario que el software defectuoso y sin el conocimiento del usuario al contrario que el software potencialmente no deseado 1 2 Ejemplos tipicos de estas actividades maliciosas son el 3 robo de informacion p ej troyanos danar o causar un mal funcionamiento el sistema informatico p ej Stuxnet Shamoon o Chernobyl provocar un perjuicio economico chantajear al propietario de los datos del sistema informatico p ej ransomware o programas de chantajeo permitir el acceso de usuarios no autorizados provocar molestias o una combinacion de varias de estas actividades 4 5 6 7 El malware suele ser representado con simbolos de peligro o advertencia de archivo maligno Antes de que el termino malware fuera acunado por Yisrael Radai en 1990 8 9 el software maligno se agrupaba bajo el termino virus informatico un virus es en realidad un tipo de programa maligno 10 Para el 2020 un programa malicioso conocido con el nombre de Joker debido a que el icono que utiliza al momento de aparecer en tiendas de aplicaciones es el de un payaso infecto a mas de 1700 aplicaciones que tuvieron que ser retirada de once tiendas de aplicaciones pero este se adapta muy rapidamente a la tienda y se puede ocultar facilmente 11 El malware tiene darse por crackers que entran a un dispositivo por diferentes movimientos uno de ellos son por enlace y por el correo electronico y sacan informacion del usuario 12 Indice 1 Motivaciones 2 Estructura 3 Tipos 4 Tecnicas de evasion 5 Tecnicas de resiliencia 6 Malware como servicio 7 Conceptos relacionados 8 Proteccion contra malware 8 1 Prevencion 8 2 Software anti malware 9 Convenciones de nombres 10 Antimalware Day 11 Vease tambien 11 1 Companias antimalware 12 Referencias 13 Enlaces externosMotivaciones EditarDurante los anos 1980 y 1990 el malware era creado como una forma de vandalismo o travesura Sin embargo hoy dia la motivacion principal es la obtencion de un beneficio economico En los ultimos anos esta apareciendo malware asociado a amenazas persistentes avanzadas que son campanas fuertemente orquestadas realizadas por grupos asociados a estados o a importantes instancias con poder cuyo objetivo mas habitual es el robo de informacion estrategica o producir danos en sistemas de organizaciones objetivo Las motivaciones mas habituales para la creacion de malware son Experimentar al aprender Por el ejemplo el Gusano Morris tuvo este origen Realizar bromas provocar molestias y satisfacer el ego del creador Ejemplos de este tipo de virus son Melissa y los llamados Virus joke Producir danos en el sistema informatico ya sea en el hardware por ejemplo Stuxnet y Chernobyl en el software por ejemplo Ramen cambia la pagina inicial del servidor web en los datos por ejemplo Shamoon o Narilam buscan la destruccion de los datos 13 o provocando la caida de servidor por ejemplo Code Red Provocar una degradacion en el funcionamiento del sistema Por ejemplo consumiendo ancho de banda de la red o tiempo de CPU Sacar beneficio economico Por ejemplo Robando informacion personal empresarial de defensa para luego usarla directamente en fraudes o revenderla a terceros Al tipo de malware que roba informacion se le llama Spyware Chantajeando al propietario del sistema informatico Por ejemplo el Ransomware Presentar publicidad A este tipo de malware se le llama adware Mediante la suplantacion de identidad Es el objetivo final de muchos ataques de phishing Tomando control de computadoras para su explotacion en el mercado negro Estas computadoras infectadas zombis son usadas luego para por ejemplo el envio masivo de correo basura para alojar datos ilegales como pornografia infantil 14 distribuir malware pago por instalacion 15 o para unirse en ataques de denegacion de servicio distribuido DDoS Cuando el malware produce perdidas economicas para el usuario o propietario de un equipo tambien se clasifica como crimeware o software criminal Estos programas suelen estar encaminados al aspecto financiero la suplantacion de personalidad y el espionaje 16 Algunos autores distinguen el malware del grayware tambien llamados greyware graynet o greynet definiendo estos como programas que se instalan sin la autorizacion usuario y se comportan de modo tal que resultan molestos o indeseables para el usuario pero son menos peligrosos que los malware En esta categoria por ejemplo se incluyen los programas publicitarios marcadores programas espia herramientas de acceso remoto y virus de broma El termino grayware comenzo a utilizarse en septiembre del 2004 17 18 19 20 Estructura EditarDentro del codigo del malware podemos tener codigo destinado a aportantes distintos tipos de funcionalidades La carga util Es la parte del codigo relacionada con la actividad maliciosa que realiza el malware Por tanto esta parte es obligatoria 21 Opcionalmente el malware puede tener codigo para su distribucion automatica se le llama reproduccion que propaga el malware a otras ubicaciones Por tanto la infeccion por el malware puede ser directa por ejemplo a traves de la ejecucion de programas descargados de la red o a traves de esta reproduccion automatica Opcionalmente el malware puede tener un codigo util para el usuario destinado a ocultar la funcionalidad verdadera del software Es tipico ocultar el malware en plugins o programas de utilidad basica como salvapantallas A los malware que tienen este componente se les llama troyanos Opcionalmente el malware puede tener codigo destinado a ocultar la actividad maliciosa realizada El malware para realizar alguna de sus funciones puede hacer uso de programas legitimos aprovechando sus funcionalidades para por ejemplo eliminar bloquear modificar copiar datos o alterar el rendimiento de computadoras o redes A este tipo de programas legitimos se les llama Riskware 22 Algunos tipos de programas que son riskware son Utilidades de administracion remota Clientes IRC Descargadores de archivos monitorizadores la actividad de la computadora utilidades de administracion de contrasenas servidores de Internet FTP Web proxy telnet Es habitual que los antivirus permitan detectar el riskware instalado Tipos EditarHay distintos tipos de malware donde un caso concreto de malware puede pertenece a varios tipos a la vez Virus secuencia de codigo malicioso que se aloja en fichero ejecutable huesped de manera que al ejecutar el programa tambien se ejecuta el virus Tienen la propiedades de propagarse por reproduccion dentro de la misma computadora Gusano malware capaz de ejecutarse por si mismo Se propaga por la red explotando vulnerabilidades para infectar otros equipos Troyano programa que bajo apariencia inofensiva y util tiene otra funcionalidad oculta maliciosa Tipicamente esta funcionalidad suele permitir el control de forma remota del equipo administracion remota o la instalacion de puertas traseras que permitan conexiones no autorizadas al equipo No se reproducen Los troyanos conocidos como droppers son usados para empezar la propagacion de un gusano inyectandolo dentro de la red local de un usuario 23 24 Bomba logica programas que se activan cuando se da una condicion determinada causando danos en el sistema Las condiciones de ejecucion tipicas suelen ser que un contador llegue a un valor concreto o que el sistema este en una hora o fecha concreta Adware muestran publicidad no solicitada de forma intrusiva provocando molestias Algunos programas shareware permiten usar el programa de forma gratuita a cambio de mostrar publicidad en este caso el usuario consiente la publicidad al instalar el programa Este tipo de adware no deberia ser considerado malware pero muchas veces los terminos de uso no son completamente transparentes y ocultan lo que el programa realmente hace Spyware envia informacion del equipo a terceros sin que el usuario tenga conocimiento La informacion puede ser de cualquier tipo como por ejemplo informacion industrial datos personales contrasenas tarjetas de credito direcciones de correo electronico utilizable para enviarles correos basura o informacion sobre paginas que se visitan usable para seleccionar el tipo de publicidad que se le envia al usuario Los autores de spyware que intentan actuar de manera legal pueden incluir unos terminos de uso en los que se explica de manera imprecisa el comportamiento del spyware que los usuarios aceptan sin leer o sin entender La mayoria de los programas spyware son instalados como troyanos junto a software deseable bajado de Internet Sin embargo otras veces el spyware proviene de programas famosos de pago ej Red Shell fue distribuido a traves de la plataforma Steam por los propios desarrolladores de juegos 25 El spyware suele estar centrado en obtener tipos especificos de informacion Segun como operan o la clase de informacion al que esta orientado tenemos distintos tipos de spyware Hay que tener en cuenta que un spyware concreto puede ser de varios tipos a la vez Algunos de los tipos mas frecuentes son Keylogger software que almacena las teclas pulsadas por el usuario con el fin de capturar informacion confidencial Este tipo de software permite obtener credenciales numeros de tarjeta de credito conversaciones de chat contenido de correos direcciones de los sitios web a los que se accede 26 Banking Trojan software que aprovecha vulnerabilidades para adquirir credenciales de financieras de bancos portales financieros por Internet cartera de criptomonedas brokers por Internet 26 Es frecuente que este tipo de software ademas modifique el contenido de transacciones o de la pagina web o inserten transacciones adicionales 26 Ladron de contrasenas o ingles Password Stealer software que se encarga de recopilar cualquier contrasena introducida dentro del dispositivo infectado 26 Infostealer software que roba informacion sensible guardada en el equipo navegadores clientes de correo clientes de mensajeria instantanea como por ejemplo contrasenas usuarios direcciones de correo electronico ficheros de log historial del navegador informacion del sistema hojas de calculo documentos ficheros multimedia Cookies de seguimiento en ingles Tracking Cookie o Cookies de terceros en ingles third party cookies Es una cookie que se usa para compartir detalles de las actividades de navegacion realizadas por el usuario entre dos o mas sitios o servicios no relacionados 27 Suelen estar relacionadas con empresas de publicidad que tienen algun acuerdo con sitios web y utilizan esa informacion para realizar marketing dirigido orientar y mostrar anuncios de forma tan precisa como sea posible a segmentos relevantes de usuarios Adware Tracking Cookie 28 29 Tambien pueden utilizarse para crear un perfil y realizar un seguimiento detallado de la actividad del usuario 30 Por ejemplo en 2000 se anuncio que la Oficina de la Casa Blanca de la Politica Nacional para el Control de Drogas en colaboracion con DoubleClick habia usado cookies de terceros para medir la eficacia de una campana por Internet antidrogas haciendo seguimiento de quien habia clicado en el anuncio y que paginas fueron vistas a continuacion Cookiegate 31 32 Google tiene previsto eliminar el soporte de cookies de terceros en 2023 e imponer el uso de la API FLoC como sustituto 33 Stalkerware Es un spyware especialmente disenado para dispositivos moviles que tiene como objetivo obtener todo tipo de datos e informacion de la victima su actividad por Internet y controlar todos sus movimientos 34 Malvertising se aprovecha de recursos disponibles por ser un anunciante publicitario para buscar puertas traseras y poder ejecutar o instalar otro malware Por ejemplo anunciante publicitario en una pagina web aprovecha brecha de seguridad de navegador para instalar malware Ransomware o criptovirus software que afecta gravemente al funcionamiento del ordenador infectado ejemplo cifra el disco duro o lo bloquea infectado y le ofrece al usuario la posibilidad de comprar la clave que permita recuperarse de la informacion An algunas versiones del malware p ej Virus ucash se enmascara el ataque como realizado por la policia y el pago como el abono de una multa por haber realizado una actividad ilegal como por ejemplo descarga de software ilegal Rogueware es un falso programa de seguridad que no es lo que dice ser sino que es un malware Por ejemplo falsos antivirus antiespia cortafuegos o similar Estos programas suelen promocionar su instalacion usando tecnicas de scareware es decir recurriendo a amenazas inexistentes como por ejemplo alertando de que un virus ha infectado el dispositivo En ocasiones tambien son promocionados como antivirus reales sin recurrir a las amenazas en la computadora Una vez instalados en la computadora es frecuente que simulen ser la solucion de seguridad indicada mostrando que han encontrado amenazas y que si el usuario quiere eliminarlas es necesario la version de completa la cual es de pago 35 Decoy o senuelo software que imita la interfaz de otro programa para solicitar el usuario y contrasena y asi poder obtener esa informacion Dialer toman el control del modem dial up realizan una llamada a un numero de telefono de tarificacion especial muchas veces internacional y dejan la linea abierta cargando el coste de dicha llamada al usuario infectado La forma mas habitual de infeccion suele ser en paginas web que ofrecen contenidos gratuitos pero que solo permiten el acceso mediante conexion telefonica Actualmente la mayoria de las conexiones a Internet son mediante ADSL y no mediante modem lo cual hace que los dialers ya no sean tan populares como en el pasado Secuestrador de navegador son programas que realizan cambios en la configuracion del navegador web Por ejemplo algunos cambian la pagina de inicio del navegador por paginas web de publicidad o paginas pornograficas otros redireccionan los resultados de los buscadores hacia anuncios de pago o paginas de phishing bancario Wiper es un malware orientado al borrado masivo de datos Por ejemplo discos duros o bases de datos 36 Clipper malware Es un malware que se aprovecha de que los usuarios tienden a en lugar de insertar manualmente copiar cierto tipo de informaciones en el portapapeles en ingles clipboard y luego la utilizan pegandola en donde necesitan Lo que hace este tipo de malware es monitorizar el portapapeles y cuando su contenido se ajusta a ciertos patrones lo reemplaza de manera oculta con lo que el atacante quiera 37 38 El uso mas habitual de este tipo de aplicaciones es el secuestro de transacciones de pago al cambiar el destino de las mismas 37 39 Lo que hacen es sustituir direccion de una cartera digital o cartera de criptomonedas posible destino de la transaccion copiada en el portapapeles por una perteneciente al atacante 37 38 39 Este tipo de ataque explota la complejidad inherente a cierto tipo de datos los cuales son largas cadenas de numeros y o letras que parecen aleatorios 38 Esto favorece que el usuario se apoye en el Copiar amp Pegar del portapapeles y ademas dificulta que al pegar pueda ser advertido que el dato ha sido reemplazado 38 Criptominado malicioso en ingles Cryptojacking es un malware que se oculta en un ordenador y se ejecuta sin consentimiento utilizando los recursos de la maquina CPU memoria ancho de banda para la mineria de criptomonedas y asi obtener beneficios economicos Este tipo de software se puede ejecutar directamente sobre el sistema operativo de la maquina o desde plataforma de ejecucion como el navegador 40 41 Malware para el robo de criptomonedas Es un malware especialmente disenado para el robo de criptomonedas Para este cometido es habitual el uso de Clipper malware tipo de malware ya visto disenado para controlar el portapapeles y cuando detecta una direccion de criptomonedas automaticamente la reemplaza por la del atacante 37 42 De esta forma si queremos realizar una transferencia a la direccion que creemos que tenemos en el portapapeles en este caso ira a la direccion del atacante 42 Otros malware como HackBoss se centran en robar claves de carteras de criptomonedas 43 Web skimming software que los atacantes instalan en aplicaciones webs de comercio electronico con el fin de recopilar informacion de pago datos personales y de tarjetas de credito fundamentalmente de los usuario que visiten dicho sitio web comprometido 44 Apropiador de formulario software que permite robar informacion que es introducida en formularios web 45 Tecnicas de evasion EditarPara que un software maligno pueda completar sus objetivos es esencial que permanezca oculto ya que si es detectado seria eliminado tanto el proceso como el propio malware pudiendose no haber completado sus objetivos Las principales tecnicas de evasion algunas de ellas calificadas como tecnicas de evasion avanzadas AET 46 son 47 Estrategias orientadas a evadir la deteccion haciendo que el codigo del malware en las distintas infecciones sea lo menos identificable posible por patrones de codigo o basado en hash Para implementar este tipo de estrategias se usan tecnicas de cifrado y ofuscacion Las estrategias mas importantes son las siguientes 48 El Cifrado base o simplemente malware cifrado 49 consiste en cifrar una parte significativa del malware y tener un descifrador cargador El descifrador carga en memoria el texto cifrado los descifra en memoria y lo ejecuta La clave para descifrar esta explicita o implicitamente en el descifrador cargador Es habitual que cada instancia use una clave distinta Incluso la clave puede cambiar cada cierto tiempo teniendo que recifrar el texto cifrado y actualizar el cargador en consecuencia El descifrador cargador queda invariante excepto quiza la clave 50 Hacer detecciones confiables basadas en los componentes no cifrados es dificil dado que los elementos que residen en el disco no exponen comportamientos maliciosos 51 A las herramientas que a partir de un programa automaticamente generan otro que realizan el cifrado base se les llama crypters 52 Oligomorfico Es una forma avanzada de uso del cifrado en el malware que consiste en tener una coleccion de diferentes descifrador cargador y se elige para cada nueva victima uno al azar De esta forma el codigo del descifrador cargador no es el mismo en todos los casos Esto dificulta un poco la deteccion del descifrador cargador ya que en lugar de comprobar un solo descifrador cargador se tiene que comprobar todas las posibles formas que puede tener El numero de posibilidades suele ser como mucho varios centenares 53 54 Polimorfico Es una forma avanzada de uso del cifrado en el malware que consiste en generar diferentes descifrador cargador a partir de un motor polimorfico embebido El motor polimorfico es un software que permite automaticamente generar un gran numero de descifrador cargador del orden de millones Para ello usa distintas tecnicas de ofuscacion 55 En 1990 se creo el primer virus polimorfico V2PX tambien llamado 1260 En 1992 se creo el primer toolkit polimorfico Mutation Engine MtE el cual permitia crear malware polimorfico 55 Metamorfico Esta tecnica se creo debido a que las herramientas antimalware aprovechaban que era facil detectar codigo malicioso una vez que la parte cifrada habia sido descifrada 55 Este tipo de software se basa en el uso de un motor metamorfico embebido dentro del mismo que muta su codigo El cuerpo completo del malware cambia incluido el propio motor de mutacion El malware metamorfico no tiene parte cifrada y por lo tanto no necesita descifrador Se trata de malware polimorfico que emplea un motor de mutacion para mutar todo su cuerpo en lugar de modificar solo el descifrador 56 De esta forma el malware nunca revela su contenido comun en memoria lo que hace que sea mas dificil de detectar por sistemas antimalware 57 De esta forma cada vez que se propaga un malware metamorfico bien construido se crea una nueva version que mantendra el mismo efecto y comportamiento general Se supone que un buen motor metamorfico crea un numero infinito de versiones sin patrones de cadena identificables comunes lo que hace que su deteccion mediante firmas sea practicamente imposible 55 Para detectar este tipo de malware se han de emplear tecnicas basadas en el analisis de comportamiento y heruristicas 56 dd El cifrado de los datos transferidos 46 Lo habitual es usar cifrado simetrico debido a que el cifrado asimetrico tiene un coste computacional alto 58 Uso de protectores de software para dificultar la deteccion del malware Pueden usar tecnicas de empaquetamiento de ejecutables cifrado y ofuscacion 59 Infeccion sin afectar a ficheros en ingles fileless infections Infecciones que no tocan el disco y solo residen en memoria para evitar la deteccion Por ejemplo el kit de exploit Angler hacia este tipo de infecciones 60 Uso de protocolo de Diffie Hellman de intercambio de claves para ocultar el trafico a herramientas de deteccion de trafico de red malicioso Este sistema es usando por los kits de exploit web Angler y Nuclear 61 Uso de tecnicas de DNS Fluxing destinadas a ocultar la ubicacion real de determinados recursos servidores dentro de una red 62 Uso de Algoritmos de generacion de dominio Estos algoritmos generan automaticamente dominios nuevos que son usados para alojar servidores usados en el ciberataque Tipicamente se usan para alojar servidores de mando y control 63 Uso de tecnicas de Blind proxy redirection Consiste en usar equipos intermedios como proxy inverso con el proposito de dificultar los intentos de descubrir los servidores desde donde se controla el ataque Estos nodos actuan como intermediarios entre nodos esclavos y servidores de C amp C asi como entre si Agentes bot actuan como redireccionadores que canalizan las solicitudes y los datos hacia y desde otros servidores bajo el control del operador del ataque 64 Ocultar el trafico en el trafico habitual Es habitual aprovechar comunicaciones IRC programas de mensajeria p ej Skype Blogs webs de comparticion de video redes sociales o en general cualquier servicio como Google Groups Google Calendar o Reddit Por ejemplo estos servidores se pueden utilizar para dejar la localizacion de los servidores C amp C ej Casbaneiro y Stantinko usan descripciones de videos YouTube para dejar direcciones de maquinas involucradas en el ataque 65 66 o para dejar los comandos que son leidos por el malware A veces p ej Stego se usan tecnicas esteganograficas pasando del todo inadvertidas para cualquier que acceda 64 58 Establecer comunicaciones y traficos aleatorios entre servidores comprometidos y servidores de C amp C 64 Domain shadowing Consiste en tomar el control de un dominio registrado consiguiendo las credenciales de administracion de modo que sea posible crear registros DNS para nuevos subdominios Creando multitud de subdominios el atacante configura una lista lo mas amplia posible Este comportamiento ha demostrado ser alta mente efectivo para evitar tecnicas de bloqueo tipicas como el blacklisting y o sinkholingde sitios o direcciones IP A diferencia de fast flux donde se cambia rapidamente la IP asignada a un unico dominio domain shadowing rota subdominos asociados a un dominio Esos subdominios pueden apuntar bien a una unica IP o a un conjunto de ellas segun las necesidades y circunstancias 64 Abuso de servicios de DNS gratuitos y dinamicos para generar dominios y subdominios maliciosos Eso les permite a los atacantes entregar cargas maliciosas que cambian constantemente las IP de alojamiento ya sea las computadoras de usuarios infectados o los sitios web publicos comprometidos 67 Fragmentar los payloads maliciosos y enviarlos a traves de diferentes protocolos normalmente poco habituales con el fin de que una vez que hayan sorteado las protecciones del sistema atacado se vuelvan a unir para poder asi continuar con el proceso de comprometer el sistema 46 Cambiar de una inspeccion basada en paquetes a una inspeccion basada en el flujo completo no es facil Hacerlo requiere grandes cambios en el manejo de paquetes de bajo nivel y diferencias fundamentales en la arquitectura de los disposivos de seguridad de red La inspeccion basada en el flujo completo usa mas memoria y afecta al rendimiento del dispositivo 68 Canales encubiertos 46 Por ejemplo a veces se envia informacion empleando para ello las cabeceras de los protocolos de comunicacion Al llegar los paquetes a su correspondiente destino se procesan los valores de las cabeceras de modo que se obtiene la informacion 58 Utilizacion de campos poco habituales de algunos protocolos 46 Realizar ataques de denegacion de servicio Por ejemplo para provocar la ralentizacion del procesamiento de datos por parte de un dispositivo de red de modo que se imposibilite la capacidad de gestionar correctamente todo el trafico Este hecho puede provocar que el dispositivo funcione en modo de error y que bloquee o permita todo el trafico 46 Tecnicas para evitar la identificacion de todos los nodos pertenecientes a una botnet Para ello los nodos de las botnets se envian unicamente listas parciales del resto de nodos de la botnet es decir envian unicamente el listado de nodos que conocen peerlist e incluso lo hacen de manera fragmentada Ademas algunas como es el caso de Zeus implementan mecanismos mediante los cuales bloquean los nodos que solicitan frecuentemente peerlist 58 Tecnicas para evitar infiltraciones en la botnet que puedan tomar el control de la misma Para ello incorporan esquemas de reputacion para determinar que nodos dentro de la botnet son confiables y cuales no y bloquean los nodos que identifican que consideran sospechosos 58 Comprobacion del entorno en el que se ejecutan con el fin de determinar si lo estan haciendo en sandboxes o entornos de analisis de malware En el caso de identificar estos entornos su comportamiento es distinto con el fin de parecer software confiable Incluso en ocasiones generan blacklists con las IPs de las sandboxes y entornos de analisis de malware con el fin de que otros malware utilicen ese conocimiento para evitar ser detectados 58 Dividir la funcionalidad en distintos malware con diferentes funcionalidades Por ejemplo los droppers encargados de introducir el payload en el sistema que es el que contiene realmente la funcionalidad De este modo puede ocurrir que se detecten los droppers y downloaders y no el payload o al reves 58 Descentralizacion de la estructura de una botnet La utilizacion de botnets con estructura descentralizada como es el caso de las P2P dificulta significativamente su desmantelamiento En algunos casos utilizan multiples servidores C amp C con distintas versiones del malware Asi mismo la utilizacion de servicios alojados en la red Tor permite enmascarar la localizacion real de los servidores C amp C 58 En sistemas Windows esconder el codigo malicioso en el registro de Windows De esta forma el programa no parece malware si es que no tenemos acceso al contenido de la clave de registro 69 Tecnicas de resiliencia EditarHay malware que tiene tecnicas de resiliencia que permiten que sea dificil su eliminacion Por ejemplo Instalar varios servicios que se ejecutan al inicio del sistema donde cada uno tiene la habilidad de reinstalar al otro en caso de que sea borrado del sistema Esto provoca que para eliminar completamente la amenaza ambos deban borrarse al mismo tiempo Por ejemplo Stantinko tiene esta estrategia 51 Actualizacion del malware El malware como cualquier otro software puede tener mantenimiento Esto permite mejorar sus caracteristicas Por ejemplo podemos mejorar sus metodos de ocultacion para evitar ser detectado Tener algun mecanismo que permita la actualizacion permite mejorar dinamicamente su comportamiento para asi evitar su deteccion y eliminacion Malware como servicio EditarEn el marco del Cibercrimen como servicio 70 o CaaS 71 del ingles cybercrime as a service hay organizaciones de ciberdelincuentes que ofrecen servicios de programas maliciosos ilegales en la nube por ejemplo para interrumpir operacion robar datos dando lugar al llamado Malware como servicioo MaaS del ingles Malware as a Service Estos servicios son accesibles desde cualquier lugar y son extremadamente faciles de usar Cualquiera los puede usar y por tanto se les pueda vender a cualquiera Estos servicios son contratados por operadores externos Por ejemplo empresas que quieren eliminar competidor o personas que quieren cometer fraude con tarjetas de credito 72 Como con cualquier otro servicio el proveedor es importante realizar la atencion al cliente para garantizar la satisfaccion del cliente e intentar ventas adicionales 72 Dada la facilidad de manejo de estos servicios y el pago a traves de criptomonedas los ciberdelincuentes solo deben preocuparse de propagar esta amenaza entre la mayor cantidad de victimas posible 73 El MaaS amenaza a las organizaciones de dos maneras 72 Crea una demanda de programas maliciosos cada vez mejores y mas faciles de usar ya que los desarrolladores de malware luchan por distinguirse de su competencia Esto conduce a avances significativos en la accesibilidad y sofisticacion de las amenazas de malware Aumenta enormemente el numero de amenazas individuales ya que permite a los usuarios que de otro modo no tendrian la habilidad tecnica para crear sus propios programas maliciosos Esto efectivamente permite que casi cualquier persona inicie ataques ciberneticos Segun el tipo de actividad maliciosa que realiza podemos tener malware de distintos tipos Ransomware como servicioo RaaS del ingles Ransomware as a Service 74 Phishing como servicio o PHaaS del ingles Phishing as a Service 75 DDoS como servicio 76 o DDoSaaS del ingles DDoS as a service 77 Es habitual que este tipo de servicios se alojen en la red de anonimato TOR para dificultar a las autoridades identificarlos 78 Conceptos relacionados EditarRelacionados con el malware hay una serie de conceptos informaticos Puerta trasera Via alternativa de acceso que elude los procedimientos habituales de autenticacion al conectarse a una computadora En relacion con el malware es frecuente que Un malware instale una puerta trasera para permitir un acceso remoto mas facil en el futuro Se use una puerta trasera como via para instalar un malware Drive by Download Consiste en la descarga involuntaria de software de ordenador proveniente de Internet Es una via tipica para descargar malware especialmente las descargas ocultas que se producen cuando navegamos por ciertas webs 79 80 Por esta razon a los navegadores se les estan agregando bloqueadores antimalware que muestran alertas cuando se accede a una pagina maliciosa aunque no siempre dan una total proteccion Rootkits Son juegos de herramientas disponibles que permiten a usuarios externos acceder sin autorizacion a un sistema informatico y modifican el sistema operativo para encubrir acciones maliciosas Por ejemplo para encubrir pueden proporcionar herramientas que oculten los puertos abiertos que evidencias comunicacion ocultar archivos u ocultar procesos involucrados Al instalar malware es frecuente hacer uso de estos juegos de utilidades Hoy dia tambien es frecuente que el propio malware incluya las rutinas de ocultacion del rootkit Algunos programas malignos tambien contienen rutinas para evitar ser borrados como porjemplo tener dos procesos fantasmas corriendo al mismo tiempo y cada proceso fantasma debe detectar que el otro ha sido terminado y debe iniciar una nueva instancia de este en cuestion de milisegundos Con este sistema la unica manera de eliminar ambos procesos fantasma es eliminarlos simultaneamente cosa muy dificil de realizar o provocar un error al sistema deliberadamente 81 botnets Son redes de computadoras infectadas por malware a las que se llama zombis que pueden ser controladas a la vez por un individuo y realizan distintas tareas Este tipo de redes son usadas para el envio masivo de spam o para lanzar ataques DDoS contra organizaciones como forma de extorsion o para impedir su correcto funcionamiento La ventaja que ofrece a los spammers el uso de ordenadores infectados es el anonimato que les protege de la persecucion policial Tipicamente la computadora infecta se logueq en una canal de IRC u otro sistema de chat desde donde el atacante puede dar instrucciones a todos los sistemas infectados simultaneamente Las botnets pueden ser usadas para actualizar el malware en los sistemas infectados manteniendolos asi resistentes ante antivirus u otras medidas de seguridad Vulnerabilidades Las vulnerabilidades son puntos debiles de un sistema informatico que permiten que un atacante comprometa la integridad disponibilidad o confidencialidad del mismo Estas vulnerabilidades son aprovechadas por el malware para ejecutar su codigo malignos Las vulnerabilidades suelen ser producidos por Errores de software sobre privilegios de usuarios usuarios a los que se les ha concedido mas privilegios de los que se deberia haber otorgado sobre privilegios de codigo programas a los que se le ha concedido mas privilegios del que se deberia haber otorgado ejecucion por parte del usuario de software no confiable Otro factor que afecta a la vulnerabilidad de un sistema complejo formado por varios ordenadores es que todos los ordenadores del sistema funcionen con el mismo software homogeneidad Por ejemplo cuando todos los ordenadores de una red funcionan con el mismo sistema operativo si se puede comprometer ese sistema se podria afectar a cualquier ordenador que lo use 82 Exploits Es un software que aprovecha un defecto del programa vulnerabilidad Es la forma de aprovechar una vulnerabilidad Estan incorporados en el malware ya sea para su instalacion en el sistema objetivo para reproducirse o para realizar su funcionalidad objetivo Honeypots y Honeynets Los Honeypots son un recurso de red destinado a ser atacado o comprometido Por ejemplo por un malware Su objetivo es que sea examinado atacado y probablemente comprometido por cualquier atacante Son los encargados de proporcionarnos informacion valiosa sobre los posibles atacantes en potencia a nuestra red antes de que comprometan sistemas reales Una vez realizadas las primeras pruebas con exito se propuso la extension de este concepto dando lugar a las Honeynet Una Honeynet es un Honeypot que es una red real con todos sus elementos funcionando disenada para ser comprometida y poder obtener informacion sobre los atacantes 83 Kits de exploits Son herramientas que ayudan en la creacion de malware proveyendo distintos exploits a modo de biblioteca Con este software es facil crear malware que puede ser aprovechado para realizar tests de intrusion y validar la seguridad del sistema Ejemplos de este tipo de software son Metasploit Framework Immunity CANVAS Core Impact unicorn Malicious Macro Generator o Lucky Strike Otros sitios como Packet Storm y Miw0rm poseen igualmente importantes cantidades de codigo de explotacion disponible para ayudar en esta tarea 84 85 86 Herramientas de simulacion de ataque Permiten emular cualquier amenaza real en una red para comprobar la eficacia de los sistemas de seguridad frente a ella Un ejemplo de este tipo de software es Cobalt Strike 87 Escaner de puertos Herramientas que realizan la comprobacion de que puertos de un sistema estan abiertos Es habitual este tipo de herramientas cuando se disena un malware para usar con un sistema objetivo concreto El ejemplo tipico de este tipo de herramientas es nmap 88 Escaner de vulnerabilidades Son herramientas utilizadas para buscar vulnerabilidades en un sistema Es habitual este tipo de herramientas cuando se disena un malware para usar con un sistema objetivo concreto Ejemplos de este tipo de herramientas son Shadow Security Scanner Retina OpenVAS y Nessus 88 Servicios de resolucion de CAPTCHA Es frecuente que el malware haga uso de servicios de resolucion de CAPTCHA con el fin de poder acceder a recursos gratuitos que ofrece la red Por ejemplo malware que crea cuentas falsas en redes sociales 69 Acortador de URL Es habitual que el malware hagan de servicios de URL acortadas Estos servicios permite ocultar la URLs final de servicios maliciosos 89 Ademas en ocasiones permiten introducir publicidad y registrar datos sobre los usuarios navegador sistema operativo 90 Por todas estas razones es frecuento que algunos servicios que acortan URL especialmente los que no controlan los destinos de los enlaces se han dominios prohibidos en las listas negras Sumidero de DNS Para luchar contra el malware a veces es efectivo tener un sumidero de DNS que proporcione IPs falsas o nulas como resolucion de cierto dominio que solicita el malware De esta forma se evita que el malware use un cierto nombre de dominio en el ataque p ej servidor de mando y control servidor objetivo de un ataque de DoS Proteccion contra malware EditarPrevencion Editar Siguiendo algunos sencillos consejos se puede aumentar considerablemente la seguridad de una computadora algunos son Tener el sistema operativo y el navegador web actualizados 91 Tener instalado un antivirus y un firewall y configurarlos para que se actualicen automaticamente de forma regular ya que cada dia aparecen nuevas amenazas 92 Utilizar una cuenta de usuario con privilegios limitados la cuenta de administrador solo debe utilizarse cuando sea necesario cambiar la configuracion o instalar un nuevo software Tener precaucion al ejecutar software procedente de Internet o de medio extraible como CD o memorias USB Es importante asegurarse de que proceden de algun sitio de confianza Una recomendacion en tableta telefono celular y otros dispositivos moviles es instalar aplicaciones de tiendas muy reconocidas como App Store Google Play o Tienda Windows pues esto garantiza un muy minimo riesgo de contener malware alguno 93 Existe ademas la posibilidad de instalar un antivirus para este tipo de dispositivos Evitar descargar archivos programas contenido multimedia documentos de origen no confiable ej redes P2P paginas web de descarga de contenidos No conectar dispositivos externos no confiables Los dispositivos pueden contener archivos infectados que pueden ejecutarse automaticamente o incluso el dispositivo en si puede tener como objetivo danar electricamente los equipos Ej USB Killer Desactivar la interpretacion de Visual Basic Script y permitir JavaScript ActiveX y cookies solo en paginas web de confianza Utilizar contrasenas de alta seguridad para evitar ataques de diccionario 94 Uso de tecnologias que analicen la fiabilidad de sitios web Son tecnologias que antes de acceder a una pagina web avisan si el sitio web ha sido notificado como malicioso y o que un analisis de su codigo ha dado como conclusion que tiene contenido malintencionado Por ejemplo en Windows la opcion SmartScreen del Internet Explorer hace este tipo de funcionalidades Hay extensiones complementos de navegador como WOT muestras reputaciones de paginas web basadas en opiniones de usuarios Algunos buscadores ej Google alertan en los resultados de busquedas de sitios web que pudieran ser de sitios maliciosos Hay paginas web como 1 que dada una pagina web muestran su reputacion desde diferentes sistemas de reputacion WOT Avira Es muy recomendable hacer copias de respaldo regularmente de los documentos importantes a medios extraibles como CD DVD o Disco duro externo para poderlos recuperar en caso de infeccion por parte de algun malware pero solamente si se esta 100 seguro que esas copias estan limpias Software anti malware Editar Es un tipo de programa disenado para prevenir detectar y remediar software malicioso en los dispositivos y sistemas informaticos Los terminos antivirus y anti malware se utilizan a menudo como sinonimos ya que los virus informaticos son un tipo especifico de malware Tipos de software anti malware Antivirus Son programas que detectan y eliminan o bloquean la actividad de malware Puede proteger de varias formas 95 Escaneando el trafico procedente de la red en busca de malware que bloquea Interceptando intentos de ejecucion automatica no permitida Interceptando intentos de modificaciones no permitidas sobre aplicaciones importantes como el navegador web Detectando y eliminando o bloqueando malware que ya ha sido instalado en una computadora Para ello analiza los programas instalados el contenido del registro de Windows para sistemas Windows los archivos del sistema operativo y la memoria Al terminar el escaneo muestra al usuario una lista con todas las amenazas encontradas y permiten escoger cuales eliminar o bloquear Antispyware Software que sirve para detectar prevenir y eliminar Spywares Esta centrado en este tipo de malware 96 Virtualizacion permite dar acceso ilimitado pero solo a recursos virtuales aislamiento de procesos tambien conocido como sandbox Cortafuegos Software disenado para controlar el trafico de red Ejemplos de funciones Filtrar paquetes de red sospechosos a partir de la informacion que contiene por ejemplo direccion origen direccion destino tipo de mensaje autenticacion y autorizacion de accesos Proporcionan cierto grado de proteccion frente a ataques de malware IDS o Sistemas de deteccion de intrusos Sistema que recolecta y analiza informacion con el objetivo de identificar posibles fallos de seguridad debido 97 Por ejemplo esta actividad puede ser debida a malware El sistema cuando detecta accion sospechosa genera alarmas La deteccion suele basarse en ver si el comportamiento se ajusta a algunos de los comportamientos tipicos de malware que tiene en su base de datos la deteccion de ciertas secuencias en el codigo y o en el analisis estadisticos de parametros ancho de banda protocolos y puertos usados dispositivos conectados Los tipos mas habituales son HIDS o IDS de host Reside en un equipo monitorizado y se encarga de analizar todos los logs para detectar actividades sospechas NIDS o Sistemas de deteccion de intrusos en red Estan conectados a un segmento de red y se encargan de detectar actividades sospechosas en el trafico como por ejemplo ataques de denegacion de servicio escaneres de puertos o intentos de acceso IPS o Sistemas de prevencion de intrusos Hardware o software que tiene la habilidad de detectar ataques tanto conocidos como desconocidos y reaccionar a ellos para impedir su exito 97 suelen usar un software de cortafuegos asociado o trabajar de forma coordinada con un cortafuegos Convenciones de nombres EditarEl numero de malware identificado es enorme Por ejemplo en 2013 se localizazon 170 millones distintos malware y de ellos 70 millones habian aparecido nuevos ese mismo ano 98 Cada organizacion que trabaja con malware usa sus propios nombres internos para identificarlos Sin embargo para que las distintas organizaciones se puedan intercambiar informacion es necesario un sistema estandar de identificacion precisa Esto es complicado debido al gran volumen del malware y a que varios malware pueden ser muy similares Ha habido distintas iniciativas 99 100 La primera convencion de nombres para malware fue propuesta en 1991 por la Computer Antivirus Researcher Organization Esta convencion se basaba en dar al malware un nombre base en funcion a caracteristica s resenable s agruparlo en familias y desglosarlo en variantes Debido a su propia naturaleza era frecuente que las distintas organizaciones que lo adoptaban daban distinto nombre al mismo malware lo que causaba confusion En 2004 el Mitre desarrolla la iniciativa Common Malware Enumeration CME con el objetivo de dar un identificador unico a cada malware Su proposito era intentar que la industria colaborara en este proyecto y con consenso conseguir identificadores unicos El sistema parecio funcionar en 2005 pero en 2006 el gran incremento en la cantidad de malware redujo la necesidad de tener un identificador por cada malware Lo importante era el desarrollo de heuristicas que al analizar de forma generica permitiera la deteccion de gran numero de instancias de malware De este modo el ultimo CME ID fue generado a principios de 2017 Malware Attribute Enumeration and Characterization MAEC Lenguaje basado en XML estandarizado por Mitre para la descripcion y comunicacion de informacion sobre malware Esta basado en atributos como comportamiento artefactos patrones de ataque capacidades relaciones con otros malware Es un lenguaje de caracterizacion de malware basada en atributos que permite eliminar la ambiguedad y la inexactitud en su descripcion Ha habido distintas versiones 101 Debido a que el malware concreto a partir de su comportamiento se puede considerar como un indicador de compromiso 102 A causa del nivele de detalle propuesto en MAEC es prohibitivo caracterizar un con conjunto amplio de malware Ademas el conjunto de muestras que es posible caracterizar con este metodo esta muy sesgado hacia aquellos que se pueden ejecutar en un entorno controlado de sandbox 103 Antimalware Day EditarEl Antimalware Day se celebra el 3 de noviembre de cada ano 104 Se trata de una fecha que fue establecida en 2017 por la compania de seguridad ESET con el objetivo de destacar la labor que realizan los investigadores que se desempenan en el campo de la seguridad de la informacion y la industria en general Asimismo tambien para recordar la importancia de estar protegidos en un mundo cada vez mas influenciado por la tecnologia La fecha elegida es el 3 de noviembre en homenaje a Frederick Cohen y Leonard Adleman ya que esa misma fecha pero del ano 1983 el estudiante de Ingenieria de la Universidad del Sur de California Fred Cohen presento un prototipo de programa maligno en un seminario de informatica que luego su profesor Len Adleman bautizaria como virus informatico Vease tambien EditarAmenaza persistente avanzada Antivirus Cortafuegos Crimeware Heuristica Malware en LinuxCompanias antimalware Editar Ad Aware Avast AVG Avira BitDefender ClamAV ClamWin Dr Web ESET Fireeye HijackThis Iobit Malware Fighter Kaspersky Malwarebytes Anti Malware McAfee Microsoft Security Essentials Norm software Norton AntiVirus Panda Cloud Antivirus Panda Security Sophos Sokx Pro Spybot Search amp Destroy SpywareBlaster Symantec TrustPort Windows Defender Windows Live OneCare WinpoochReferencias Editar Que es un programa potencialmente no deseado o PUP Manuel Cantero cybernautas es 22 de agosto de 2018 Rodriguez Campos David 18 de febrero de 2020 Tipos de malware que existen y como proteger sus datos y dispositivos html Think Big Telefonica Archivado desde el original el 19 de febrero de 2020 Consultado el 18 de febrero de 2020 El malware es cualquier tipo de codigo malicioso que busca infectar un sistema operativo un computador o un artefacto que utiliza software El objetivo del malware es incorporar un virus informatico para acceder a informacion valiosa los servicios del dispositivo o sus capacidades de procesamiento La guia esencial del malware deteccion prevencion y eliminacion La guia esencial del malware deteccion prevencion y eliminacion Consultado el 12 de noviembre de 2020 Fruhlinger Josh 23 de enero de 2019 What is malware How to prevent detect and recover from it html Revista CSO IDG Ventures en ingles Archivado desde el original el 30 de marzo de 2019 Consultado el 12 de abril de 2019 Malware short for malicious software is a blanket term for viruses worms trojans and other harmful computer programs hackers use to wreak destruction and gain access to sensitive information programa maligno mejor que malware html Fundacion del Espanol Urgente 8 de noviembre de 2013 Archivado desde el original el 23 de diciembre de 2013 Consultado el 12 de abril de 2019 La expresion programa maligno es una alternativa en espanol al anglicismo malware Moir Robert 31 de marzo de 2009 Defining Malware FAQ html Microsoft Docs en ingles Archivado desde el original el 20 de septiembre de 2018 Consultado el 12 de abril de 2019 Malware is short for malicious software and is typically used as a catch all term to refer to any software designed to cause damage to a single computer server or computer network whether it s a virus spyware et al Microsoft TechNet Defining Malware FAQ en ingles Messmer Ellen 29 de junio de 2008 Tech Talk Where d it Come From Anyway html PC World en ingles Archivado desde el original el 16 de octubre de 2012 Consultado el 12 de abril de 2019 MALWARE A term to describe the wide range of malicious code it was first used by Yisrael Radai on July 4 1990 in a public posting in which he wrote Trojans constitute only a very small percentage of malware a word I just coined for trojans viruses worms etc Chris Klaus gets credit for being the first to widely use the word malware in presentations Christopher Elisan 5 de septiembre de 2012 Malware Rootkits amp Botnets A Beginner s Guide McGraw Hill Professional pp 10 ISBN 978 0 07 179205 9 Fruhlinger Josh 23 de enero de 2019 What is malware How to prevent detect and recover from it html Revista CSO IDG Ventures en ingles Archivado desde el original el 30 de marzo de 2019 Consultado el 12 de abril de 2019 This means that the question of say what the difference is between malware and a virus misses the point a bit a virus is a type of malware so all viruses are malware but not every piece of malware is a virus What its Joker Malware How to protect yourself from this thread La guia esencial del malware deteccion prevencion y eliminacion La guia esencial del malware deteccion prevencion y eliminacion Consultado el 12 de noviembre de 2020 Donohue Brian 27 de enero de 2014 Wiper y otros malware destructivos html Kaspersky Archivado desde el original el 24 de febrero de 2020 Consultado el 24 de febrero de 2020 El primer Wiper fue tan efectivo que el mismo se elimino de los miles de equipos iranies que habia infectado De esta manera no fue posible encontrar ni una muestra del malware PC World Zombie PCs Silent Growing Threat en ingles Archivado desde el original el 27 de julio de 2008 El 60 del malware se distribuye mediante pay per install ccn cert cni es 13 de Septiembre 2011 ALEGSA Definicion de Crimeware Definicion de greyware en la Webopedia en ingles Sobre los riesgos del grayware en ingles Definicion de graynet o greynet en ingles Definicion de greyware en ingles ESET Tipos de malware y otras amenazas informaticas Archivado desde el original el 14 de diciembre de 2009 Que es el riskware kaspersky com Viruslist com Droppers troyanos Archivado desde el original el 24 de septiembre de 2010 Symantec Corporation Trojan Dropper en ingles Red Shell el spyware de juegos de Steam que espia a los usuarios Alejandro Alcolea Huertos computerhoy com 22 de junio de 2018 a b c d 4 Common Types of Spyware and How To Detect Them managedsolution com 11 de agosto de 2020 Tracking Cookie f secure com Adware Tracking Cookie que es y en que se diferencia del adware normal Jose Antonio Lorenzo redeszone net 20 de junio de 2021 Cookies de seguimiento y el RGPD cookiebot com 21 de julio de 2021 Tracking Cookies Vanessa Orozco 13 de octubre de 2017 Federal Government Policy on the Use of Persistent Internet Cookies Time for Change or More of the Same Daniel Castro The information Technology amp Innovation foundation Mayo de 2009 U S antidrug site dealing cookies Keith Perine cnn com 23 de junio de 2000 Google recula No matara las cookies hasta 2023 Alberto Garcia adslzone net 24 de junio de 2021 Stalkerware el spyware que controla todos tus movimientos javier Jimenez redeszone net 29 de noviembre de 2019 Software malintencionado o infeccionso Bertha Lopez Azamar Wiper y otros malware destructivos Brian Donohue kaspersky es a b c d Descubren el primer malware tipo clipper en Google Play Lukas Stefanko welivesecurity com 8 de febrero de 2019 a b c d What Is Clipper Malware and How Does It Affect Android Users Simon Batt makeuseof com 15 de febrero de 2019 a b How to remove E Clipper malware from the operating system Tomas Meskauskas pcrisk com 23 de agosto de 2021 Criptomineria Criptojacking eset com Todo acerca del cryptojacking malwarebytes com a b Evrial el malware que roba criptomonedas a traves del portapapeles y el estafador estafado ElevenPaths blogthinkbig com 26 febrero de 2018 HackBoss el nuevo malware de robo de criptomonedas que opera a traves de Telegram Raquel Holgado 20minutos es 16 de abril de 2021 Analisis de actualidad Ciberataquesjulio 2019 Adolfo Hernandez Lorente thiber org Julio 2019 The art of stealing banking information form grabbing on fire Aditya K Sood et ali virusbulletin com 1 de noviembre de 2011 a b c d e f Tecnicas de evasion avanzadas Asier Martinez incibe cert es 28 de mayo de 2015 What is an Evasion Technique libraesva com Diciembre de 2019 BREVE NOTA SOBRE LA OFUSCACIoN LA CLAVE DEL MALWARE PARTE 1 Sombrero Blanco sombrero blanco com 17 de noviembre de 2018 Transcriptase Light A Polymorphic Virus Construction Kit Saurabh Borwankar San Jose State University 22 de abril de 2017 Malware Intrusion Detection Morton G Swimmer pagina 24 Lulu com 5 de julio de 2005 a b Stantinko campana masiva de adware operando en secreto desde 2012 Frederic Vachon y Matthieu Faou welivesecurity com 20 de julio de 2017 Que son los Crypters lapaginadezero wordpress com ZERO 1 de mayo de 2015 Malware Obfuscation Techniques A Brief Survey Ilsun You y Kangbin Yim 2010 International Conference on Broadband Wireless Computing Communication and Applications Sistema de ofuscacion de malware para el evasion de NIDS pdf Sistema de ofuscacion de malware para la evasion de NIDS Roberto Carrasco de la Fuente et ali Universidad Complutense de Madrid Junio de 2013 a b c d Malware vs Antivirus the never ending story Part I Eva Chen blueliv com 25 de diciembre de 2019 a b Sistema de ofuscacion de malware para la evasion de NIDS Roberto Carrasco de la Fuente et ali Universidad Complutense de Madrid Junio de 2013 Malware Obfuscation Techniques A Brief Survey Ilsun You y Kangbin Yim 2010 International Conference on Broadband Wireless Computing Communication and Applications a b c d e f g h La resiliencia de las botnets redes duras de pelar Asier Martinez incibe cert es 21 de octubre de 2014 Explained Packer Crypter and Protector Pieter Arntz malwarebytes com 27 de marzo de 2017 Angler malwarebytes com 24 de Junio de 2016 How Exploit Kit Operators are Misusing Diffie Hellman Key Exchange Brooks Li Stanley Liu and Allen Wu trendmicro com 21 de septiembre de 2015 Detecting Algorithmically Generated Domains Using Data Visualization and N Grams Methods Tianyu Wang y Li Chiou Chen Seidenberg School of CSIS Pace University Pleasantville New York Proceedings of Student Faculty Research Day CSIS Pace University May 5th 2017 Algoritmo de Generacion de Dominios David Romero Trejo davidromerotrejo com 2 de marzo de 2015 a b c d Botnets La amenaza fantasma Guillermo Calvo Ortega Enero 2018 ESET descubre Casbaneiro un nuevo troyano bancario que roba criptomonedas Adan Moctezuma neuronamagazine com 4 de octubre 2019 Nueva funcionalidad de la botnet Stantinko minado de criptomonedas Raquel Galvez hispasec com 25 de noviembre de 2019 Reporte Anual de Ciberseguridad de Cisco 2018 Cisco 2018 Advanced Evasion Techniques for dummies Klaus Majewski Willey 2015 a b Stantinko Teddy Bear Surfing Out of Sight Frederic Vachon ESET Julio de 2017 El modelo de negocio del cibercrimen y su cadena de valor Miguel Angel Mendoza welivesecurity com 3 de noviembre de 2016 Evolution of the Cybercrime as a Service Epidemic Phil Muncaster infosecurity magazine com 17 de septiembre de 2018 a b c Malware as a Service The 9 to 5 of Organized Cybercrime Brian Laing lastline com 8 de marzo de 2018 Martinez Raul 20 de abril de 2017 EL RANSOMWARE COMO SERVICIO UNA TENDENCIA EN AUGE Noticias de seguridad informatica ciberseguridad y hacking Consultado el 3 de septiembre de 2020 Que es un ransomware as a service RaaS Julie Splinters losvirus es 24 de julio de 2018 679 000 logins gestolen met Phishing as a Service PHaas informatiebeveiliging nl 2 de septiembre de 2016 Dos plataformas de cibercrimen como servicio 17 de julio de 2017 DDoS Attack Tools A Survey of the Toolkits Apps and Services Used Today to Launch DDoS Attacks A10 Networks Junio de 2015 The Shark Ransomware Project allows you to create your own Customized Ransomware Lawrence Abrams bleepingcomputer com 15 de agosto de 2016 Google searches web s dark side BBC News en ingles Niels Provos The Ghost In The Browser Analysis of Web based Malware en ingles Catb org The Meaning of Hack en ingles Microsoft 14 de abril de 2009 Documento informativo sobre seguridad de Microsoft 951306 Una vulnerabilidad en Windows podria permitir la elevacion de privilegios Microsoft Tech Net CAPITULO 4 Honeypots y Honeynets SEGURIDAD EN REDES IP Gabriel Verdejo Alvarez Unitat de Combinatoria i Comunicacio Digital Departament d Informatica Universitat Autonoma de Barcelona 2003 Tecnicas y herramientas de analisis de vulnerabilidades de una red Javier Rios Yaguez Proyecto fin de grado Escuela Tecnica superior de ingenieria y sistemas de telecomunicaciones Universidad Politecnica de Madrid Introduccion al METASPLOIT msc 3 enero 2011 Phishing Creando el gancho Parte 2 Archivado el 21 de febrero de 2020 en Wayback Machine Luis Franciso Monge Martinez ihacklabs com 22 de diciembre de 2018 Las dos herramientas gratuitas que no deben faltar a cualquier hacker Ruben Velasco redeszone net 31 de julio 2016 a b Tecnicas y herramientas de analisis de vulnerabilidades de una red Javier Rios Yaguez Proyecto fin de grado Escuela Tecnica superior de ingenieria y sistemas de telecomunicaciones Universidad Politecnica de Madrid Como utilizan los ciberdelincuentes las URLs acortadas para estafar y distribuir malware Adrian Crespo redeszone net 4 de abril de 2018 Que es un acortador de URL y cuales son los mejores Israel Fernandez nobbot com 13 de marzo de 2019 ESET Global LLC Mantenga su sistema operativo actualizado ESET Global LLC Consejos de Seguridad DiarioTi com Ano 14 Edicion 3683 Diez consejos para un uso ciberseguro de los dispositivos moviles Departamento de Seguridad en Computo UNAM CERT Como crear contrasenas seguras Archivado desde el original el 14 de marzo de 2013 Consultado el 25 de marzo de 2014 Fabian Romo UNAM redes sociales 10 sencillas formas de detectar el malware en la computadora AntiSpyware que son y los 11 mejores Yubal FM Xataka Octubre 2019 a b CAPITULO 3 IDS SEGURIDAD EN REDES IP Gabriel Verdejo Alvarez Unitat de Combinatoria i Comunicacio Digital Departament d Informatica Universitat Autonoma de Barcelona 2003 La otra manera de identificar malware Asier Martinez INCIBE 19 de marzo de 2014 The Concepts of the Malware Attribute Enumeration and Characterization MAEC Effort Ivan A Kirillov et ali Automatic Malware Description via AttributeTagging and Similarity Embedding Felipe N Ducau et ali THE MAEC LANGUAGE THE MITRE CORPORATION 12 de junio de 104 Inteligencia de amenazas I Sothis tech 20 noviembre de 2018 Automatic Malware Description via AttributeTagging and Similarity Embedding Felipe N Ducau et ali 23 de enero de 2020 Antimalware Day como nacio la lucha contra las amenazas informaticas Enlaces externos EditarBlog de Chema Alonso Maligno Alonso dedicado a la investigacion y prevencion de los programas malignos Blog de Playmaax Como eliminar malware rogueads unwanted ads WordPress Datos Q14001 Multimedia Malware Obtenido de https es wikipedia org w index php title Malware amp oldid 140698360, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos