Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 21 de septiembre de 2009

Eficacia de los antivirus frente a ZeuS

Luego de la liberación del código de ZeuS durante el 2007, sin lugar a dudas, además de ser una de las botnets más grandes, su troyano se ha convertido en uno de los que posee un mayor índice de infección a nivel global.

En este mismo blog hemos abordado algunas características de esta botnet, que con más de 20 versiones desde su aparición, últimamente ha tomado mayor relevancia en los medios de información especializados gracias a una serie de informes que describen algunos de sus aspectos más relevantes

Por ejemplo RSA, hace poco tiempo publicó un informe sobre fraudes en línea describiendo la incorporación de un componente Jabber que de forma instantánea alerta a los botmasters cuando se ha reclutado una nueva zombi. S21Sec recientemente realizó un seminario en línea sobre la evolución de ZeuS en el que describieron sus patrones más relevantes entre otros detalles técnicos.

Se suma a esta ola la empresa Trusteer, que según un corto pero interesante informe liberado recientemente, presenta a ZeuS desde una perspectiva diferente. Bajo el título "Measuring the in-the-wild effectiveness of Antivirus against Zeus" deja en evidencia la eficacia de las soluciones de seguridad antivirus frente al código malicioso que propaga esta botnet en particular.

Hay algunos datos interesantes que se desprenden del informe. Según el mismo, actualmente ZeuS posee bajo su mando aproximadamente 3,6 millones de computadoras sólo en USA y a nivel global el 44% de las zombis que forman parte de botnets; lo cual deja bien claro que actualmente es la red de zombis más grande.

En este sentido, la respuesta que podría dar fundamento fuerte a estos datos quizás se deba a la popularidad que ha tenido ZeuS en el ambiente clandestino de comercialización del mercado ruso gracias a su bajo costo, del crimeware en general, y a la liberación de sus primeras versiones en diferentes foros desde los cuales es posible conseguirlos de forma gratuita.

De hecho, de las dos generaciones de ZeuS (versión 1 y 2) un alto porcentaje de botnets In-the-Wild pertenecen a la primera generación con un amplio repertorio de versiones que van desde la 1.0.x.x a la 1.1.x.x.

Actualmente, ZeuS se encuentra por su versión pública 1.2.5 aunque existen versiones privadas con algunas modificaciones (mejoras para los botmasters) que por el momento no se consiguen en la clandestinidad under pero que se encuentran In-the-Wild como el caso de la versión 1.2.7.

Sin embargo, lo más importante de este informe, como lo mencioné líneas arriba, se canaliza en la eficacia de los antivirus en cuanto al índice de detección que presentan de su troyano.

Si bien los datos reportados por Trusteer son muy interesantes hay una serie de cuestiones que se deben tener en cuenta. Una de ellas y que cabe aclarar es que ZeuS posee una aplicación interna mediante la cual se genera el binario a propagar y el archivo de configuración desde el que toma la información fraudulenta para los ataques de phishing y demás. Pero además, permite ejecutar otros ataques a través de exploits diseñados para aprovechar vulnerabilidades de las aplicaciones de flash y lectores PDF mediante archivos .pdf y .swf.

Por otra parte, la muestra tomada para el análisis fue de 10.000 zombis, que si bien no refleja un dato real de equipos infectados con ZeuS permite obtener información precisa y una idea lo suficientemente concreta sobre el riego de seguridad que representa el malware.

Lo más preocupante, según el informe, los datos de infección recogidos se encuentran basados en tres factores que involucran directamente a los antivirus y de los cuales se desprenden los siguientes niveles de eficacia:
  • Computadoras sin antivirus: el 31% infectados con ZeuS
  • Computadoras con antivirus desactualizado: el 14% infectados con ZeuS
  • Computadoras con antivirus actualizado: el 55% infectados con ZeuS
Esto significa que la eficacia de los programas antivirus es baja, porque el índice de detección de ZeuS es bajo. ZeuS es un código malicioso complejo que desde el principio incorpora un módulo de cifrado y esto hay que tener en cuenta.

Cada distribución de su binario significa una nueva variante que amplia nuevamente el tiempo de respuesta de los AV incorporando nuevas víctimas e incrementando su familia. Más complejo aún, si tenemos en cuenta que el binario puede ser (y lo es) sometido a procesos anti-análisis que se ofrecen a granel en Internet.

Información relacionada
Especial!! ZeuS Botnet for Dummies
Fusión. Un concepto adoptado por el crimeware actual
Botnet. Securización en la nueva versión de ZeuS
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Otros paquetes para control de botnets
Phoenix Exploit’s Kit
iNF`[LOADER]
Hybrid Botnet Control System
Botnet Open Source
Fragus
Liberty Exploit System
TRiAD HTTP Control System
Eleonora Exploit Pack
ElFiesta
Unique Sploits Pack
Adrenaline
Chamaleon
YES Exploit System
Barracuda

Actividades botnet
Waledac/Storm. Pasado y presente de una amenaza latente
Simbiosis del malware actual. Koobface
Entendiendo las redes Fast-Flux
Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs

Jorge Mieres

4 comentarios:

Dario dijo...

Hola Jorge:

Vengo leyendo tu excelente trabajo desde hace una semana. Te felicito por él y gracias por compartirlo.

En específico: me preocupó este post el comentario que haces a partir del estudio de las máquinas infectadas por ZeuS. Yo he venido realizando una campaña de sensibilización en mi entorno cercano sobre la pertinencia de proteger la información y el equipo, y que las máquinas con antivirus actualizado sean las mayormente infectadas, me dejó como si me pusieran la cubeta con agua fría en la cabeza. Siento que uno de mis pilares se está tmabaleando, y me preocupa que gente sin conocimientos lea esto.

¿Qué se debe hacer, entonces?

Yo uso Linux en mis cosas, ¿hay alguna protección extra aparte de firewalls y actualizaciones que yo deba tomar en cuenta?

Te agradezco de antemano si tienes una respuesta (y si no, también). Te diré que me faltan leer todos los enlaces de este post. Ya tienes mi correo.

Que estés bien.

Darío Villaseñor.

Jorge Mieres dijo...

Hola Dario, entiendo el punto y de hecho coincido contigo. La realidad es que lamentablemente para nosotros (los usuarios) los códigos maliciosos son cada vez más agresivos y su desarrollo más profesional, esto implica que los mecanismos de detección que incorporan muchos de los programas antivirus actuales no son los suficientemente efectivos. Sin embargo, esto no engloba a todas las soluciones de seguridad AV.

De todos modos, el informe de esta compañía hay que tomarlo con pinzas porque hay muchos datos que faltan para sostener con mayor fuerza la fundamentación; como por ejemplo, cuáles son los antivirus que sufren esa falta de eficacia porque no es lo mismo un AVG gratuito que un NOD32 licenciado, los programas AV instalados en esos equipos ¿están legalmente licenciados?, etc.

Con respecto a la campaña de sensibilización que estás llevando adelante (lo cual es bárbaro), creo que este punto no debe desmoralizarte, porque aún así, estamos hablando de un caso muy puntual donde hay que evaluar muchos puntos extras. La concientización en los usuarios es fundamental, precisamente para evitar que sucedan incidentes de seguridad generados por infecciones de códigos maliciosos de este estilo.

Puntualmente a la pregunta ¿qué se debe hacer entonces? Creo que seguir trabajando para transformar la ignorancia o la falta de conocimiento en torno a estas cuestiones y tratar de crear en los usuarios un pensamiento más proactivo porque la implementación de una solución de seguridad es necesario, pero de nada sirve cuando hacemos caso omiso a las buenas prácticas de seguridad.

Sobre herramientas extras, quizás un filtro anti-spam pero a nivel hogareño lo más difícil es crear esa sensibilidad en los usuarios :-)

Dario dijo...

Jorge:

gracias por la pronta respuesta.

Sigo con mi campaña, nada más que con más cuidado, y te sigo leyendo. Si no te comento, no significa que no te haga caso. No vas sólo.

Saludos desde México, D.F.

Jorge Mieres dijo...

Siga con su campaña señor que eso es muy bueno :-)

Saludos.

Publicar un comentario