- Seguridad Informática - Troyanos -

La "Social Engneering" (Ingeniería Social) es el conjunto de métodos, con los cuales es posible manipular las acciones (el comportamiento) de los seres humanos, aprovechándose de sus debilidades.
En el mundo de los ordenadores personales, se habla de "Social Hackeng".
Los agresores hacen uso de las expectativas, el temor, las necesidades o simplemente, la curiosidad del usuario para lograr sus objetivos, construyendo una presión, positivo o negativa, para motivar una determinada acción.
Así, por ejemplo, la victima piensa que recibe un regalo o le provocan miedo. De esta forma, el agresor desvía la atención del usuario, ocultando sus verdaderas intenciones, propiciando una acción hipotéticamente voluntaria que es el efecto deseado.
El usuario no se da cuenta o lo hace demasiado tarde que ha sido manipulado.
Estas acciones engañosas tienen el objetivo de comprometer (contaminar, infectar) al mayor número de ordenadores posible, convirtiendo a las victimas en zombis, cuyos ordenadores, sin su conocimiento y consentimiento, envían miles de correos-Spam o, en forma coordinada, ataquen algún servidor en Internet.
Es muy difundida, la propagación de correos con facturas, las cuales deben choquear a los usuarios con exigencias que opaquen el sentido común, la desconfianza e induzcan al usuario a abrir documentos adjuntos a estos correos. Estos documentos adjuntos, son generalmente, archivos muy pequeños, con un nombre como puede ser "factura.pdf.exe", que es un troyano.
Otro ejemplo es el anuncio de pesquisas policiales por la bajada (Download) ilegal de materiales de Internet, donde se hace una amenaza de multa y hasta posibles penas de privación de libertad y donde se hace alusión a un teléfono real de la policía, el cual, a partir de ese momento, es llamado constantemente, provocando el bloqueado del mismo.

¿Como trabajan los troyanos?
Todos los Mails de este tipo son propagados por grupos que quieren crear un botnet.
Sus documentos adjuntos incluyen un pequeño archivo ".exe" con el propósito de introducir programas "Malware" e instalarlos.
El troyano desconecta, primeramente, posibles Tools de seguridad, como pueden ser antivirus y Firewall. A continuación, contacta uno o más servidores Web y baja Malware de los mismos.
Dichos Malwaren, son generalmente un Rootkit y un Proxy-Spam.
El Rootkit encubre (camuflea) archivos, procesos y anotaciones en el Registry que los haga parecer como medios normales de Windows.
El Proxy-Spam toma una lista de direcciones y una plantilla (muestra) de correo de un servidor y envía algunos miles de Mails a esas direcciones.
Otra variante, instala un BHO (Browser Helper Object) en el Internet Explorer, nombrado "ipv6monl.dll". Aquí se trata de un "Plug-in" –un Keylogger-, el cual recoge los datos de acceso a cuentas bancarias del ordenador comprometido y se los transmite al agresor.

Botnet
El ordenador comprometido se convierte en un esclavo-Spam dentro de una red virtual, el cual es controlado por un servidor y relacionado con un botnet.
El promotor de un botnet alquila o vende la red a "Spammer", los cuales envían sus mensajes por esta vía.
Los ordenadores controlados a distancia, llamados "zombis", están vinculados a un servidor y no tienen noticia de otros zombis. Dado el caso, en que el servidor sea detectado y retirado de la red, la botnet pierde su dirección y con esto sus funciones.

P2P-Botnet
Para prolongar el uso de una botnet, los programadores de Malware se sirven de la técnica del P2P y adaptan el "protocolo-Overnet" de las bolsas de intercambio de software de E-Donkey a sus propósitos. Los Zombis se comunican, aun cuando el servidor de control es retirado de la red, ya que estos se intercambian la dirección del nuevo servidor de control.
El troyano contenido en el documento adjunto del correo, instala un driver-Rootkit con el nombre "wincom32.sys" en la carpeta System32 de Windows.
Una vez hecho esto, el ordenador baja del resto de los ordenadores que asumen funciones de servidor, cinco o seis archivos ".exe", los cuales crean las alternativas al servidor actual, garantizándose así la continuidad de los enlaces de red.

Descubrir un Rootkit
El Rootkit establece un servicio nuevo en Windows, que puede ser "wincom32" por ejemplo.
Este servicio puede terminarse. Para esto teclee en la línea de comandos
"net stop wincom32"
Con esto se hacen visibles los puertos utilizados y las anotaciones en el registry relacionados con el Malware.
La línea de comandos debe iniciarse con derechos de administrador o teclear "runas"
en el mismo.
El resto de los trabajos de saneamiento pueden ser asumidos por un programa antivirus.

Ayuda contra Spam
Filtros de Spam puedes sortear una parte de los correos con Malware, procedentes de direcciones desconocidas y remitentes falsos.
Los antivirus suelen ser tan buenos como el último Update ejecutado. Incluso, en el caso de Spam de carácter regional y de ser de resiente creación, la protección de estas programas es muy limitada.
Un buen Firewall puede, por lo menos, limitar los daños que produzcan estos Malware, al impedir el bajado de otros archivos que comprometan el sistema. Si el usuario no trabaja en el ordenador con la condición de admin., puede evitar que muchos troyanos se aniden en el ordenador.
La mejor protección contra estos Malware es el sentido común. Los documentos adjuntos a los correos no se abren por si solos. Alguien tiene que pincharlos, por lo menos, una o dos veces. Por esta razón, el usuario debe permanecer atento y desconfiado ante correos inesperados y no debe abrir los documentos que lo adjuntan.
previo
Imprimir..
Ultima actualisación: Tue, 24 ▪ May ▪ 2011
próximo