Lo que 4 Años en la Web enseñan sobre Malware

Frecuentemente escuchamos que la complejidad de los ataques contra un sistema informático van en aumento. Sin embargo, al pedir más detalles, no siempre escuchamos ejemplos concretos que demuestren el incremento en complejidad de los ataques. Recientemente, Google publicó un reporte técnico que muestra claramente como los ataques han aumentado en complejidad.

El reporte utiliza datos recolectados durante los últimos 4 años por medio de la Infraestructura 'SafeBrowsing', que genera diariamente 3 millones de alertas a más de 400 millones de usuarios que navegan por la web. Los navegadores Mozilla Firefox y Google Chrome utilizan esta infraestructura. 

En el reporte se detalla como los navegadores son utilizados extensamente por los atacantes para instalar malware en computadoras de terceros. Además, cambian constantemente los métodos que utilizan para comprometer las victimas y realizan serios esfuerzos para evadir programas antivirus y otros métodos de detección, que incluso muchos en seguridad informática utilizamos y en los cuales hasta confiamos.

He aquí varios puntos a resaltar y que se mencionan en el reporte:

• Se analizan cuatro métodos para detectar sitios web que están publicando malware: honeypots tipo cliente y emuladores de navegadores, programas antivirus y sistemas de reputación de dominios.  En el reporte se concluye que es necesario utilizar y depender de multiples métodos ya que los atacantes intentan confundir estos métodos de detección.
  
  En la gráfica de abajo se muestra como se puede incrementar la detección de malware utilizando dos metodos: emuladores de navegadores (se muestra bajo el nombre 'Exploit Only' y en color blanco) y honeypots tipo clientes (bajo el nombre 'NewProcess Only' y en color negro). El uso de ambos métodos se muestra en color gris. Como puede apreciarse, se detecta un mayor numero de sitios maliciosos al utilizar ambos métodos. Aunque detectan juntos una larga proporcion de los sitios web analizados, tambien cubren casos diferentes durante otros periodos de tiempo. En otras palabras, al utilizar varios metodos de forma simultanea se disminuye la incertidumbre (sobre si un sitio es malicioso o no) y el numero de falsos negativos (casos que fueron equivocadamente clasificados como benignos).
  

La siguiente gráfica muestra el trabajo de emuladores de navegadores y programas antivirus. Esta gráfica puede confundir, pues muestra un gran porcentaje de los sitios detectados por medio de los programas antivirus (en color negro). Sin embargo, el reporte indica la tendencia de estos programas a generar falsos positivos (casos que fueron equivocadamente clasificados como maliciosos). Esto es conocido en la comunidad debido en parte al uso de programas para empaquetar el malware. Otra razón es que el programa antivirus debe actuar de forma más precavida ya que puede no contar con el tiempo necesario para confirmar si un archivo es malware o no. Recuérdese que en el escenario de detección experimentado por Google, es necesario determinar si el archivo es malware ANTES de que infecte una computadora por medio de un navegador. Esto hace que los programas antivirus sean sobre precavidos y declaren como malware algun archivo del que no están completamente seguros, para disminuir su tiempo de respuesta y aún cuando esto aumente el número de falsos positivos.

Los atacantes cambian rápidamente los vulnerabilidades utilizadas para instalar malware en las computadoras de sus victimas. Esto tiene el objetivo de evadir ser detectados. La gráfica de abajo muestra 24 vulnerabilidades, identificadas cada una por su código CVE, en el eje Y. El eje X muestra el tiempo que son utilizadas, por medio de bloques. En la mayoría de los casos, las vulnerabilidades son utilizadas por espacio que va de semanas a meses. La intensidad del color de cada bloque indica la 'popularidad' de la vulnerabilidad, en un momento determinado y comparado con otras vulnerabilidades utilizadas durante el mismo instante.

Notese por ejemplo la vulnerabilidad CVE-2010-0249 que fue utilizada por un espacio no mayor a seis meses.

El tiempo entre que una nueva vulnerabilidad es ejecutada y cuando es publicada ha ido disminuyendo, dando cada vez menos tiempo a que un administrador utilice métodos manuales para proteger sus sistemas informáticos. La siguiente tabla muestra el número de días entre que se detectó una vulnerabilidad (fue ejecutada) y cuando fue publicada. En los casos en donde se muestra número de días negativos, como la vulnerabilidad CVE-2008-6442 con -242 días, significa que la vulnerabilidad primero fue detectada y luego publicada. En el caso de CVE-2008-6442, esto representa más de ocho meses.

Google ha puesto su infraestructura 'SafeBrowsing' a disposición de cualquiera que desee utilizarla, por medio de un API. Para mayor información, favor consultar el sitio web Google Safe Browsing API.

Para aquellos interesados, el reporte está disponible aquí. Ademas, los autores también han publicado comentarios en su blog. El reporte es una interesante lectura, describiendo el mundo del malware y el reto al que se enfrentan quienes debemos proteger los sistemas informáticos de estos ataques.