Llegamos a ustedes gracias a:



Reportajes y análisis

Crecen las amenazas de redes de malware, ¿cómo defenderse?

[05/03/2012] En el 2011, los cibercriminales incrementaron su juego con la creación de infraestructuras de redes de malware (Malnets) que se aprovechan de los lugares más populares en Internet, como motores de búsqueda y sitios de redes sociales, para lanzar repetidamente una serie de ataques de malware.
La firma de seguridad Blue Coat Systems comenzó a seguir las Malnets este último año. En su informe de seguridad 2012, Blue Coat señaló que las infraestructuras de Malnet le da a los ciber criminales la capacidad de lanzar ataques dinámicos que las soluciones tradicionales de antivirus no suelen detectar por días o incluso meses. Apuntó a una carga útil de malware que en febrero del 2011 cambió su ubicación más de mil 500 veces en un solo día.
"Hacemos un seguimiento del orden de 500 de estos", señala Murthy Sasi, director senior de marketing de producto de Blue Coat. "Algunos son muy pequeños y algunos son globales. Vastas zonas de estas redes pueden estar en silencio durante meses. Es una forma muy efectiva para evadir la aplicación de la ley".
La mayor Malnet identificada por Blue Coat es Shnakule, que tiene en promedio 1.269 anfitriones. Se distribuye a través de Norteamérica, Sudamérica, Europa y Asia, y sus ofertas de actividad maliciosa se encuentran en descargas de falsos antivirus, codecs, Flash y las actualizaciones de Firefox, controles CNC de botnets, pornografía, apuestas y estafas de trabajo en el hogar. Blue Coat señaló que en julio expandió sus actividades tradicionales para incluir publicidad maliciosa.
Cómo operan las Malnets
Las Malnets son una colección de varios miles de dominios únicos, servidores y sitios web diseñados para trabajar juntos con el fin de canalizar a las víctimas hacia una carga útil de malware, a menudo utilizando sitios de confianza como punto de partida. Utilizando esta infraestructura y noticias de señuelo relacionadas con celebridades, señala Blue Coat, los ciber criminales rápidamente pueden lanzar nuevos ataques que atraen a muchas víctimas potenciales antes de que las tecnologías de seguridad puedan identificarlas y bloquearlas.
"Muchos sitios legítimos están realmente infectados", indica Murthy. "En algunos casos, tienes sitios web legítimos con un máximo de 74% de contenido malicioso".
Tal vez la manera más popular de atraer a usuarios desprevenidos es el envenenamiento de motores de búsqueda (SEP), que utiliza las técnicas de optimización del motor de búsquedas (SEO) para plantar semillas de malware en los resultados de búsqueda comunes.
"Aproximadamente una de cada 142 búsquedas más o menos, dio lugar a una URL maliciosa en el año 2011", agrega Murthy. "Cuando nos fijamos en lo importante que son las solicitudes de búsqueda para todos nosotros, eso es bastante aterrador".
Blue Coat señala que cada ataque utiliza diferentes sitios de confianza y cebo para atraer a los usuarios. Algunos de los ataques ni siquiera utilizan servidores de retransmisión. Una vez que los usuarios caen en la trampa, son llevados directamente a servidores explotados que identifican el sistema del usuario o las vulnerabilidades de las aplicaciones y utilizar esa información para servirle una carga de código malicioso.
"En algunos casos, como ocurre con las inyecciones de iFrame, los usuarios podrán recorrer el camino de Malnet sin saberlo", señala Blue Coat. "La acción del servidor de retransmisión y explotación se lleva a cabo en el fondo, e instala malware en secreto. En otros casos, la descarga de malware requiere que el usuario haga clic en un enlace".
Mientras que los motores/portales de búsqueda, correo electrónico siguen siendo la categoría de contenido más atacada por los ciber criminales, los sitios de redes sociales también dispararon su popularidad en el 2011, señala Murthy. No debería ser ninguna sorpresa; Blue Coat dijo que los operadores de Malnet siguen estrategias de poca inversión/alto impacto, y los motores de búsqueda, portales y sitios de redes sociales ofrecen una gran cantidad de víctimas potenciales. Pero esas no son las únicas categorías que están en riesgo. A los operadores Malnet les gusta esconder sus cargas útiles maliciosas a la vista de todos, y los sitios de almacenamiento en línea y sitios de descarga de software son especialmente atractivos, ya que los archivos de alojamiento son parte de sus modelos de negocio. Blue Coat señala que en el 2011, el 74% de todas las nuevas calificaciones de almacenamiento en línea fueron maliciosas.
Mejores Prácticas de protección contra amenazas
Dada la naturaleza cambiante de la amenaza, ¿cómo pueden defenderse las organizaciones de TI a sí mismas y a sus empleados? Blue Coat recomienda seis mejores prácticas:
Conozca sus registros y revíselos con frecuencia. Revisar el tráfico en su red puede ayudarle a identificar un comportamiento anómalo, como una computadora infectada intentando llamar a casa para una consola de comando y control. Si ve una gran cantidad de tráfico sin clasificar desde una computadora en su red, puede ser una señal de que tiene un problema.
Bloquee todo el contenido ejecutable a partir de dominios no clasificados. Esto es una obviedad. Si el contenido que no puede ser clasificado está intentando descargar un archivo ejecutable, hay una alta probabilidad de que sea malicioso.
Establezca políticas en torno a categorías peligrosas y potencialmente peligrosas. Cuando se trata de categorías sospechosas, bloquéelas o al menos bloquee los ejecutables. Las categorías de alto riesgo incluyen los sitios de piratería y los juegos de azar, pornografía, dominios y sitios de marcadores de posición y evasión de proxys. Otras categorías de riesgo incluyen descargas de software, contenido abierto/mixto, almacenamiento en línea, anuncios en web, el contenido no visible y DNS dinámicos.
Bloquee todo el tráfico que no sea SSL que intente utilizar el puerto 443. Blue Coat señala que muchos bots utilizan un cifrado personalizado a través del puerto 443 para evitar la detección cuando llaman a sus servidores de comando y control. Las organizaciones pueden aumentar su defensa mediante el uso de un dispositivo de proxy para proporcionar visibilidad en el tráfico SSL a través del puerto 443, y mediante el bloqueo de todo el tráfico que no sea SSL que intente pasar por el puerto.
Capa de soluciones antivirus en el escritorio y la entrada. Mediante el despliegue de múltiples motores antivirus a través de su red, puede aumentar las probabilidades de que un ejecutable malicioso que se le escapó a un motor sea bloqueado por otro.
Utilice la aplicación granular y controles de operación además de la tecnología de filtrado web para mitigar los riesgos de las redes sociales. Murthy señala que los sitios de redes sociales se han ampliado para convertirse en una "Internet en la Internet", entornos casi autónomos en los que los usuarios pueden hacer casi todo lo que harían en Internet. Como resultado, las empresas necesitan un análisis y control detallado que se extienda más allá de los sitios de redes sociales para incluir aplicaciones web individuales y contenido dentro de esos sitios. Por ejemplo, Murthy señala que algunas agencias gubernamentales han puesto en práctica una política de controles y solo lectura de Facebook.
"Lo más importante que estamos diciendo aquí es el hecho de que se pueden bloquear las amenazas antes de que ocurran", señala Murthy. "Puede ver el torpedo que vienen en el agua antes de que lo golpee".
Thor Olavsrud, CIO (EE.UU.)