Cómo funciona el malware y los diferentes tipos de malware

Caso de Uso

Para empezar a trabajar con malware, primero debemos conocer sus diferentes tipos. Virus, spyware, backdoors, ransomware y adware se comportan de manera diferente y se inspiran en diferentes motivaciones. Este conocimiento ayudará al protector a clasificar el tipo de malware detectado.

Objetivos

Después de completar este subtema, el profesional debe ser capaz de realizar lo siguiente:

• Diferenciar entre los varios tipos de malware.
• Comprender lo que puede hacer el malware.
• Comprender cómo comienzan las infecciones de malware.
• Describir qué son los indicadores de compromiso.

Sección Principal

En general, el malware es cualquier software que se utiliza para realizar acciones no autorizadas en la computadora o dispositivo móvil de un usuario. Wikipedia tiene una buena introducción al malware en general.

¿Cómo funciona el malware?

El malware puede hacer cualquier cosa que cualquier software puede hacer, pero hay varias capacidades comunes que existe en el malware. Si bien algunos malware tienen un solo propósito, otros tendrán varias capacidades. Las capacidades utilizadas con frecuencia incluyen:

• Borrar o cifrar datos (ransomware). A menudo son dirigidos por atacantes con motivaciones financieras. Este malware tomará control de la computadora de la persona objetivo y le negará el acceso a sus datos hasta que se pague un rescate.
• Robo de datos. El malware puede enviar datos de forma selectiva o indiscriminada desde el dispositivo de la persona objetivo a una computadora controlada por el atacante. Se utiliza solo o junto con ransomware.
• Uso no autorizado de recursos. Los atacantes con motivaciones financieras utilizarán con frecuencia conjuntos de computadoras comprometidas para realizar acciones, como la minería de criptomonedas, enviar spam o realizar ataques de denegación de servicio.
• Secuestro del navegador web de un usuario. Algunos malware pueden insertar anuncios en páginas web mientras un usuario navega por la web, recaudando ingresos por publicidad. Otros pueden robar contraseñas o cookies de sesión (la cookie que te autentica al iniciar una sesión en tu cuenta), lo que permite a los atacantes acceder a las cuentas de la persona objetivo en los sitios web. Algunos malware ladrones extraen contraseñas, cookies y otros tipos de datos confidenciales de un dispositivo y luego los eliminan, intentando borrar cualquier rastro de la infección.
• Recopilación de la actividad del usuario. El malware más sofisticado intentará capturar las actividades de la persona objetivo, como grabar video o audio, capturar la escritura del usuario, registrar la localización de un dispositivo móvil, etc. Esto se utiliza a menudo para espionaje/vigilancia o extorsión.
• Control interactivo o seminteractivo. El malware más sofisticado tendrá capacidades de propósito general que le permitirá al atacante utilizar el dispositivo de la persona objetivo para actividades improvisadas. Un atacante puede enviar comandos generales a través de un servidor de comando y control o una conexión directa, y el malware ejecutará los comandos en el dispositivo de la persona objetivo y devolverá los resultados al atacante. Esto se utiliza a menudo contra objetivos de gran valor o para lanzar más ataques dentro de una red.

La lista anterior no es exhaustiva, pero describe las capacidades de malware más comunes. Para obtener una excelente visión general de los principales malware descubiertos en el año anterior, consulte la publicación del blog de Patrick Wardle en The Mac Malware of 2023. Si bien esta publicación describe muchos conceptos que cubriremos más adelante a lo largo de esta ruta de aprendizaje (como los escaneos de VirusTotal), es una fantástica introducción y visión general del mundo del malware.

Quizás una de las piezas de Malware más notoriamente capaz es el paquete Pegasus de NSO Group, que está diseñado específicamente para la vigilancia encubierta. Sus capacidades se enumeran en este documento de ventas de NSO Group.

Recomendamos mucho la lectura del Capítulo 5 de la Guía de Campo sobre respuesta a incidentes para la sociedad civil y medios para obtener una visión general temáticamente relevante del malware y conceptos relacionados, que incluyen:

• Ofuscación de código.
• Tipos de malware.
• Persistencia.
• Cadenas de infección.
• Comunicación de comando y control.
• Programas antivirus.
• Vulnerabilidades y exploits.

¿Cómo se infectan los dispositivos objetivo?

El malware tiene que llegar de alguna manera al dispositivo de la persona objetivo. Los métodos para hacerlo van desde engañar a los usuarios para que ejecuten software malicioso hasta la explotación de software y servicios vulnerables, incluidos los verdaderos ataques de 0-clics.

Métodos para infectar Windows, macOS y Linux

1. Ejecutar directamente (ejecución) programas maliciosos recibidos a través de ataques de ingeniería social.
   1. Phishing a través de correo electrónico, SMS, WhatsApp, etc.
   2. Malware disfrazado de software legítimo, como software pirateado.
   3. Malware copiado de memorias USB, etc.
2. Documentos que contienen malware incrustado, normalmente documentos heredados de Microsoft Office, pero también formatos como PDF, páginas web, etc.
3. Documentos y páginas web que aprovechan errores en el software para instalar malware. Estos eluden los controles integrados de seguridad en las aplicaciones y sistema operativo.
4. Ataque “Sin clic” (Gratis, Ingles) que no requieren ninguna interacción del usuario, pero permiten al atacante atacar directamente una aplicación o sistema operativo. Afectan tanto a los sistemas operativos de escritorio como a los móviles.

Una vez que se logra el comprometimiento inicial, la mayoría del malware pasará por varias etapas de infección (Gratis, Inglés).

Métodos para infectar iOS y Android

Los sistemas operativos móviles tienen una arquitectura ligeramente diferente a los sistemas operativos de escritorio. Por lo general, están más asegurados y restringen el código que se puede ejecutar en ellos. Esto significa que el malware también tiene rutas y métodos de infección ligeramente diferentes. Verifica la sección de arquitectura de sistemas de teléfonos inteligentes de la Guía Forense Móvil para obtener una buena visión general.

Las configuraciones estándar de iOS y Android sólo permiten al usuario ejecutar software descargado de las tiendas de aplicaciones oficiales. El malware para esas plataformas se instala a través de dicha tienda de aplicaciones (lo que significa que no fue descubierto durante las auditorías de seguridad de Apple o Google) o explotando agujeros en iOS y Android que impiden la ejecución de código no autorizado. Alternativamente, algunos autores de malware también utilizan la ingeniería social para convencer a las personas objetivo a instalar perfiles maliciosos u otras configuraciones de dispositivos.

Persistencia

Muchos de los malware que encuentras en tu trabajo serán persistentes o capaces de comenzar a ejecutarse automáticamente cada vez que la persona objetivo inicie sesión o reinicie su sistema. Cada sistema operativo tiene mecanismos que ejecutan automáticamente cierto software al iniciar sesión, en momentos programados o cuando sucede algo (por ejemplo, cuando se realiza una nueva conexión de red o se inicia un programa).

El malware puede utilizar una amplia gama de técnicas de persistencia; algunos de ellos son razonablemente simples (como agregarse a la lista de programas que se ejecutan automáticamente al iniciar sesión), mientras que otros son mucho más complejos y aprovechan los recursos especializados del sistema operativo. Si deseas obtener más información sobre ellos, consulta este análisis a fondo del tema y esta lista avanzada y completa de técnicas de persistencia. Muchas de esas técnicas incluyen análisis avanzados que están ligeramente fuera del alcance de esta ruta de aprendizaje; al mismo tiempo, es buena idea que tengas una idea general de qué es la persistencia y qué mecanismos podrían utilizarse.

Algunos malware no buscarán la persistencia. En su lugar, se ejecutará, extraerá datos y luego desaparecerá después de cerrar sesión o reiniciar. Si los atacantes quieren volver a utilizar las capacidades del malware, simplemente lo reinstalan en el sistema de la persona objetivo. Si bien esto puede limitar el período durante el cual el malware está activo en un sistema y, por lo tanto, los datos que recopila, también hacen que el malware sea más difícil de detectar, ya que deja menos rastros en el sistema.

Indicadores de Compromiso

En el proceso de instalación y realización de actividades maliciosas, el malware deja IoCs o Indicadores de Compromiso. Se utilizan con frecuencia para identificar piezas específicas de malware. Los IoCs podrían incluir hashes cifrados (los cubriremos más adelante en esta ruta de aprendizaje) que representan archivos ejecutables específicos, pero también pueden ser conexiones a servicios de red o tráfico de red privada, patrones de ejecución, etc.

Para obtener un breve resumen de qué son los IoCs y cómo podrían verse, consulta las páginas 37-40 (desde indicadores de compromiso hasta neutralización) de la Guía de Campo para Respuesta a Incidentes para la Sociedad Civil y Medios

Para una discusión extensa sobre los IoC y sus usos en la respuesta a incidentes, echa un vistazo a este seminario web de CISA (inglés, 46 minutos).

Consulta los IoCs descritos en la página 52 de este Informe de Amnistía un artículo sobre el poderoso spyware comercial: en su mayoría consisten en nombres de dominios que se utilizaron como infraestructura durante esta campaña de malware. Después de haber hecho eso, revisa esta página, que recopila IoCs de varias investigaciones realizadas por Amnesty Tech.

Hay muchas maneras diferentes de detectar indicadores de compromiso. Incluyen revisar los registros de red para ver si algún dispositivo intentó contactar con un dominio específico y verificar si algún archivo en un dispositivo coincide con ciertos hashes. Si desea aprender un poco más sobre ellos, te recomendamos consultar los artículos de Microsoft y Fortinet.

Malware conocido versus malware desconocido

La gran mayoría de las infecciones de malware que encontrarás durante tu carrera habrán sido causadas por malware que la comunidad conoce. Esto significa que alguien más ya encontró este malware y compartió los IoCs o muestras de los mismos con motores de escaneo de malware. Aun así, los ciberdelincuentes continúan escribiendo nuevo malware y adaptando programas existentes. Por lo tanto, siempre existe una pequeña posibilidad de que los dispositivos que estás investigando estén infectados con malware que aún no ha sido documentado. Si te preocupa que este sea el caso, te recomendamos que consultes la Ruta de Aprendizaje sobre Análisis de Malware, la cual te guiará sobre cómo analizar muestras desconocidas para averiguar si son maliciosas.

Tampoco todo el malware que se ha identificado está ampliamente documentado. Muchas de las muestras que se pueden encontrar en sitios web como MalwareBazaar pueden tener IoCs asociados y se sabe que son maliciosos, pero es posible que los analistas no hayan escrito qué hace exactamente ese malware. Si encuentras una muestra que otros marcaron como maliciosa pero que, no obstante, está poco documentada y te gustaría aprender más sobre cómo funciona y qué hace, sigue algunas de las guías en la ruta de aprendizaje del análisis.

Práctica

Tómate un momento para revisar la lista de malware de Malware Bazaar’s recientemente enviada. Lee las descripciones y los comentarios de varias muestras de malware y toma nota de la forma que toman, qué mecanismo de entrega utilizan, y afines. Algunas de las muestras de malware tienen comentarios adjuntos; revísalos también. Ten en cuenta que no todas las muestras de malware contendrán detalles como IoCs o mecanismos de entrega.

Ten en cuenta que Malware Bazaar también contiene algunos detalles, como hashes, que solo se cubrirán en fases posteriores de esta ruta de aprendizaje.

No descargues ninguna muestra en este momento. Simplemente echa un vistazo a las descripciones de las muestras, eso es suficiente en esta etapa.

Verificación de habilidades

Trabajando con un colega o mentor, encuentra dos o tres informes que describan infecciones de malware para una plataforma de tu elección. Asegúrate de que esos informes incluyan IoCs. Si no puedes encontrar ningún informe, simplemente puedes leer uno de estos:

• HotRat: Los Riesgos de las Descargas Ilegales de Software y del Script AutoHotkey Oculto
• Earth Preta utiliza Spear-Phishing para atacar Gobiernos en Todo el Mundo
• Nuevo SugarGh0st RAT apunta al gobierno de Uzbekistán y Corea del Sur
• (este documento es largo, solo léelo detenidamente si se siente particularmente ambiciosa) Amnesty Tech informe sobre Predator

Responde las siguientes preguntas para uno de esos informes:

• ¿Qué hace este malware?
• ¿Cómo logra el malware llegar a un sistema? ¿Aprovecha un error existente para ser instalado? ¿Requiere intervención del usuario para instalarse?
• ¿Cuáles son los IoCs para este malware? ¿Qué medidas podríamos tomar para detectar esos IoCs en un sistema o red infectados?

Discute tus respuestas a todas esas preguntas con tu colega o mentor.

Recursos Educativos