Gusano invisible a filtros y antivirus perimetrales

El uso del formato ZIP escogido por el creador de Mimail.C puede ser interpretado a primera vista como una medida de Ingeniería Social, ya que es común que los usuarios intercambien fotos y archivos en dicho formato. Por otro lado, cada vez son más los usuarios que desconfían de los archivos ejecutables que llegan adjuntos por e-mail, por ejemplo con extensión EXE, presentación típica de los gusanos. Es por ello que un archivo con formato ZIP parece, de entrada, mas confiable para un usuario y, por tanto, aumenta las posibilidades de engaño. Por contra, requiere que el usuario lo abra con un descompresor y lo ejecute, algo muy fácil en el caso del formato ZIP, ampliamente reconocido y utilizado.

Filtros genéricos

Desde el punto de vista de las soluciones de seguridad, esta característica del gusano le ha hecho inmune a los filtros basados en la extensión de los nombres de archivo, muy comunes por ejemplo en servidores de correo, sin olvidar algunos clientes como las nuevas versiones de Outlook. Estas soluciones se basan en impedir el paso o acceso a los archivos que contengan determinadas extensiones utilizadas masivamente por los gusanos y el malware en general, o que se consideran potencialmente peligrosas.

Estas políticas, que limitan el tipo de archivos que pueden ser recibidos, pueden parecer demasiado restrictivas cuando se aplican a un gran número de usuarios en bloque, como ocurre cuando se implantan en servidores de correo. Sin embargo la experiencia demuestra que estas prácticas no resultan muy intrusivas, ya que los usuarios no tienen necesidad de enviar/recibir este tipo de formatos ejecutables y, en caso estrictamente necesario, pueden hacerlo empaquetándolos con utilidades como los compresores sin verse afectados por el filtro.

Respecto a su efectividad, este tipo de filtros pueden prevenir de forma genérica, a bajo coste, y sin necesidad de actualizaciones constantes, la mayoría de los gusanos de Internet que hoy día se propagan a través del correo electrónico atendiendo únicamente al formato o extensión del nombre de archivo.

Por contra, los filtros basados en extensiones de archivo pueden tener un gran impacto en el trabajo diario si se incluyen algunos formatos que son ampliamente utilizados, como es el caso de los documentos de las aplicaciones Office, y que igualmente pueden albergar virus, gusanos y todo tipo de código malicioso. De forma que los filtros son un complemento a tener en cuenta, pero no pueden de ninguna forma sustituir al antivirus.

Antivirus

Llegados a este punto, son los antivirus, con su capacidad de analizar el contenido interior de los archivos, los más fiables para detectar con certeza el malware. En el caso de Mimail.C, que viaja oculto en un ZIP, el antivirus perimetral detecta que el archivo está comprimido, lo descomprime, y analiza el ejecutable EXE que se encuentra en su interior. Si el antivirus había sido actualizado y tenía la firma de este nuevo gusano, el ZIP puede ser detectado sin problemas y prevenir que llegue al usuario.

Con respecto a los filtros, los antivirus pierden poder de prevención proactiva, ya que se basan en buscar concordancias con firmas de especímenes conocidos. Un gusano de nueva creación, aun teniendo extensión EXE, pasaría el análisis del antivirus en el perímetro. Esa es la ventana de tiempo, entre la aparición de un gusano nuevo y la disponibilidad/actualización de la firma, en la que un antivirus no puede protegernos, permaneciendo vulnerables durante horas en el mejor de los casos.

Soluciones mixtas

Muchas soluciones antivirus han decidido, con acierto, complementar ambas estrategias, e incorporan la posibilidad de configurar filtros genéricos por extensiones y formatos potencialmente peligrosos, previniendo la entrada a los sistemas y redes corporativas de una buena parte de los virus y gusanos aunque sean de nueva creación, junto a detectores antivirus que analizan el resto de archivos y datos a la búsqueda de firmas reconocidas como malware.

Estas soluciones, en especial las instaladas en el perímetro, permiten establecer unas políticas corporativas de contenidos genéricas y proactivas de forma centralizada, a la vez que aprovechar la especialización de los antivirus actualizados de forma constante contra el malware.

Algunos antivirus dan un paso más y, visto el auge del spam, incorporan funcionalidades como filtros bayesianos, listas negras de relays, etc., que además del correo comercial no solicitado, también permiten desechar de entrada algunos gusanos y malware atendiendo únicamente a aspectos de los mensajes.

Debilidades en el perímetro

No es la primera vez que desde Hispasec se analizan las debilidades intrínsecas de las soluciones antivirus perimetrales. El hecho de situar en un punto de tránsito el motor antivirus tiene la ventaja de poder abarcar el análisis centralizado de todo el tráfico entrante y saliente, pero también supone importantes trabas para su trabajo.

Entre los problemas con que deben enfrentarse estas soluciones destacan el poco tiempo disponible para realizar el análisis y la necesidad de minimizar al máximo los recursos consumidos. De no ser así tendrá problemas de rendimiento, saturación o desbordamiento cuando se sucedan los picos de tráfico, resultando inútiles.

Debido a estos requerimientos, los motores antivirus instalados en el perímetro simplifican al máximo el análisis, basándose principalmente en la detección clásica por firmas. Evidentemente es inviable que pueden utilizar técnicas más sofisticadas que sí pueden incorporar algunos antivirus de escritorio, como por ejemplo la emulación de código, por los recursos y tiempo que consumiría.

Otro de los grandes talones de Aquiles son los protocolos o formatos que empaquetan la información, haciendo imposible al antivirus poder analizar el contenido que viaja en su interior. Un ejemplo claro lo tenemos en el protocolo HTTPS, que crea una sesión cifrada entre el servidor web y el navegador del cliente, impidiendo que la solución instalada en el perímetro, ya sea un filtro de contenidos o antivirus, pueda detectar nada.

El uso del formato ZIP por parte de Mimail.C para distribuirse por e-mail puede representar el origen de una corriente de nuevos gusanos que intenten nuevas técnicas de ocultación durante el tránsito para burlar las protecciones perimetrales.

Dificultando el reconocimiento a los antivirus y filtros

Desde el punto de vista de un antivirus en el perímetro la detección se produce a través del análisis del código. Una vez extraído el ejecutable que se encuentra en el ZIP, se compara su código con una base de datos de firmas de virus (porciones de código de los virus
conocidos). Si existe coincidencia, hemos encontrado al gusano.

Si además de comprimir, utilizamos funciones de contraseña y cifrado, podemos obtener un archivo que contiene un ejecutable que los antivirus no pueden extraer y, por tanto, comprobar si se trata de un virus o no. Para que el virus sea efectivo debe, mediante algún tipo
de engaño, proporcionar la contraseña al usuario y convencerlo para
que lo descomprima y ejecute.

Esta técnica ya ha sido utilizada de forma masiva para evitar a los antivirus, durante este verano pudimos ver como se distribuyó un troyano mediante spam que viajaba adjunto en este mensaje:

Cuerpo:
Hi! As I've promised I'm sending you my photo
Use old password: 123

El archivo adjunto, "MyProfile.zip", incluía en su interior un troyano comprimido y protegido con contraseña. El ZIP pasaba a través de los antivirus, que no podían examinar su interior al estar protegido, y los usuarios podían descomprimirlo e infectarse gracias a que la contraseña se suministraba en el mensaje.

Afortunadamente en este caso se trató de un envío único manual, a través de spam, y el archivo "MyProfile.zip" no variaba. En caso de tratarse de un gusano, capaz de autoenviarse, los antivirus podrían haber incluido directamente en sus actualizaciones la firma del archivo "MyProfile.zip", de forma que identificarían al archivo comprimido como infectado, sin necesidad de descomprimir y examinar el archivo interior.

Pero, ¿qué ocurre si el gusano es capaz de comprimirse y cifrarse en base a una contraseña al azar antes de cada autoenvío?. En ese caso tendríamos envíos de archivos con aspectos externos diferentes, ya que la contraseña se utiliza como clave para el cifrado simétrico del archivo, dando como resultado diferentes archivos, con diferentes firmas, según la contraseña utilizada.

Llegados a este punto tendríamos un archivo protegido, de forma que los antivirus no pueden examinar su interior, y que tampoco podrían reconocerlo por su aspecto exterior ya que varía en cada envío al utilizar diferentes contraseñas.

Soluciones

Si nos basamos en el formato ZIP, que ya de por si tiene algunas debilidades por diseño en su algoritmo, existen diversas soluciones para atajar este hipotético gusano en tránsito, por ejemplo se almacena en el ZIP en texto claro algunos datos como el nombre, tamaño o CRC del archivo original, que podría permitir detectarlo de forma rápida si el gusano no utiliza funcionalidades extras para modificar algunos de sus aspectos más externos.

Sin embargo, partiendo de un esquema similar, existen otras muchas posibilidades de abordar un diseño más optimizado del gusano que pondría en serio aprieto a los antivirus en el perímetro.

Algunas de las limitaciones con las que se encuentran los antivirus en el perímetro desaparecen en la estación de trabajo. Por ejemplo, en el caso de un ZIP protegido con contraseña o un archivo cifrado, al extraerlo se realiza una copia del original en el disco, momento en el cual nuestro antivirus residente podría identificarlo sin problemas.

La moraleja es que, si bien los antivirus y filtros instalados en el perímetro son muy recomendables, dotando a la red de una capa adicional de protección que permite de forma centralizada detectar la mayoría de los virus y gusanos, la estación de trabajo continúa siendo el punto más importante en la lucha antivirus. Las soluciones perimetrales corporativas no deben ser excusa para relajar la seguridad de los PCs.