En el presente artículo se explora y analiza de forma multidimensional (en todas las direcciones) y multipolar (en todos los puntos, sectores, frentes, entornos posibles) el malware ofensivo desde todos los ángulos, direcciones, enfoques, perspectivas, etc. posibles, visualizando sus capacidades perversas y acciones distópicas.

Los ciber-ataques ofensivos en general proceden de crackers, hackers maliciosos, ciber-armas malware autónomas ofensivas, ciber-activistas, ciber-delincuentes, etc. y se apoyan en algún tipo de malware perverso.

ENFOQUES UTILIZADOS POR EL MALWARE OFENSIVO PARA OCULTAR SU VISIBILIDAD.

El malware ofensivo puede clasificarse bajo muy diferentes ópticas, criterios, estrategias, planteamientos, etc. por ejemplo: en función del tipo de enfoque utilizado para ocultar su visibilidad: 

(1) Malware ciber-pandémico. Se caracteriza por escanear de forma activa toda la red/subred cientos de veces por segundo. Posee el mínimo grado de sigilo. Es el caso de Nimda, Conflicker, Slammer, Code Red, etc. Utiliza una carga útil simple de cientos de bytes y emplea tecnología monomórfica. Inicia de forma automática conexiones TCP con dispositivos infectados y conecta con potenciales víctimas nuevas y transfieren la carga útil perversa. Cada dispositivo infectado escanea toda la subred cientos de veces por segundo.

(2) Malware ciber-endémico. Se caracteriza por escanear de forma activa, utilizando una lista parte de la red/subred. Posee un grado de sigilo algo mayor que el malware ciber-pandémico. Es el caso de Duqu, Flame, Regin, etc. Se caracteriza por tener un tamaño de carga útil elevada, por ejemplo, miles de bytes. Utiliza una tecnología de cambio de forma polimórfica en la carga útil. Cada dispositivo infectado escanea parte de la subred de forma aleatoria de acuerdo a una lista optimizada por la información extraída de los dispositivos infectados. 

(3) Malware basado en escaneo pasivo. Posee un grado de sigilo máximo al infectar. Es el caso de Equation, AdWind, Gauss, etc. El escaneo pasivo no deja apenas anomalías de escaneo trazable. Utiliza una carga útil compleja de miles de bytes y emplea tecnología de cambio de forma metamórfica. En función del tipo de mecanismo

El malware ofensivo puede tipificarse según sus capacidades de ofuscación y grado de transformación al infectar y dependiendo de los métodos utilizados para transformarse podemos identificar:

(1) Malware con capacidades de ofuscación. Con ofuscación de código de bajo nivel (insertando datos en medio del código, violando los convenios ABI(call/return, uso de la pila/stack, salto al medio del código, generación dinámica o modificación del código, etc.), cifrando y transformando el código, ofuscando los datos) ofuscación de comportamiento (evasión (utiliza generadores de comportamiento de código que no disparen sospechas), combina comportamientos benignos y maliciosos que complican la detección-análisis), uso de técnicas anti-análisis (detecta la ejecución dentro de una VM, emulador o sandboxing/campo de pruebas y después altera su comportamiento).

(2) Malware monomórfico. No cambia de forma. 

(3) Malware polimórfico. Cifra el código del malware de modo que cambia de una instancia a otra la “firma” o secuencia de bytes del código que es única para cada malware. Cambia la clave de cifrado de una generación a la siguiente causando cambios masivos en las secuencias de bytes. Los detectores de malware polimórfico, se enfocan en partes invariantes utilizadas para pack/unpack. Captura el comportamiento unpack/launch (detección runtime). Se trata de escanear el malware después del unpack para localizarlo).

(4) Malware metamórfico. Reescribe todo el código de una generación a la siguiente. No necesita tener código para el cifrado/descifrado, de modo que las técnicas de detección de malware basadas en comportamiento pueden ser inútiles. Utiliza secuencias de instrucciones alternativas para realizar el mismo efecto.

(5) Malware oligomórfico. Utiliza un conjunto de diferentes descifradores/cargadores (comparado con el malware polimórfico que genera infinitos descifradores el malware oligomórfico genera menos, que son elegidos al azar por cada nueva víctima. El primer malware oligomórfico fue Whale). 

El malware ofensivo según su origen o procedencia puede ser de dos categorías:

(1) Malware ciber-endógeno. Se caracteriza porque se origina o nace en el interior de otro.

(2) Malware ciber-exógeno. Se caracteriza porque se forma o nace en el exterior de otro, vía ciber-semillas, ciber-esporas o fragmentos de resurrección.

TIPIFICACIÓN DEL MALWARE OFENSIVO EN FUNCIÓN DE SUS FUNCIONALIDADES Y MODOS DE PROPAGARSE Y UBICARSE.

Según el modo de propagarse-infectar y ubicarse los malware ofensivos utilizados en los ciberataques suelen presentar las siguientes funcionalidades/tipologías: 

(1) Worm/gusano. Se trata de un código o programa malware autónomo/independiente (igual que los rootkits) que se auto-replica sin necesitar de ficheros para propagar su infección. Los gusanos no suelen requerir la intervención de las personas para propagarse ya que su auto-replicación se difunde a través de la red. Un gusano infectará otros dispositivos, pero no se propagará infectando otros ficheros. Se propagará aprovechándose de todo tipo de vulnerabilidades (0-day y ya conocidas como Log4j). La estructura operativa de un gusano es: (A) Se genera una dirección IP de forma aleatoria. (B) Se sondea esa dirección. ¿Ese dispositivo existe? En caso negativo se vuelve al punto (A). (C) En caso afirmativo se monitoriza si existe algún servicio vulnerable. En caso negativo se vuelve al punto (A). (D) En caso afirmativo se infecta el dispositivo y se va a buscar más volviendo al punto (A). Tres de las muchas formas de extenderse y propagarse un worm son: “fingerd” (explota un buffer-overflow en la función “fgets”. Aparentemente es el que más éxito produce para el ciberataque), “sendmail” (explota la opción “debug” en el sendmail para permitir “Shell Access”), “rsh” (explota dispositivos confiables. Craquea contraseñas). Los gusanos de correo Nimda y Aliz explotan las vulnerabilidades de Outlook de Microsoft; cuando la víctima abre un mensaje infectado o coloca su cursor sobre el mensaje en la ventana “preview” se lanza el fichero con gusano. Un gusano puede auto-replicarse sobre la red y de este modo consume ancho de banda de la red, puede borrar ficheros de un sistema, puede enviar documentos por correo electrónico, puede transportar otros ejecutables como carga útil (instala un backdoor en un dispositivo/sistema infectado (denominado dispositivo/sistema zombi), posee una tasa de infección muy elevada). Algunos ejemplos de gusanos son: MyDoom (causó grandes daños financieros), Slammer (aparece en 2003), CodeRed, Sasser, Lovesan/Blaster que explotan vulnerabilidades del sistema operativo Windows; Ramen y Slapper que explota vulnerabilidades del sistema operativo y aplicaciones Linux. Dos exploits utilizados por el worm: “Win32/Nimda.A@mm” son: “Web Server Folder Traversal exploit” que infecta servidores Web ISS y “MIME header exploit” que puede ejecutarse “leyendo” o “previewing” un correo electrónico infectado.

(2) Virus. Necesita de un programa huésped igual que las “bombas lógicas” y “troyanos software”. Es un fragmento de código que se adjunta a otros ficheros para infectarlos. Se auto-replica al ejecutar programas infectados. Un virus está diseñado para autocopiarse y propagarse de un fichero infectado de computador a otro, normalmente adjuntándose a los ficheros de programas. Algunos tipos de virus son: virus de macros, infectadores del boot-record(registro de arranque; es difícil que infecte si el sistema operativo tiene protección de memoria), infectadores de ficheros, ficheros adjuntos de correo electrónico infectados, virus que se adjuntan a programas, scripts, librerías, etc. Los virus se auto-replican y se adhieren a otro código no malicioso. Un ejemplo de virus es SoBig-2003 que realiza el “shutdown” de los sistemas que gestionaban las señales del tren en Florida (EEUU). 

(3) Spyware. Es un tipo de programa malware que sigilosa y encubiertamente se instala e infecta su objetivo recogiendo información del sistema sin el consentimiento y conocimiento de su propietario. Tipos de spyware son: keyloggers (capturas ilegalmente las teclas pulsadas y ratón), creepware (captura ilegalmente imágenes, video de la Webcam y audio del micrófono en smartphones, PCs, smartTVs, vehículos conectados, objetos IoCT/IoMT, etc.), etc. Es un malware que recoge información de una persona o una organización sin el consentimiento y sin que se de cuenta la entidad víctima. Dos ejemplos de spyware/herramienta de ciber-espionaje es Pegasus y Sourgum de Candiru diseñados para el espionaje/monitorización de personas, poblaciones, naciones, planeta, etc. es multidispositivo y multiplataforma de sistema operativo opera desde smartphones, tablets, PCs, etc. bajo plataforma de sistema operativo iOS, Android, Symbiam, Windows, Huawey, Linux, etc. El Pegasus utiliza múltiples vectores de ciberataque (SMSs, iMessage, vulnerabilidades, correos electrónicos, mensajería instantánea como Whatsapp, Telegram, etc.) y puede capturar datos muy diversos (de la cámara, del micrófono, de la agenda, del calendario, del GPS, del correo electrónico, de la mensajería instantánea, de SMSs, fotos y videos, aplicaciones móviles, kioscos, etc.). El Pegasus puede dejar “huellas digitales falsas” de que estuvo en un móvil. Si se le intenta ciber-auditar se auto-borra. La atribución de quién le espía es prácticamente imposible debido al uso de redes de proxies. Los spyware suelen contener internamente diversas funcionalidades como “infostealer”, “troyano”, etc. Dos ejemplos de spyware son “Agent Tesla” y “Formbook”.

(4) Troyano software. El usuario-víctima se cree que es un programa legal. Necesita de un programa huésped. Posibilita el acceso backdoor no autorizado a un sistema comprometido. Permite introducir a la víctima en múltiples ciber-ataques malware. Por ejemplo, Peacomm, Trojan.Downloader.Js.Agent.F (es un fichero JavaScript que inserta links a JavaScript e iFrames maliciosos en código en claro, diseñado para robar información de usuario), Trojan.Downloader.JLPK (malware que descifra funciones y descarga más ficheros malware),  Trojan.Exploit.ANPi (Script Visual Basic que explota una vulnerabilidad en un navegador Web para descargar, guardar y ejecutar ficheros infectados, diseñado para robar información de usuario), etc.

(5) Ejecutor de código arbitrario. Malware que obtiene el control utilizando diversas vulnerabilidades e inyecta su propio código para realizar cualquier operación a la aplicación a la que tiene permiso. 

(6) Malware fileless basado en LotL (Living off the Land). Utiliza componentes que ya existen en el sistema operativo, software legítimo instalado y funciones disponibles en el sistema para realizar las acciones maliciosas, no necesita cargar nada nuevo. La mayoría de los ciberataques malware LotLutilizan las siguientes herramientas: (i) PowerShell es un framework que lanza script que ofrece amplia funcionalidad para la administración de dispositivos Windows. El malware ofensivo puede utilizar PowerShell para lanzar scripts maliciosos, escalar privilegios, instalar backdoors, etc. (ii) WMI (Windows Management Instrumentation) es un interfaz para acceder a diversos componentes Windows. Para el malware ofensivo WMI es una herramienta adecuada para acceder a credenciales, saltarse instrumentos de seguridad (como herramientas anti-virus y UAC (User Account Control)), robar ficheros, posibilitar el movimiento lateral a través de la red, etc. (iii) PsExec es una herramienta de ejecución remota de comandos que el malware ofensivo utiliza para implantar código malicioso. (iv) Mimikatz es una herramienta de escaneo de seguridad para Windows que registra las credenciales de usuario. Con LotL el malware ofensivo no deja trazas de ficheros maliciosos, por tanto, no pueden detectarse. El malware Stuxnet no utiliza listas optimizadas de infección.

CLASES DE MALWARE OFENSIVO POR SUS EFECTOS.

El malware ofensivo utilizado en los ciberataques puede clasificarse en función del tipo de tarea maliciosa/perversa que realiza en: 

(1) Malware ransomware. Esta funcionalidad de malware ofensivo posibilita una ciber-extorsión en la que los usuarios víctimas no pueden acceder a sus datos (es un ciber-ataque a la disponibilidad y quizás a la confidencialidad, como contramedida realizar backup redundante-distribuido lejos de los dispositivos a infectar, cifrando los datos (fichero, carpeta, disco duro, etc.) de una forma muy robusta, por ejemplo, con múltiples algoritmos anidados) debido a que el ciber-atacante los cifra o borra a bajo nivel tipo “wipe”, hasta que se page un rescate por el secuestro (normalmente en criptomonedas como bitcoins). Como recomendación tener todos los dispositivos y sistemas operativos actualizados y con los parches para asegurar las menores vulnerabilidades para ser explotadas; no instalar software o dar privilegios de administrador/root a menos que se sepa que es y que hace (lo cual es una quimera). Algunos ejemplos de malware ransomware son: WannaCry, Conti, NotPetya, Cryptolocker-2013, Locky, CryptXXX, REvil/Sodinokibi, TorrentLocker, Jigsaw, Ceber, etc.

(2) Malware doxware. Este malware ofensivo posibilita una ciber-extorsión tipo extracción de datos para amenazar a las víctimas con su publicación si no pagan un rescate en dinero (en criptomonedas como bitcoins, Ethereum, etc.). Es un ciber-ataque a la confidencialidad y quizás a la disponibilidad, como contramedida aplicar cifrado multi-capa y backup redundante-distribuido en lugares seguros. 

(3) Malware DDoS/DoS (Distributed Denial of Service/Denial of Service). Crea un ciber-ataque a la disponibilidad, posibilita un ciber-ataque contra un recurso de red (servidor, sitio Web, aplicación, servicio, dispositivo, objeto IoT, red, etc.) utilizando un colectivo de sistemas de computación comprometidos/infectados denominados bots. El recurso de red víctima se inunda con un número enorme de mensajes lo que causa que el objetivo/víctima se ralentice y/o casque haciéndolo inaccesible a usuarios y sistemas autorizados. Un ciber-ataque malware DDoS normalmente ocurre debido a la colaboración de un colectivo de múltiples sistemas (a veces denominado botnet) infectados/comprometidos. Algunos métodos de mitigación para este tipo de ciber-ataques es: (i) Utilizar CDNS (Content Delivery Network) o CDN (Content Distribution Network), se trata de un grupo de servidores distribuidos a lo largo del planeta. Replican los datos para un sitio Web protegido. El CDN enruta el tráfico para seguir trabajando con otros servidores cuando alguno se ve inundado o indisponible. (ii)Emplear proxies inversos es un tipo de servidor proxy que recupera recursos en nombre del cliente desde uno o más servidores. (iii) Usar HA-proxies (High Availability-proxies) que difunde las peticiones a través de múltiples servidores. Balancea la carga de posibles ciber-ataques malware DDoS no alcanzando al usuario víctima. etc. Se trata de poner capas de defensa entre los sistemas/recursos que sirven contenido y los clientes legales que piden dichos contenidos. Ejemplos de malware que ciber-atacan de forma DDoS a servidores de aplicación y software de red son la familia Mirai y todas sus variantes: Miori, Okane, Echobot, Bashlite, Satori, Omni, Asher, etc. Algunos ejemplos de familias malware que se dirigen a ciber-atacar tipo DDoS a dispositivos IoT son: Persirai botnet (contra cámaras IP y DVRs), Hajime (contra dispositivos embebidos), PsyBot (contra routers y módems), Linux.Wifatch (contra dispositivos embebidos), Http81 (contra cámaras IP), SohoPharming (contra routers), VPNFilter (contra routers), Trinity Miner (contra dispositivos con SO Android), BrickerBot (contra dispositivos embebidos), TheMoon (contra routers), Silex (contra dispositivos embebidos), Linux.NyaDrop.b (contta dispositivos IoT basados en MIPS).

(4) Malware tipo Backdoor. Este malware ofensivo se instala a sí mismo y genera una puerta trasera para que el dispositivo/computador infectado pueda ser accedido por otros malware todas las veces que se necesite y se pueda controlar de forma remota dejando abierta una puerta para que se pueda volver a ciber-atacar en la víctima muchas veces. Por ejemplo, rustock.b y tivserv. Una herramienta para implantar “backdoor” del NSA es “double-pulsar”.

(5) Malware tipo Infostealer. Este malware ofensivo se encarga de robar información. Por ejemplo, snifula.b.

(6) Malware tipo Adware. Este malware ofensivo permite infectar en base a anuncios/publicidad comprometida. Por ejemplo, adware Borland y adware Aurora. 

(7) Malware auto-ejecutable. Este tipo de malware tiene la capacidad de autoejecutarse sin ayuda de la víctima. Por ejemplo, VBS-Runauto.

(8) RAT (Remote Access Trojan). Este malware ofensivo accede de forma remota al dispositivo víctima. 

(9) Trojan.Exploit.SSX. Este malware ofensivo aparece en sitios a través de ciber-ataques SQL-Injectiion que inserta un invisible iFrame dentro del código en claro. Puede robar información de usuario. 

(10) Malware en ICS-OT/BDs-IT. Estos malware ofensivos operan en OT/IT, por ejemplo: Duqu (contra sistemas SCADA), Bad Rabbit (contra transportes de Ucrania), Locker Goga (contra compañía de aluminio de Noruega), Triton (contra planta petroquímica de Araba Saudí), Flame o Flamer o SkyWiper (para espiar, ciber-ataques dirigidos), BlackEnergy3/Industroyer (contra la red de energía de Ucrania, ICS), Snifula.B (realiza infostealer), Stuxnet (contra instalaciones de refinamiento de uranio de Iran), NotPetya (contra organizaciones de Ucrania), Triton/Trisis (atacó a los sistemas cibernéticos de petróleo, gas y electricidad en medio este, europa y norte américa), PLC-Blaster (gusano contra PLCs S7 de Siemens), ACAD/Medre.A (espionaje industrial contra diseños de AutoCAD), Babar, VPNFilter, Conficker (gusano), BlackEnergy (contra sistemas ciber-físicos, en 2015 ciber-ataca el suministro energético de Ucrania), Backdoor.Oldrea (contra ICS), DanaBot y QakBot (realizan botnets), Nymaim, EquationGroup, CryptoWire, Jaff, RapidRansom, Sage y Ryuk (ransomware), Pupy, SoftPLC (conta PLC), WannaCry (en redes industriales y redes IT), Shamoon (tumbó en 2012 los sistemas informáticos de la petrolera Aramco de Arabia Saudí). El malware BlackEnergy ejecuta un plug-in en la víctima para propagarse a través de la red local utilizando “PsEexc” y accediendo a “admin shares”. El malware Cobalt Strike puede utilizar “Windows admin shares” (C$ y ADMIN$) para realizar movimientos laterales. Algunos ciber-ataques significativos son: Cloud Hopper, Bundestag Hack y el realizado contra la OPCW.

(11) Malware específicos para entornos OT/ICS/CPS. Algunas familias de malware ofensivos (que ciber-atacan SCADAs, PLCs, CPS, tecnología Modbus, TCP, CODESYS, OPC UA, controladores de acceso, protocolos Wiegand, Clock-and-Data, Mifare, Desfire, etc.) son: Pipedream/Incontroller (en abril 2022 se recibe de CISA-EEUU la alerta AA22-103ª un nuevo malware modular capaz de ciber-atacar diversos objetivos basado en 36 técnicas diferentes de ciber-ataque), Stuxnet (diseñado para una operación concreta), Havex, Industroyer2, Triton/Trisis (diseñado para una operación concreta), Blackenergy2, Crashoverride/Industroyer, etc.

(12) Malware cambiador de DNS. Cambia las correspondencias entre dirección IP/L3 a dirección URL/L5 y viceversa, es decir, cambia la configuración del servidor DNS del usuario para que sustituya los servidores DNS buenos del ISP por servidores DNS perversos controlados por ciber-atacantes.               Actualmente el malware más avanzado se construye combinando simultáneamente muy diversas capacidades, como: worm, virus, metamórfico, spyware, DoS, etc., además puede actualizarse para obtener “ganancia de funciones” y así integrar nuevas formas de actuar y comportarse incluso más ocultas y perversas (usando ciber-semillas y ciber-esporas muy difíciles de detectar).

CONSIDERACIONES FINALES. 

Hoy en día, la evolución digital de las organizaciones/industrias y la transformación digital se ve cada día más afectada por la creciente existencia de ciber-ataques que deben neutralizarse. Actualmente en ciberseguridad la “concienciación” debe transformarse en formación con certificación por parte de entidades homologadas reconocidas donde las personas (desde el máximo responsable hasta el de menor jerarquía) deben aprender y superar exámenes/evaluaciones rigurosas para certificarse. Hoy en día no nos podemos permitir el lujo de aplicar la concienciarse sin más, sino que debe estar transformada en formación-certificada, de modo que todas las personas puedan capacitarse para actuar correctamente en todo tipo de experiencias y tomar las decisiones más adecuadas en todo tipo de situaciones incluso críticas y bajo presión. Según un estudio de WatchGuard Threat Lab durante los últimos meses del 2021 el 91,5% del malware llegó a través de conexiones cifradas HTTPS, así mismo el malware utiliza motores de scripting como PowerShell para eludir las protecciones. Según Kaspersky en la primera mitad del 2021 uno de cada tres sistemas ICS (Industrial Control Systems) que incluyen servidores SCADA, servidores de almacenamiento de datos, pasarelas de datos, interfaces hombre máquina (HMI), estaciones de trabajo móviles y estacionarias y dispositivos para gestión de redes industriales fue ciber-atacado a través de internet, utilizando medios extraíbles y ficheros adjuntos infectados en correos electrónicos. La Oficina Federal de Seguridad de la Información (BSI) de Alemania detectó 144 millones de nuevas variantes de malware sólo entre junio de 2020 y finales de mayo de 2021 un 22% más que el año anterior, además en febrero del 2021 identificó 553.000 variantes de malware en un sólo día. 

REFERENCIAS. 

- Areitio, J. “Seguridad de la Información: Redes, Informática y Sistemas de Información”. Cengage Learning-Paraninfo. 2021.

- Areitio, J. “Nuevos horizontes de protección y defensa proactiva del DAIM/MIAD contra todo tipo de ciber-ataques insidiosos”. Revista Conectrónica. Nº 252. Octubre 2022.

- Rawal, B.S., Manogaran, G. and Peter, A. “Cybersecurity and Identity Access Management”. Springer. 2022.  

- Hubbard, D.W. and Seiersen, R.  “How to Measure Anything in Cybersecurity Risk”. John Wiley & Sons Inc. 2022.   

- Smidts, C., Ray, I., Zhu, Q., Vaddi, P.K., Zhao, Y., Huang, L., Diao, X., Takibul, R. and Pietrykowski, M.C. “Cybersecurity Threats and Response Models in Nuclear Power Plants”. Springer. 2022.   

- Sipola, T., Kokkonen, T. and Karjalainen, M. “Artificial Intelligence and Cybersecurity: Theory and Applications”. Springer. 2022

Autor: Prof. Dr. Javier Areitio Bertolín     -      Director del Grupo de Investigación Redes y Sistemas