Desde los macrovirus y los virus del sector de arranque hasta los droppers y los packers, he aquí un vistazo a nueve tipos de virus comunes, lo que hacen y la función que realizan para los atacantes.
A la mente humana le encanta clasificar las cosas, y el malware no es una excepción. Aquí en CSO hemos hecho nuestra parte: nuestro explicador de malware desglosa el malware en función de cómo se propaga (gusanos autopropagados, virus que se apoyan en otro código o troyanos disimulados), así como por lo que hace a las máquinas infectadas (rootkits, adware, ransomware, cryptojacking y malvertising o publicidad maliciosa…).
Se puede encontrar mucho de este tipo de taxonomía técnica, y ciertamente tiene su utilidad. En particular, puede ser útil para diferenciar diferentes tipos de vectores de infección de malware en lugar de agrupar todo como un “virus”, a pesar del uso popular del término. Pero también podemos poner demasiado énfasis en este tipo de divisiones.
“Mucha de la terminología utilizada para describir el malware en los años 90 y principios de los 00 sigue siendo técnicamente precisa, pero quizá sea menos relevante de lo que fue en su día”, afirmó Jacob Ansari, defensor de la seguridad y analista de cibertendencias emergentes de Schellman, un asesor independiente de seguridad y cumplimiento de la privacidad a nivel mundial. “Mientras que el malware de las décadas anteriores se instalaba en el sistema objetivo y se ejecutaba por sí mismo sin intervención humana, la mayoría de las campañas de ataque modernas son operadas por grupos de personas, lo que comúnmente llamamos actores de amenazas. Los atacantes siguen intentando evadir la detección y persistir a pesar de las defensas, y hacen uso de una variedad de lenguajes de programación o scripting para producir su código hostil”.
Así que preguntamos a Ansari y a otros profesionales de la seguridad cómo desglosan las categorías de malware a las que se enfrentan. En general, descubrimos que hay dos perspectivas diferentes en la taxonomía del malware: se puede pensar en cómo los virus hacen su trabajo sucio (es decir, lo que le hacen a usted), o en dónde encajan en un ecosistema (es decir, lo que hacen para un atacante).
Nueve tipos comunes de virus informáticos
1. Macro virus
2. Virus polimórficos
3. Virus residentes
4. Virus del sector de arranque
5. Virus multipartitos
6. Droppers (cuentagotas)
7. Baliza/carga útil
8. Packers/empacadores
9. Comando y control
Tipos de virus definidos por lo que te hacen
Si quieres tener una buena perspectiva de los diferentes tipos de malware, lo mejor es que hables con alguien que se gana la vida escribiendo. Ese es el trabajo de Dahvid Schloss: es el jefe de gestión de la seguridad ofensiva en la empresa de servicios profesionales de ciberseguridad Echelon Risk + Cyber, donde trabaja en el malware destinado a emular a actores de amenazas reales para ejecutar plataformas de mando y control en los compromisos de emulación adversaria y equipo rojo de su empresa. Desglosó los diferentes tipos de virus con los que trabaja según su función.
Virus de macros. “Esta categoría es probablemente la técnica de malware más común en el mundo”, dijo Schloss. “Aproximadamente el 92% de los ataques externos comienzan con phishing, y las macros son el núcleo del problema. Una macro es una ejecución automatizada de pulsaciones de teclas o acciones del ratón que un programa puede realizar sin la interacción del usuario; normalmente, hablamos de macros de Microsoft Word/Excel, que pueden automatizar tareas repetitivas en la hoja de cálculo o el documento”.
Las macros son un tipo de malware muy común. “El método de entrega es creíble, especialmente cuando parece relacionado con el trabajo”, mencionó Schloss. “Además, el lenguaje de codificación (Visual Basic, en el caso de Microsoft) es bastante simplista. Así, los virus de macro reducen la cantidad de conocimientos tecnológicos necesarios para escribirlos”.
Lauren Pearce, jefe de respuesta a incidentes de la empresa de seguridad en la nube Redacted, está de acuerdo. “Seguimos viendo daños significativos de malware poco sofisticado”, mencionó. “La simple macro del documento de Office reina como vector de infección inicial”.
Virus polimórficos. “Mientras que el virus de macro es el más fácil de codificar, este tipo (el virus polimórfico) sería el más complejo debido a que el virus es exactamente lo que dice su nombre: polimórfico”, indicó Schloss. “Cada vez que el código se ejecuta, lo hace de forma ligeramente diferente, y normalmente cada vez que se traslada a una nueva máquina, su código será ligeramente diferente”.
Hay que tratar a todos los hijos (o a los enemigos) por igual, pero Schloss admitió que “esta categoría de virus es mi favorita, ya que es intrincada y resulta extremadamente difícil de investigar y detectar”.
Virus residentes. Esta es una categoría particularmente perniciosa: un virus incorpóreo que no existe como parte de un archivo. “El virus en sí mismo se ejecuta dentro de la memoria RAM del host”, dijo Schloss. “El código del virus no se almacena dentro del ejecutable que lo ha llamado; en su lugar, suele estar almacenado en un sitio accesible desde la web o en un contenedor de almacenamiento. El ejecutable que llama al código residente suele estar escrito como no malicioso con la intención de evitar su detección por parte de una aplicación antivirus”.
El término virus residente implica la existencia de un virus no residente, por supuesto. Schloss lo definió como “un virus que está contenido dentro del ejecutable que lo llama. Estos virus se propagan más comúnmente abusando de los servicios de la empresa”.
Virus del sector de arranque. “Esta categoría me gusta llamarla el ‘cóctel del estado nación'”, explicó Schloss. “Este tipo de virus está destinado a proporcionar al actor de la amenaza una persistencia profunda y sin restricciones. Infectan hasta el registro maestro de arranque de la computadora (MBR), lo que significa que incluso si se vuelve a hacer una copia de seguridad de la máquina, el virus persistirá y será capaz de ejecutarse en la memoria del host al arrancar. Estos tipos de virus son raros de ver fuera de los actores de la amenaza del estado-nación, y casi siempre dependen de un exploit de día cero para poder alcanzar el nivel del MBR o se propagan a través de medios físicos como USB o discos duros infectados”.
Virus multipartitos. Mientras que algunos desarrolladores de malware pueden especializarse, otros adoptan un enfoque de “todo lo anterior”, atacando en todas partes a la vez. “Este tipo de virus suele ser el más difícil de contener y tratar”, dijo Schloss. “Infectan varias partes del sistema, como la memoria, los archivos, los ejecutables e incluso el sector de arranque. Vemos cada vez más virus de esta variedad, y estos tipos de virus se propagarán de cualquier manera que puedan, normalmente implementando múltiples técnicas para maximizar la propagación”.
Tipos de malware definidos por lo que hacen para el atacante
Otra forma de pensar en los diferentes tipos de malware que se pueden encontrar es cómo encajan en el panorama general de un ataque. Recuerde lo que dijo Ansari de Schellman más arriba: el malware moderno se despliega por equipos, y los propios virus también pueden considerarse un equipo. “Muchas campañas de malware constan de una serie de componentes, a veces desarrollados por separado o incluso procedentes de otros actores de la amenaza”, afirmó Ansari. Desglosó algunos de los diferentes actores:
Droppers (cuentagotas). “Esta pieza de malware está destinada a soltar otro malware en el sistema infectado”, dijo Ansari. “Las víctimas pueden infectarse con un dropper a través de un enlace hostil, un archivo adjunto, una descarga o algo similar, y normalmente no persiste después de soltar la siguiente etapa de malware“.
“El macro-malware entra en la categoría de dropper“, añadió Pearce, de Redacted. “Es un malware hecho con el único propósito de descargar y ejecutar malware adicional”.
Baliza/carga útil. Estos tipos de malware son la siguiente etapa del ataque. “A menudo instalado por un dropper, una baliza o carga útil es el malware que señala al actor de la amenaza su medio de acceso recién instalado”, dijo Ansari. “A partir de aquí, un atacante puede acceder a los sistemas de la víctima a través de los medios establecidos por la baliza y acceder al sistema, a los datos que contiene o a otros sistemas de la red”.
Empacadores. Estos componentes empaquetan otros componentes, utilizando técnicas criptográficas como medio para evadir la detección. “Algunas campañas de malware sofisticadas utilizan una serie de empaquetadores, anidados como un muñeco apilado”, dijo Ansari. “Cada uno contiene otro elemento empaquetado, hasta que la carga útil final es capaz de ejecutarse”.
Comando y control. Todo equipo necesita un líder, y ese es el papel que desempeñan el mando y el control para estos componentes de malware colaborativo. “Estos sistemas, a veces llamados C&C, CNC o C2, operan fuera del entorno de la víctima y permiten al actor de la amenaza comunicarse con los demás componentes de la campaña de malware instalados en el sistema objetivo”, mencionó Ansari. “Cuando las fuerzas del orden atacan a un actor de la amenaza, a menudo se incautan de los sistemas de mando y control como parte de sus esfuerzos para detener la amenaza”.
Clasificación de los virus informáticos
Al final, cualquiera que sea la taxonomía que utilicemos no debe ser demasiado rígida, sino que debe facilitar la comunicación de información importante sobre las ciberamenazas. Y eso significa adaptar tu lenguaje a tu audiencia, dijo Ori Arbel, CTO de CYREBRO, un proveedor de servicios de seguridad.
“Si estoy escribiendo para los CISO, ellos pensarían en ello desde una perspectiva de riesgo”, mencionó, “mientras que el público en general entendería mejor los nombres más usados en las noticias”. Estas categorizaciones de virus se presentan desde el punto de vista de lo que será más fácil de entender, pero hacerlo así no comunica necesariamente las mejores acciones que deben tomar los profesionales de la seguridad. Si estoy escribiendo para un grupo de profesionales de la inteligencia de amenazas, utilizaría términos relacionados con la geolocalización y la motivación del atacante en lugar de lo que el virus hace realmente”.
Terminaremos con una última forma de categorizar los virus, una que realmente sólo tiene sentido desde la perspectiva de los propios cazadores de virus: los virus que son adversarios dignos, y los que no lo son. “Como ingeniero inverso, me complace el rompecabezas de la inversión”, dijo Pearce de Redacted. “Las macros representan una amenaza importante para una red, pero no son especialmente divertidas de revertir. Me gusta revertir muestras que utilizan técnicas antianálisis para luchar activamente contra su reversión. El malware puede utilizar técnicas antidepuración que detectan y responden a un depurador mediante métodos como la suma de comprobaciones o los ataques de temporización. El uso de técnicas antianálisis indica que el autor del malware es hábil y sirve para aumentar el tiempo que transcurre entre la detección de una muestra y la extracción de indicadores útiles para contrarrestarla.”
Que tus adversarios sean delincuentes no significa que no puedas respetarlos por poner orgullo en su trabajo.
-IDG.es