1/5/2012

8 razones por la cual el malware Conficker no morirá

Obstinado. Así es como Microsoft ha etiquetado a Conficker, el cual, a pesar de tener tres años de antigüedad y ser un blanco a ser erradicado, continua sobreviviendo -e incluso prosperando- en redes corporativas.
Tan recientemente como en el último cuatrimestre de 2011, variantes del Conficker lanzaron 59 millones de ataques contra 1,7 millones de PCs diferentes, según se informa en la última edición del Microsoft Security Intelligence Report, el cual revisó las tendencias de ataques para la segunda mitad del 2011. En tanto la mayoría del malware afecta a los consumidores, el informe encuentra que Conficker es "más frecuente en computadoras miembros de un dominio," es decir en equipos de empresas.

Aquí hay ocho razones por las cuales sigue siendo tan difícil acabar con Conficker:

1. Conficker fue hecho para derribar redes empresariales. Conficker está diseñado para persistir. Todo el tráfico de la carga de Conficker está cifrado, dificultando la identificación de las infecciones. El gusano también puede deshabilitar muchos tipos de programas antivirus gratuitos así como también al Microsoft Windows Update, y por lo tanto desactivar las actualizaciones automáticas de seguridad. Eso no solo le permite ganar tiempo al gusano para propagarse, sino que puede proveer un punto de apoyo para otros programas maliciosos, y de este modo agravar los problemas de seguridad.

2. El gusano se propaga mediante Autorun. Variantes más recientes de Conficker intentan auto-ejecutarse mediante Autorun, lo cual ayuda a propagarse no solo por los recursos administrativos compartidos, sino también mediante llaveros USB y otro tipo de medios de almacenamiento removibles. Consecuentemente, Microsoft ha recomendado desactivar Autorun.

3. Las contraseñas débiles ayudan a Conficker. Cuando Conficker infecta una PC, intenta usar las credenciales del usuario actual para copiarse a si mismo a los recursos administrativos compartidos, y con ello propagar la infección. Si eso falla, el gusano cambia a un modo más agresivo. "Conficker tiene un pequeño diccionario de contraseñas que es usado en un ataque de fuerza bruta contra las máquinas de la red, y sigue siendo sorprendentemente efectivo," dice Wolfgang Kandek, CTO de Qualys, en un nota del blog. ¿Cuán débiles o comunes son estas contraseñas? Intenta palabras o números tales como 0000, 1111, Admin, y coffee. "El diccionario de ataque [de Conficker] es muy básico y se previene incluso forzando una política de composición de contraseñas, por ejemplo agregando [números] y caracteres especiales a las contraseñas que solo tienen letras," dijo.

4. Conficker puede permanecer latente. Si, después de intentar todo lo mencionado arriba, Conficker sigue fallando en propagarse a recursos compartidos administrativos, sencillamente se queda en hibernación.  ¿Qué lo devuelve a la vida? Será un administrador, usando las credenciales de administrador para ingresar en una máquina, quizás mientras investiga el informe del usuario sobre un comportamiento sospechoso.  Una vez que la PC fue accedida utilizando credenciales administrativas, el gusano intentará nuevamente usar esos permisos para copiarse por la red.

5. Conficker se propaga sin fallas. La mayoría del malware apunta a vulnerabilidades conocidas. Pero según Microsoft, el vector de ataque de contraseñas anterior cuenta por "el 100% de todas los intentos de infección recientes de Conficker atacando ... usuarios de plataformas Windows 7 y Windows Vista." Asimismo 91% de los ataques de Conficker contra máquinas Windows 2003 apuntaron a las contraseñas, mientras que solo el 9% de los ataques fueron contra una vulnerabilidad solucionada por Microsoft en Octubre de 2008.

6. La repetición de brotes es común. La continuada propagación de Conficker pone de relieve el continuo uso de contraseñas débiles. "Durante el primer trimestre de 2011, el promedio de veces que Conficker atacó a una sola computadora fue 15, pero el cuarto trimestre ese número más que se duplicó siendo 35," informó Microsoft. El creciente volumen de ataques repetidos sugiere que las empresas están fallando en erradicar el Conficker de toda PC dentro de la empresa después que detectan una infección. Como resultado, persisten las copias del gusano, disparando subsecuentes brotes.

7. La virtualización puede agudizar la propagación del gusano. Algunos observadores de la seguridad ven a la virtualización como otro culpable tras la existencia continuada de Conficker. "La expansión de VMs" --o la idea que una máquina virtual pueda ser fácilmente creada y luego archivada-- significa que hay muchas máquinas virtuales apagadas sin actualizaciones de seguridad. Por lo tanto, cuando esas máquinas vuelvan a estar en linea, podrán ser reinfectadas muy fácilmente," dice Kapil Raina, un director de Zscaler, en un correo electrónico. "Con el movimiento de hoy en día hacia la nube y servicios que lo apoyan tales como AWS EC2, hay muchas, muchas máquinas virtuales sin la adecuada actualización de parches. Es como una bomba de tiempo esperando a que suceda cuando vuelvan a estar en linea."

8. Las empresas ignoran aspectos básicos de la seguridad. ¿Quiere mantener Conficker fuera de su empresa? Tenga actualizadas las definiciones de su antivirus, deshabilite Autorun, y evalúe cualquier riesgo potencial al que podría enfrentarse si su compañía usa sistemas operativos virtualizados.

Finalmente, sea estricto con las contraseñas. "Una sola computadora con contraseña débil puede sencillamente ser suficiente para provocar una interrupción importante dentro de una red corporativa, especialmente considerando la tendencia creciente en el número de ataques de Conficker por computadora," dijo Joe Blackbird del Centro de Protección de Malware de Microsoft Malware Protection Center (MMPC), en una nota en el blog.

Traducción: Raúl Batista - Segu-Info
Autor: Mathew J. Schwartz
Fuente: Information Week Security

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!