Estos “supersoftware” maliciosos no son nuevos. Cuando he leído más sobre ellos, he encontrado documentos escritos hace unos pocos años que los describen y analizan.
Para explicar en qué consisten vamos a partir de la siguiente pregunta.¿Cómo puedo eludir el análisis y la acción de los programas antivirus?. La respuesta se antoja inmediata. Sabiendo que los programas antivirus analizan sobre los soporte de datos como los discos duros, podría esquivar el antivirus si fuese capaz de colocar el malware en un lugar donde éste no busque ni analice. Para demostrar la certeza de tal afirmación tenemos los nuevos tipos virus informáticos capaces de hacerlo.
Fileless Malware. Este es un tipo de programa malicioso que se instala en la memoria RAM de los ordenadores. Su eliminación es sencilla, se apaga el equipo y los datos de la memoria se borran, entre ellos, este programa. El problema surge cuando los ordenadores y servidores infectados no se pueden apagar de una forma tan simple ni tampoco en cualquier momento. Esto ocurre con los centros de datos o servidores que funcionan 24x7 todos los días del año. Apagar los sistemas requiere una preparación más allá de apretar un botón o teclear “shutdown”. El procedimiento debe ser tal que minimice el impacto en los servicios. Si queremos que éste se mantenga el proceso de apagar servidores debe contar con la presencia de otros servidores redundantes adicionales que entren en funcionamiento en lugar de los principales. Además, tiene que continuar con los procesos de arranque y restablecimiento hasta alcanzar la actividad normal.
En estas situaciones de emergencia, el foco se pone en la eliminación del malware descuidándose otras tareas y acciones importantes. Cada una tiene sus propios riesgos que hay que tener encuenta para ser gestionados adecuadamente. Si los ciberdelincuentes han sido hábiles en la creación, el malware se podrá propagar de unos servidores a otros, con lo cual el problema crece exponencialmente en complejidad
Bootkit. Este malware se instala entre el firmware almacenado en los circuitos integrados de arranque de los ordenadores y servidores. Los antivirus no analizan este tipo de programas. Pero la infección tampoco es sencilla. El acceso a estos circuitos y la instalación del firmware requiere ciertos conocimientos técnicos.
Es una buena herramienta para el espionaje industrial. Empresas dedicadas al mantenimiento de los sistemas microinformáticos de otras compañías pueden manipular este tipo de circuitos para obtener información relevante.
No es la primera vez que se manipula firmware de dispositivos. Sólo hay que hacer una sencilla búsqueda en internet sobre el caso de manipulación de routers Cisco por la NSA; o los productos importados de China con su carga maliciosa oculta.
Para conocer mejor estos “supervirus” dejo las siguientes referencias.
“El Fileless malware se erige como la mayor amenaza para tu ordenador en 2019” David Hernández, 9 -12-2018. Computer Hoy en Facebook
“VENI, VIDI, VICI: Malware sin fichero” Publicado el 02-02-2017, por Asier Martínez (INCIBE)
“Bootkits: Atacando el arranque” Publicado el 07-07-2015, por Antonio López (INCIBE)
“¿Rootkit o Bootkit? Aclarando la duda de forma definitiva” Ilya Lopes 19 Aug 2014, (Welivesecurity)
“LoJax: primer rootkit de UEFI en uso que se descubre, cortesía del grupo Sednit” ESET Research 27 Sep 2018
Whitepaper:
“LOJAX: First UEFI rootkit found in the wild, courtesy of the Sednit group”
L. F. Real
No hay comentarios:
Publicar un comentario