DOCUMENTO BLANCO		 Troyanos - y cómo proteger su red contra ellos

Introducción

Este documento blanco describe qué son los Troyanos y por qué suponen un peligro para las redes corporativas. Tan temprano como en 2001, un artículo de eWeek informaba que decenas de miles de equipos son infectados con Troyanos; este es todavía el caso - y el uso de tecnologías más sofisticadas los hace más peligrosos: los Troyanos puede utilizarse para robar información de tarjetas de crédito, contraseñas y otra información sensible, o para lanzar un ataque electrónico contra su organización. El documento blanco aborda la necesidad de un scáner de Troyanos y ejecutables a nivel de servidor de correo, además de un escáner de virus, para combatir esta amenaza.

¿Qué es un caballo de Troya?

En el mundo de las TI, un caballo de Troya se utiliza para entrar en el equipo de la víctima sin ser detectado, concediendo al atacante acceso sin restricciones a los datos almacenados en esa computadora y causando grandes daños a la víctima. Un Troyano puede ocultarse en un programa que se ejecuta en su eqiupo sin su conocimiento, o puede estar 'envuelto' en un programa legítimo, lo que significa que podría tener funciones ocultas de las que no es consciente. (Para un vistazo de cómo trabajan los Troyanos, por favor haga clic aquí.)

Qué busca el atacante

Los Troyanos puede utilizarse para extraer información confidencial o para hacer daño. rojans can be used to siphon off confidential information or to create damage. En el contexto de la red, un Troyano suele ser más utilizado para espiar y robar información delicada (espionaje industrial). El interés del atacante podría incluir pero no estar limitado a:

  • Información de Tarjetas de crédito (utilizadas a menudo para registro de dominios o compras)
  • Cualquier dato de cuentas (contraseñas de correo, contraseñas de acceso telefónico, contraseñas de servicios Web, etc)
  • Documentos confidenciales
  • Direcciones de correo electrónico (por ejemplo, detalles de contacto de clientes)
  • Diseños o fotografías confidenciales
  • Información de calendario relativa al paradero de los usuarios
  • Utilización de su equipo para propósitos ilegales, como hacking, scan, flood o infiltrarse en otros equipos de la red o de Internet.

Diferentes tipos de Troyanos

Hay muchos tipos diferentes de Troyanos, que pueden ser agrupados en siete categorías principales. Observe, sin embargo, que suele ser dificil clasificar un Troyano en un solo grupo ya que a menudo tiene atributos que los situarían en múltiples categorias. Las categorias inferiores perfilan las principales funciones de podría tener un Troyano.

Troyanos de acceso remoto
Probablemente estos son los Troyanos más conocidos, por que proporcionan al atacante un control total del equipo de la víctima. Los ejemplos son los Troyanos Back Orifice y Netbus. La idea tras ellos es dar al atacante acceso COMPLETO al equipo de alguien, y por lo tanto acceso total a archivos, conversaciones privadas, datos de cuentas, etc.

El virus Bugbear que golpeó Internet en Septiembre de 2002, por ejemplo, instalaba un caballo de Troya en el equipo de la víctima que podía dar al atacante remoto acceso a datos sensibles.

Los Troyanos de acceso remoto actúan como un servidor y a menudo utilizan un puerto que no está disponible para atacantes de Internet. En consecuencia, en un equipo que se sitúa detrás de un cortafuegos, es improbable que un hacker remoto pueda conectar con el Troyano (asumiendo que usted ha cerrado esos puertos, por supuesto). SIN EMBARGO, un hacker interno (localizado detrás del cortafuegos) puede conectar con esta clase de Troyanos sin ningún problema.

Troyanos que envian datos (contraseñas, pulsaciones de teclado, etc.)
El propósito de estos Troyanos es enviar datos al hacker con información como contraseñas (ICQ, IRC, FTP, HTTP) o información confidencial como detalles de tarjetas de crédito, registros de conversaciones, listas de direcciones, etc. El Troyanos podría buscar información específica de lugar en particular o podría instalar un recogedor de pulsaciones de teclado y simplemente enviar todas las teclas pulsadas al hacker (el cual puede extraer las contraseñas de los datos).

Un ejemplo de esto es el virus de correo Badtrans.B (descubierto en Diciembre de 2001) que registraba las pulsaciones de teclado de los usuarios.

Los datos capturas pueden enviarse a la dirección de correo del atacante, que en la mayoría de los casos está localizada en algún servicio de correo web gratuito. En otros casos, los datos capturados pueden enviarse mediante la conexión al sitio web del hacker - probablemente utilizando un proveedor de web gratuito - y enviando los datos via formulario web. Ambos métodos no se notarían y pueden hacerse desde cualquier equipo de su red con acceso a correo e Interner.

Ambos hacker internos y externos pueden utilizar Troyanos que envían datos para obtener acceso a información confidencial sobre su empresa.

Troyanos destructivos
La unica función de estos Troyanos es destruir y eliminar archivos. Esto los hace muy sencillos de utilizar. Pueden eliminar automáticamente todos los archivos principales del sistema (por ejemplo, archivos .dll, .ini o .exe, y posiblemente otros) de su equipo. Los Troyanos pueden on your machine. The Trojan can ser activados por el atacante o pueden trabajar como una bomba lógica que se inicia a una fecha y hora específicos.

Un Troyano destructivo es un peligro para cualquier equipos de la red. En muchos aspectos es similar a un virus, pero el Troyano destructivo se ha creado con el propósito de atacarle y, en consecuencia, no puede ser detectado por su software anti-virus.

Troyanos del ataque Denegación de servicio (DoS)
Estos Troyanos dan al atacante el poder de iniciar un ataque de denegación de servicio (DoS) si hay suficientes víctimas. La idea principal es que si tiene 200 usuarios aDSL infectados y se ataca a la víctima simultaneamente desde cada uno, esto generará un TRAFICO PESADO (más de lo que el ancho de banda de la víctima puede soportar, en la mayoría de los casos), haciendo que el acceso a Internet se venga abajo.

WinTrinoo es una herramienta DDoS que recientemente se ha fecho muy popular; a través suyo un atacante que ha infectado muchos usuarios ADSL puede hacer caer importantes sitios de Internet; los más tempranos ejemplos de esto datan de Febrero de 2000, cuando un número de destacados sitios de comercio electrónico como Amazon, CNN, E*Trade, Yahoo y eBay fueron atacados.

Otra variación de los Troyanos DoS es el Troyano bomba de correro, cuya principal meta es infectar tantos equipos como sea posible y simultáneamente atacar direcciones de correo concretas con asuntos aleatorios y contenidos que no pueden ser filtrados.

De nuevo, un Troyano DoS es similar a un virus, puede crearse con el propósito de atacarle y, en consecuencia, no puede ser detectado por su software anti-virus.

Troyanos proxy
Estos Troyanos convierten el equipo de la víctima en un servidor proxy, haciendolo disponible para todo el mundo o solo para el atacante. Se utiliza para hacer Telnet, ICQ, IRC,etc. anónimo, para hacer compras con tarjetas de crédito robadas, y para otras actividades ilegales. Esto proporciona al atacante un completo anonimato y la oportunidad de hacer cualquier cosa desde SU equipo, incluyendo la posibilidad de lanzar ataques desde su red.

Si las actividades del atacante son detectadas y rastreadas, esto no los llevará al atacante sino a usted - lo que podría poner en aprietos legales a su organización. Estrictamente hablando, usted es responsable de su red y de los ataques lanzados desde ella.

Trojans FTP
Estos Troyanos abren el puerto 21 (el puerto para transferencias FTP) y permite al atacante conectar a su equipo vía FTP.

Deshabilitadores de software de seguridad
Estos son Troyanos especiales, diseñados para parar/elimiar programas como software anti-virus, cortafuegos, etc. Una vez estos programas son deshabilitados, el hacker puede atacar su equipo más fácilmente.

El virus Bugbear instaló un Troyano en los equipos de todos los usuarios infectados y fue capaz de deshabilitar los cortafuegos populares. El pernicioso gusano Goner (Diciembre de 2001) es otro virus que incluia un programa Troyano que eliminaba los archivos anti-virus.

Los deshabilitadores de software de seguridad son habitualmente diseñados para software concreto de usuario final como cortafuegos personales, y en consecuencia menos aplicables a entornos corporativos.

¿Cómo puedo ser infectado?

Para un usuario de red que está protegido por un cortafueogos y cuyas conexiones ICQ e IRC están deshabilitadas, la infección ocurrirá en la mayoría de las ocasiones a través de un adjunto de correo o descargando software de un sitio web.

Muchos usuarios argumentan no abrir nunca un adjunto o descargar software de sitios desconocidos, sin embargo, astutas técnicas de ingeniería social utilizadas por los hackers pueden engañar a la mayoría de los usuarios para ejecutar el adjunto infectado o descargar el software malicioso sin ninguna sospecha.

Un ejemplo de un Troyano que hace uso de la ingeniería social fue el Septer.troj, que fue transmitido mediante correo en Octubre de 2001. Este se camuflaba como un formulario de donación para los esfuerzos de socorro del desastre de la Cruz Roja de América y requería a los usuarios a completar un formulario, incluyendo sus detalles de tarjeta de crédito. El Troyano encriptaba estos detalles y los enviaba al sitio web del atacante.

Infección mediante adjuntos
Es asombroso cómo muchas personas son infectadas por ejecutar un adjunto enviado a su buzón. Imagine el siguiente escenario: La persona que se ha centrado en usted sabe que tiene un amigo llamado Alex y también conoce su dirección de correo. El atacante camufla un Troyano como contenido interesante, por ejemplo, un chiste basado en Flash, y le envía un correo a usted con el nombre de su amigo. Para hacer esto, el atacante utiliza algún servidor de retransmisión de correo para falsificar el FROM del correo y hacer que parezca que quien lo envía es Alex: La cuenta de correo de Alex es alex@example.com, por lo que el campo FROM del atacante se cambia por alex@example.com. Usted comprueba su correo, ve que Alex le ha enviado un correo con un adjunto que contiene un chiste, y lo ejecuta sin pensar que podría ser malicioso "porque Alex no me enviaría algo como esto, ¡el es mi amigo!"

La información es poder: solo por que el atacante sabía que tiene un amigo llamado Alex, y sabia y adivinó que le gustaría un chiste, ¡él consiguió infectar su equipo!

Son posibles varios escenarios. Lo prinicipal es que sólo toma UN usuario para infectar a su red.

Además, si no dispone de software de seguridad de correo que pueda detectar ciertos abusos, entonces los adjuntos podrían incluso ejecutarse automáticamente, lo que quiere decir que un hacker puede infectar un sistema tan sencillamente como enviandole el Troyano como un adjunto, sin intervención del usuario.

Infección por descarga de archivos desde un sitio web
Los Troyanos también pueden distribuirse a través de un sitio web. Un usuario puede recibir un correo con un enlace a un sitio interesante, por ejemplo. El usuario visita el sitio, descarga algún archivo que cree que necesita o quiere, y sin su conocimiento, se instala un Troyano listo para ser utilizado por el atacante. Un ejemplo reciente es el Troyano ZeroPopUp, que fue diseminado a través de una difusión spam e incitaba a los usuarios a descargart el Troyano, describiéndolo como un productor que bloquearía los anuncios pop-up. Una vez instalado el Troyano enviaría un correo a toda la libreta de direcciones del usuario infectado, promocionando la URL y el software ZeroPopUp. Como este correo se enviaba desde un amigo o compañero, uno es más dado a comprobar la URL y descargar el software.

Además, hay miles de archivos de "hacking/seguridad" en proveedores de espacio web gratuito como Xoom, Tripod, Geocities y muchos otros. Dichos archivos están llenos de programas de hacking, escaneres, mail-bombers, y otras herramientas. A menudo muchos de estos programas son infectados por la persona que creó el sitio. De nuevo, un solo usuario podría infectar a toda la red.

En Enero de 2003, TruSecure, la firma de gestión de riesgo que también posee ICSA Labs e InfoSecurity Magazine, alertaba que los autores de codigo malicioso incrementarán el camuflaje de los Troyanos de acceso remoto como entretenimiento 'adulto', por ejemplo, y publicarán estos programas en sitios pornográficos o grupos de noticias, para dirigirse a nuevos usuarios. Usuarios concretos también serán captados de esta forma, por lo que el atacante puede entonces enviar la URL que contiene el programa malicioso camuflado a un víctima que no sospecha.

En similares términos, el Troyano Migmaf o "migrant Mafia" que apareció en Julio de 2003 atacó unos 2.000 PCs basados en Windows con conexiones de Internet de alta velocidad, permitiendoles ser utilizados para enviar anuncios de pornografía. El Troyano Migmaf convirtió el equipo de la víctima en un servidor proxy que se utilizaba como una especie de intermediario entre las personas que pulsaban sobre un correo o enlace a sitios porno - esto permitía al equipo de la víctima traer anuncios web pornográficos desde un servidor sin identificar y pasar los anuncios a otros equipos a través de un correo spam o navegador web.

Cómo proteger su red de Troyanos

Entonces ¿cómo proteger su red de Troyanos? Un común error de concepto es que los software anti-virus ofrecen toda la protección que usted necesita. La realidad es que el software anti-virus solo ofrece protección limitada.

El software anti-virus solo reconoce una parte de todos los Troyanos conocidos y no reconoce los Troyanos desconocidos.

A pesar de que la mayoría de escaneres de virus detectan nuchos de los troyanos públicos/desconocidos, son incapaces de escanear Troyanos DESCONOCIDOS. Esto es porque el software anti-virus se basa principalmente en reconocimiento de las "firmas" de cada Troyano. Es más, como el código fuente de muchos Troyanos está disponible, un hacker más avanzado puede crear una nueva versión de ese Troyano, la firma del cual NO la tendrá el escaner anti-virus.

Si la persona planea atacarle descubrirá qué software anti-virus utiliza, por ejemplo a través de la nota de renuncia automática agregada a los correos salientes por algunos motores anti-virus, creará un Troyano especificamente para saltarse su motor de virus.

Aparte de fallar en detectar Troyanos desconocidos, los escáneres de virus no detectarán todos los Troyanos conocidos - la mayoría de fabricantes no buscan activamente nuevos Troyanos y la investigación ha mostrado que cada motor anti-virus detecta un conjunto particular de Troyanos. Para detectar un porcentaje más grande de Troyanos conocidos, necesita implantar múltiples escáneres de virus, que incrementarían el porcentaje de Troyanos capturados, o un escaner de Troyanos dedicado.

Para proteger de forma efectiva su red contra los Troyanos, debe seguir una estrategia de seguridad multinivel:

  1. Necesita implementar un escaneador de virus para gateway y análisis de contenido en el perímetro de su red para el correo, HTTP y FTP - no es bueno tener una protección anti-virus de correo si un usuario puede descargar un Troyano de un sitio web e infectar su red.
  2. Necesita implementar múltiples motores anti-virus en el gateway - A pesar de que un buen motor anti-virus habitualmente detecta todos los virus conocidos, es un hecho que utilizar múltiples motores anti-virus conjuntamente reconoce muchos más Troyanos conocidos que un solo motor.
  3. Necesita cuarentenar/analizar los ejecutables que entran en su red via correo electrónico y web/FTP en el gateway. Usted tiene que analiz que podría hacer el ejecutable.

Afortunadamente hay herramientas disponibles que automatizarán una gran parte de este proceso.

Análisis de ejecutables maliciosos - Escáner de Troyanos y ejecutables

La detección de Troyanos desconocidos solo puede hacerse mediante la revisión manual del ejecutable, o utilizando un escáner de Troyanos y ejecutables.

El proceso de revisión manual de ejecutables es un trabajo tedioso e intensivo en tiempo, y puede estar sujeto a error humano. Por lo tanto es necesario acometer este proceso inteligentemente y automatizar parte de él. Este es el propósito de un analizador de Troyanos y ejecutables.

Un escáner de ejecutables analiza inteligentemente qué hace un ejecutable y le asigna un nivel de riesgo. Desensambla el ejecutable y detecta en tiempo real qué podría hacer. Compara estas acciones con una base de datos de acciones maliciosas y entonces califica el nivel de riesgo del ejecutable. De esta forma pueden detectarse los Troyanos potencialmente maliciosos, desconocidos o excepcionales.

El escáner de Troyanos y ejecutables se ocupa de hackers avanzados que crean sus propias versiones de Troyanos, las firmas de los cuales no son conocidas por los software anti-virus.

Protección a nivel de gateway, junto con múltiples motores anti-virus Y un escáner de Troyanos y ejecutables guardará su red de los efectos peligrosos de los Troyanos.

Protección a nivel de gateway

Dos productos que ofrecen protección gateway con múltiples motores anti-virus y un escáner de Troyanos y ejecutables, así como otras características de seguridad, son:

GFI MailSecurity for Exchange/SMTP es una solución para el correo de análisis de contenido, detección de abusos, escaner de Troyanos y ejecutables, análisis de amenazas y antivirus, que elimina todo tipo de amenazas relativas al correo antes de que puedan afectar a sus usuarios. Las características clave de GFI MailSecurity incluyen múltiples motores anti-virus, para independencia del motor y una mejor seguridad; análisis de contenido y adjuntos, para poner en cuarentena adjuntos y contenido peligroso; una pantalla de abusos, para detectar correos con debilidades de SO y aplicaciones; un motor de amenazas HTML, para deshabilitar scripts HTML; y un Escáner de Troyanos y Ejecutables, para detectar ejecutables potencialmente maliciosos. Puede conocerlo más y descargar un versión de evaluación en http://www.gfi-hispana.com/es/mailsecurity/.

GFI DownloadSecurity for ISA Server le permite tomar el control sobre qué archivos descargan sus usuarios de sitios HTTP y FTP. El contenido de los archivos descargados es analizado en busca de contenido malicioso, virus y Troyanos, y puede ser puesto en cuarentena en base al tipo de archivo y al usuario. GFI DownloadSecurity gestiona el riesgo de seguridad de las descargas de archivos sin recurrir al bloqueo de todas las descargas de archivos a nivel de cortafuegos. Puede conocerlo más y descargar una versión de evaluación en http://www.gfi-hispana.com/es/dsec/.

Acerca de GFI

GFI (www.gfi-hispana.com) es un proveedor líder en software basado en Windows para mensajería, seguridad de contenido y seguridad de red. Los productos clave incluyen el conector de fax para Exchange y servidor de fax para redes GFI FAXmaker; GFI MailSecurity, software de análisis de contenido/abusos y anti-virus para el correo; y la familia de productos de seguridad de red GFI LANguard. Entre nuestros clientes se incluyen Microsoft, Telstra, Time Warner Cable, Shell Oil Lubricants, NASA, DHL, Caterpillar, BMW, el US IRS, y la USAF. GFI tiene cinco oficinas en USA, GB, Alemania, Australia y Malta, y tiene una red de distribuidores por todo el mundo. GFI es Microsoft Gold Certified Partner y ha ganado el premio Microsoft Fusion 2000 (GEM) Packaged Application Partner of the Year.

© 2005 GFI Software Ltd. All rights reserved. The information contained in this document represents the current view of GFI on the issues discussed as of the date of publication. Because GFI must respond to changing market conditions, it should not be interpreted to be a commitment on the part of GFI, and GFI cannot guarantee the accuracy of any information presented after the date of publication. This White Paper is for informational purposes only. GFI MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS DOCUMENT. GFI FAXmaker, GFI MailEssentials, GFI MailSecurity, GFI LANguard, GFI Network Server Monitor and GFI DownloadSecurity and the GFI FAXmaker, GFI MailEssentials, GFI MailSecurity, GFI LANguard, GFI Network Server Monitor and GFI DownloadSecurity logos and the GFI logo are either registered trademarks or trademarks of GFI Software Ltd. in the United States and/or other countries. Microsoft, Exchange Server, ISA Server, VS API, Word, Excel, SUS, and Windows NT/2000/XP are either registered trademarks or trademarks of Microsoft Corporation in the United States and/or other countries. All product or company names mentioned herein may be the trademarks of their respective owners. GFI. http://www.gfi.com info@gfi.com 1-888-2GFIFAX / +44 (0) 870 770 5370

volver al inicio