El futuro de los programas maliciosos (vmware rootkits, boot rootkits, bios backdoors)

A pesar de que existen muchas tecnologías modernas que dificultan la creación de virus “indetectables”, ya hoy vemos que hay amenazas que estarán presentes en el mundo informático futuro y que obligarán a desarrollar nuevos y nuevos métodos de lucha contra ellas.

Los fenómenos más notables en el campo de la “teoría de los virus informáticos” fueron tres realizaciones conceptuales creadas con fines estrictamente de investigativos. Sin embargo, las tecnologías aplicadas son muy peligrosas y sin lugar a dudas, serán seguidas con atención por el underground..

La primera de estas tecnologías es el prototipo de “puerta trasera” (backdoor) ubicado en el sector de arranque del disco duro y que se apodera del control antes del inicio del sistema operativo. Al arrancar de esta manera, tiene la posibilidad de modificar o sustituir muchas de las funciones del sistema operativo. En agosto de 2005 la compañía eEye Digital Security presentó la “puerta trasera” eEye BootRoot.

A pesar de que prácticamente todos los programas antivirus modernos tienen una función de verificación de los sectores de inicio de los discos (ya que la historia de los antivirus empezó precisamente con estos virus), el problema de la detección de la intercepción y sustitución de las funciones del sistema sigue teniendo vigencia y no ha sido totalmente resuelto ni siquiera respecto al funcionamiento de los troyanos y el antivirus en un sistema operativo dado, y menos aún si se trata de una “puerta trasera” que se inicia antes que el sistema operativo.

Este trabajo tuvo resonancia y pronto aparecieron nuevos adeptos. En enero de 2006, John Heasman, empleado de la compañía Next-Generation Security Software, declaró que el conjunto de funciones de gestión de energía del ordenador (las funciones ACPI- Advanced Configuration and Power Interface) permiten crear programas rootkit que pueden guardarse en la memoria flash del BIOS.

La tecnología de guardar virus en la memoria flash del BIOS no es nueva. Ya en 1998, el tristemente famoso CIH (“Chernobyl”) borraba la memoria flash del BIOS si no podía obtener acceso a éste. Posteriormente aparecieron programas troyanos que realizaban ataques similares.

Heasman creó también un prototipo de código que permite obtener más privilegios en el sistema y leer los datos de la memoria del ordenador. Utilizar el BIOS como lugar de almacenamiento de código malicioso dificulta aún más su detección en comparación con las “puertas traseras”.

En marzo de este año, entre los especialistas en seguridad informática, hubo un gran alboroto: se discutía acaloradamente la idea de ciertos rootkit “indetectables”, basados en la tecnología de ordenadores virtuales. Surge la pregunta: ?de qué se trata todo esto? ?es digno de preocupación?.

El proyecto de un rootkit que funcione en un nivel inferior al sistema operativo está siendo desarrollado en la Universidad de Michigan, bajo los auspicios de Microsoft. La opinión pública se enteró de esto después de la publicación del programa de la conferencia IEEE Symposium on Security and Privacy, donde será presentada esta prueba de concepto.

Todos los programas maliciosos modernos funcionan en el mismo ámbito que los sistemas de defensa. De esta manera, sólo la “carrera armamentista” define la superioridad de uno u otro bando.

Siempre será más fuerte el bando que funcione en el nivel más bajo del sistema. La idea de los “muchachos” de Michigan consiste en que es posible ubicar el programa malicioso fuera de los márgenes de esta “matriz”, asíéndolo potencialmente invisible desde el sistema operativo.

Con este objetivo, se introduce entre el sistema operativo y el equipo una capa intermedia: un monitor de ordenadores virtuales (VMM, Virtual machine Monitor). En la fase de inicio del equipo, el BIOS no transfiere sus funciones al mecanismo de inicio del sistema operativo del usuario, sino al monitor de ordenadores personales, que a su vez inicia el sistema operativo instalado. Así, éste último se convierte en “ordenador virtual”. Como resultado, la interacción entre los programas del usuario y el equipo se lleva a cabo a través del VMM.

Al mismo tiempo, el VMM inicia otro sistema operativo, de la misma manera en que en VMWare se inician varios ordenadores virtuales. En el primero se pueden activar programas maliciosos. Ambos sistemas operativos se basan en un bus común, el VMM, que a su vez tiene acceso directo al hardware.

He aquí un ejemplo practico: el VMM, durante el uso del teclado, envía la información sobre las teclas pulsadas tanto al sistema operativo del usuario, como al “malicioso”, dónde un programa especial (keylooger) la intercepta y la envía a su “dueño”, eludiendo el sistema operativo del usuario y sus medios de protección. El código del rootkit y todas las huellas que deja se encuentran fuera de los límites del sistema operativo del usuario, por lo que no puede ser detectado directamente desde dentro, ni siquiera utilizando el antivirus o cortafuegos más potente.

Para realizar su “prueba de concepto” en Windows XP, los investigadores necesitaron el código de Virtual PC, un sistema operativo parásito y la introducción de ciertas modificaciones en los controladores del sistema operativo del usuario.

A pesar de lo amenazante que pueda parecer esta “prueba de concepto”, no vemos motivos de preocupación.

En primer lugar, la implementación de este rootkit es compleja, y está fuera del alcance de la mayoría de los escritores de virus, a pesar de que se ha tomado como base el motor de un VMM ya existente.

En segundo lugar, es imposible ocultar la presencia de la capa intermedia entre el hardware y el sistema operativo. El nivel de abstracción complementario genera los siguientes efectos adicionales:

    * ralentización del inicio del sistema;
    * cambio del timing del procesador y ralentización del funcionamiento del sistema;
    * disminución del espacio libre disponible en el disco (los investigadores informa que el VMR ocupaba 100-200 Mb);
    * deterioro en las prestaciones gráficas, como resultado de la incorrecta emulación del controlador gráfico; modificación de los archivos del sistema, para garantizar el correcto funcionamiento del sistema operativo con el hardware emulado (y no con el verdadero).

En tercer lugar, es bastante fácil detectar la presencia del rootkit virtual. Además de los síntomas mencionados, la forma más sencilla de detectar el rootkit es iniciar el ordenador desde un dispositivo externo (USB, CD) y escanear el disco duro desde el mismo. Si bien el VMR emula el reinicio -como se afirma en las tesis de los investigadores- para apoderarse del control y hacerse invisible, basta utilizar un “reinicio frío” (cold reboot) para eludir este truco. Es decir, desconectar el equipo del enchufe.

Sin embargo, al igual que eEye BootRoot, SubVirt anuncia el advenimiento de la época de los medios de defensa basados en hardware.

Junto con las pruebas de concepto, que definen el rostro de las amenazas virales en los próximos años, seguimos tropezándonos con reencarnaciones de antiguas tecnologías, modernizadas y adaptadas a las nuevas realidades. Este fenómeno se expresa en el comportamiento viral más antiguo: la infección de archivos, es decir, la integración del propio código en otros programas.

En 2004 apareció Backdoor.Win32.PoeBot, que usaba el siguiente algoritmo: El delincuente pone a punto una “puerta trasera” conocida (por ejemplo, de la serie Backdoor.Win32.SdBot), toma un programa popular (por ejemplo, WinRar), le integra un troyano por medio de la tecnología EPO y lo empieza a propagar usando los medios estándar. El resultado es que la velocidad de reacción de la compañía antivirus se reduce, ya que es necesario desarrollar un procedimiento de detección del programa malicioso y excluir los “falsos positivos” en los programas legítimos, algo que lamentablemente ocurrió entonces con varias compañías antivirus.

En 2005 apareció una nueva familia de troyanos, Virus.Win32.Bube, que infectaba el archivo explorer.exe y trataba de cargar otros programas troyanos varias veces por hora. Así, Explorer.exe se convirtió en un verdadero troyano-downloader.

Después de Bube vino Virus.Win32.Nsag, que es un downloader con un disfraz aún más sofisticado. Este virus infecta la biblioteca del sistema wininet.dll, incrustando su código malicioso en la función HttpSendRequestA. De esta forma, el troyano está inactivo hasta que detecta cualquier actividad de red del sistema infectado, durante la cual toma el control.

La llegada del año 2006 trajo consigo varios programas similares a los descritos, lo que es una prueba de que los autores de virus experimentan un gran interés por este tipo de distribución de código malicioso.

Para empezar, pondremos nuestra atención en Trojan-Spy.Win32.Banker.alr, el cual, además de robar información, modifica las bibliotecas sfc.dll y sfc_os.dll de tal manera que se desactiva la recuperación automática de los archivos del sistema.

Considerando que este tipo de troyanos aparece con bastante frecuencia, hemos decidido incluirlos en una nueva familia denominada Trojan.Win32.Patched.

Trojan.Win32.Patched.a Infecta svhost.exe. Se añade al archivo un código que carga el archivo mshost.dll (Trojan-Spy.Win32.Agent.ki) y activa un troyano.

Trojan.Win32.Patched.b Infecta un archivo del sistema elegido al azar, inoculándole un código que activa un programa troyano en el flujo NTFS de un archivo .txt. El nombre del archivo infectado suele coincidir con el nombre del programa infectado. Por ejemplo, el troyano infecta el archivo sysformat.exe, y el componente principal del troyano se inicia desde el flujo de sysformat.txt (C:\WINDOWS\system32\sysformat.txt:tamrofsys.exe).

Trojan.Win32.Patched.c Infecta un archivo del sistema elegido al azar, por ejemplo notepad.exe, en el cual se incrusta un brevísimo código (35 bytes), que al iniciar notepad.exe inicia el archivo .log del directorio del sistema del Windows.

?Cuál es el objetivo de estas operaciones y que ocurrirá más adelante? Para nadie es secreto que los antivirus y cortafuegos modernos (firewall) controlan determinadas ramas del registro y las actividades de red.

Como es natural, estos medios de protección admiten excepciones, que son creadas para no importunar al usuario cuando hace algunos ajustes al sistema. Las tendencias de 2005 y 2006 demuestran que los autores de virus están empezando a usar métodos atípicos con el objetivo de engañar a estos medios de protección: - no activan el troyano por medio de la clave Run del registro, sino que lo hacen después del inicio del archivo infectado; - cargan programas troyanos desde el proceso de explorer.exe o wininet.dll. Además de que es bastante difícil detectar estos programas, las compañías antivirus necesitan más tiempo para crear los procedimientos correctos de detección y curación, ya que la infección afecta a las bibliotecas del sistema.

Es posible que en un futuro cercano aparezcan muchos programas maliciosos que funcionen según el principio de “ya que los monitores controlan los cambios de los parámetros de los módulos del sistema operativo, entonces modificaremos los módulos en sí”. Un principio semejante se utiliza desde hace mucho tiempo durante la creación de rootkits para los sistemas operativos UNIX.

El lenguaje ASM es el preferido para crear virus y rootkits muy bien elaborados por su alta complejidad y bajo nivel de programación