Conficker comenzó aprovechando una vulnerabilidad de Windows en uno de sus servicios (corregido en octubre, en el boletín MS08-067), al más puro estilo Blaster. Un gusano de libro, a la antigua usanza. Con estas bases, sorprendentemente se popularizó en noviembre de 2008. Pero no fue hasta que enriqueció su estrategia de infección, cuando realmente los medios se fijaron en él. Desde diciembre, comienza a copiarse a las unidades mapeadas en el sistema y, sobre todo, en los dispositivos extraíbles (memorias USB, básicamente). Ahí, aprovecha el arranque automático para poder ejecutarse en la siguiente víctima. Con este doble enfoque, consigue dar el salto desde las redes internas desprotegidas (donde aparentemente tiene más posibilidades de propagarse) hacia cualquier otro sistema externo, y esparcirse así en redes en principio "a salvo" gracias al cortafuegos (su verdadero enemigo). Su relativo éxito anima a medios y casas antivirus a lanzar una alerta "palpable", de las que hacía años que no se emitían, como cuando se alertaba sobre virus concretos de propagación masiva.
Sobre esta base de infección y "cuota de mercado", Conficker comienza a evolucionar hacia lo que es hoy en día el malware: ya no es sólo que el Conficker mute con nuevas versiones, sino que se ha convertido en un complejo sistema multi-modular que se ayuda de servidores comprometidos o no y una flexibilidad que permite que sus métodos de infección mejoren cada poco tiempo. Conficker evoluciona así desde un gusano tradicional hacia un complejo sistema perfectamente orquestado, cambiante y eficaz. Del primer Conficker apenas queda el nombre. Conficker es ahora una gran familia.
Si miramos atrás, "Storm Worm" o "Storm Virus" se popularizó a finales de 2006 como malware de rápida distribución que infectó a millones de sistemas Windows. Al principio, se propagaba de la forma más "burda" posible: un ejecutable a través de spam. Esta técnica, que se creía superada, provocó que muchos usuarios lo ejecutasen y quedasen infectados. Como Conficker, triunfó a pesar de usar técnicas de infección muy poco novedosas. Como con Conficker, los medios se fijaron en él precisamente por su simplicidad, por suponer un virus reconocible por los usuarios medios y poder usarlo de cabeza de turco como años atrás. Y así fue naciendo la botnet más grande que se ha conocido. Con una infraestructura de sistemas que crecía cada día, Storm Worm sentó las bases de un ejército de equipos infectados. Como Conficker, los atacantes comenzaron a mejorar su propio código, y de qué manera. A los pocos meses se propagaba a través de técnicas mucho más sofisticadas. Las máquinas infectadas se usaron para enviar spam (en cantidades industriales) en campañas espaciadas en el tiempo, cada una más virulenta que la anterior, que no hacían más que realimentar el número de sistemas infectados... Y Storm Worm se convirtió en una pesadilla de decenas de archivos que mutaban y cambiaban cada minuto, muchos datos robados, poco ratio de detección, e infinidad de basura en la bandeja de entrada.
¿Será Conficker tan persistente como lo llegó a ser Storm, con más de un año como número uno en infecciones? ¿Es que no hemos aprendido nada?
Sergio de los Santos
ssantos@hispasec.com
ssantos@hispasec.com
Más información:
22/01/2007 El mediático troyano de la tormenta y las lecciones no aprendidas
http://www.hispasec.com/unaaldia/3012
19/01/2009 Conficker o Downadup, cabeza de turco
http://www.hispasec.com/unaaldia/3740
17/01/2008 Un año de Storm Worm
http://www.hispasec.com/unaaldia/3372
23/10/2007 La epidemia del "Storm Worm", algunas cifras
http://www.hispasec.com/unaaldia/3286
New Conficker B++ Worm Discovered, More Stealth
http://www.infopackets.com/news/security/2009/20090225_new_conficker_b++_worm_discovered_more_stealth.htm
0 comentarios:
Publicar un comentario en la entrada