Los creadores de software malicioso están dificultando el análisis automatizado a las empresas de antivirus.
El virus de ordenador Flashback se hizo famoso a principios de año como el primer software malicioso capaz de atacar el sistema operativo relativamente intacto de Apple, el Mac OS X, infectando a unas 600.000 víctimas en el punto álgido de la epidemia.
Pero a los ingenieros informáticos y los profesionales de la seguridad lo que de verdad les preocupó fue otro aspecto del virus. Los autores de Flashback usaron una técnica habitual de Hollywood para impedir que se copien archivos de películas o música: añadieron funciones que ligaban el virus a cada sistema infectado. El uso de esa técnica impide que las empresas de seguridad puedan ensayar con el virus en sus laboratorios.
Se han hecho nuevas investigaciones que demuestran que, refinando esta técnica, el análisis automático del software malicioso podría ser casi imposible. Paul Royal, investigador del Centro de Seguridad de la Información del Instituto de Tecnología de Georgia, en Estados Unidos, piensa revelar sus investigaciones al respecto en la conferencia Black Hat que se celebra en Las Vegas esta semana.
Royal y sus compañeros en Georgia Tech demuestran que una forma de protección contra las copias denominada “encriptado basado en la identidad del huésped” puede codificar partes críticas de un programa malicioso con claves basadas en información sacada del sistema de la víctima, haciendo que sea aún más difícil de analizar el espécimen en una máquina diferente.
Analizar el software malicioso que usan los criminales para infectar los ordenadores de la gente es una operación necesaria que lleva un tiempo considerable. Los fabricantes de software antivirus recogen muestras de software malicioso con regularidad y usan el análisis automatizado para obtener una colección de características identificadoras del virus, lo que se suele llamar firma.
Y aunque un analista individual puede sortear las restricciones impuestas por los creadores del software malicioso –igual que los piratas pueden sortear las protecciones contra la copia de películas-, impedir que las empresas de seguridad procesen automáticamente grandes volúmenes de archivos afectará a su capacidad de seguir el ritmo de los atacantes.
“Para el modelo antivirus, esto complica significativamente la posibilidad de coger cantidades ingentes de software malicioso y reducirlo a un subconjunto que pueda ser analizado de forma práctica por un analista humano”, afirma Royal.
Como el software antivirus depende de dichas firmas para cazar el software malicioso, los criminales en línea siempre están intentando dificultar el análisis. A lo largo de la última década, por ejemplo, los atacantes han usado el polimorfismo –una técnica que cambia los programas cada vez que se copian en una máquina nueva- para dificultar la identificación. Esta tendencia se ha acelerado en los últimos años (ver La era antivirus toca a su fin).
La base de datos de software malicioso de Symantec incluye unos 19 millones de firmas. En su Informe Anual de Amenazas de Seguridad en Internet publicado a principios de año, Symantec afirma que sus sistemas de análisis automatizado analizaron 403 millones de variantes únicas de programas maliciosos en 2011, un aumento del 41 por ciento respecto a los 286 millones analizados en 2010. Sin la automatización, esta tarea sería mucho más difícil.
“Si los creadores de software malicioso son capaces de llegar a una fase en la que, aunque puedas hacerte con el archivo, este se liga a una máquina en concreto, nos complicarían la vida”, explica Roel Schouwenberg, investigador sénior de Kaspersky, otra empresa de software de seguridad. Kaspersky procesó más de mil millones de muestras con sus sistemas automatizados en 2011.
Si Flashback es una muestra de lo que nos espera en el futuro y la automatización ya no servirá para cribar la ingente cantidad de archivos a analizar, las empresas antivirus podrían ver cómo se disparan sus costes.
“Desde nuestra perspectiva, analizamos cientos de miles de muestras cada día”, explica Dean De Beer, director de tecnología en ThreatGRID, una empresa de servicios de análisis de software malicioso. “Ahora nos lanzan esta bola con efecto y tenemos que pararnos y pensar qué necesitamos para asegurarnos de poder recoger la muestra”.
Las empresas de antivirus podrían intentar frustrar este tipo de software malicioso creando una máquina virtual que parezca idéntica al sistema de la víctima. Pero algo así podría provocar problemas de privacidad entre los usuarios. Para dificultar aún más el análisis, los creadores de software malicioso podrían desarrollar funciones que interpreten los comandos de los servidores de comando y control usando una clave creada con información sobre la localización de la red del ordenador. Conocida como localización por conjunto de instrucciones, la técnica podría hacer que órdenes dirigidas a una máquina con sede en San Francisco fueran irreconocibles para una máquina con sede en Boston.
Las empresas de antivirus esperan que Royal mantenga el debate a alto nivel para impedir que los atacantes reciban consejos específicos para mejorar su capacidad de vincular el software malicioso a las máquinas infectadas. “Flashback fue un quebradero de cabeza”, afirma Schouwenberg. “Si el debate va a tratar sobre cómo facilitarle eso al atacante, la perspectiva no me apetece demasiado”, añade.
Royal espera que la presentación sirva como aviso a los defensores para que resuelvan este problema rápidamente. “Su objetivo no es dar motivos para deshacernos de las herramientas de análisis de software malicioso”, explica. “Se supone que es un aviso. Todos tenemos que estar preparados”, concluye Royal.