Autor:
Carlos Boto Coto
Gerente de Seguridad Gestionada
El nacimiento de Conficker
Los primeros indicios de la aparición de Conficker datan del 23 de octubre de 2008 cuando Microsoft alertaba de la vulnerabilidad MS08-067. Diez días después, Microsoft publicaba el parche para solucionar el problema, y en ese mismo día, apareció un gusano denominado Win32/Gimmiv que se aprovechaba de dicha vulnerabilidad. El gusano estaba diseñado para el robo de contraseñas y nombres de usuario de Outlook Express, MSN Messenger, e Internet Explorer. Gimmiv no consiguió obtener un alto índice de expansión y no tuvo un tiempo de vida muy elevado, pero pasado un mes del boletín MS08-067, surgiría un gusano que no pasaría inadvertido en la historia del malware; nacería así, la primera variante de Conficker.
El éxito de Conficker: la propagación y el apoyo mediático
Conficker para su propagación utiliza una vulnerabilidad del servicio Server de Windows, catalogada como MS08-067, que a través de una solicitud RPC (Remote Procedure Call) en el puerto 445 del protocolo TCP, permite ejecutar remotamente, y sin autenticación, código arbitrario con los mismos privilegios que el usuario que haya iniciado la sesión en los sistemas Windows 2000, Windows XP, y Windows 2003. Aprovechando esta vulnerabilidad, Conficker consigue replicarse en otros sistemas previamente localizados a través de búsquedas y barridos de red.
Cuando el mundo creía estar preparado para la expansión del gusano Conficker, el 29 de diciembre de 2008 apareció publicada la segunda variante, conocida como Conficker.B. La nueva versión incorporaba diferentes mecanismos de propagación que permitían la infección a través de dispositivos USB y mediante las carpetas compartidas en red (NetBIOS Share Propagation). Para acceder a estas últimas, el gusano realizaba ataques de fuerza bruta utilizando su propio diccionario de claves. La incorporación de nuevos métodos de propagación en la variante B ayudó significativamente al éxito de expansión ya que los ordenadores que estaban vacunados contra la vulnerabilidad MS08-067 podrían ser nuevamente infectados con los nuevos mecanismos de la variante B.
Pero el gran éxito de Conficker no se debe únicamente a su capacidad de propagación, sino también al apoyo mediático. Quizá fue a partir del 12 de febrero de 2009 cuando Conficker empezó a tener verdadera relevancia en los medios de comunicación. Ese mismo día, Microsoft anunciaba, a través de un comunicado de prensa, la entrega de una recompensa de 250.000 dólares para quien facilitase información que permitiese dar con los creadores del gusano. Por otra parte, el éxito mediático fue culminado cuando el 4 de marzo de 2009 apareció Conficker.C en formato bomba lógica de tiempo. Según los análisis realizados, el gusano se mantendría dormido en los sistemas infectados hasta el día 10 de abril de 2009, y no hay nada más delicioso para los medios de comunicación especializados que la revelación de una fecha apocalíptica.
Un malware innovador
Aunque catalogado mundialmente como gusano, Conficker está diseñado para crear redes de zombies, o botnets que permitan el control remoto de las máquinas infectadas sin el conocimiento de sus propietarios. El malware utilizado por la mayoría de las botnets, realiza peticiones http periódicamente al puerto 80/TCP de un servidor web para obtener las órdenes de sus amos y ejecutarlas en las máquinas infectadas. Suelen utilizar conexiones a dominios web para pasar desapercibidos ante la mayoría de soluciones antimalware y firewalls que lo considerarán como una navegación web normal. Y en este esquema de obtención de comandos mediante una petición a un dominio es donde Conficker aporta un método innovador:
Conficker, mediante un bucle infinito, genera diariamente un gran número de nombres de dominio, tomando como valor de referencia la fecha y hora del sistema. Durante el bucle, Conficker contacta con cada uno de los dominios generados en el puerto 80/TCP e intenta descargarse un archivo binario para ejecutarlo en la máquina infectada. Este método de creación de nombres de dominios permite que cualquier persona que conozca el algoritmo de generación, sea capaz de producir exactamente los mismos nombres, y una vez comprados los dominios, podría utilizarlos para depositar su propio malware que posteriormente descargarían y ejecutarían los sistemas infectados con Conficker.
La propagación: el mejor ataque
El gusano tiene como principal objetivo crear una botnets para tomar el control remoto sistemas infectados, por lo que la gama de posibilidades de dañar a los sistemas infectados es casi infinita: utilizar la botnets para realizar ataques de denegación de servicio distribuido a otros sistemas, instalar programas o nuevo malware, bloqueo de los sistemas de protección, robo de información, borrado o modificación de archivos, envío de spam, etc. No obstante, hasta ahora Conficker se ha centrado más en su propagación y no en un ataque concreto, pero el éxito de expansión, en sí mismo, puede considerarse un gran ataque si se contabilizan los recursos y esfuerzos utilizados para la remediación de los millones de sistemas que se han visto comprometidos mundialmente por esta nueva amenaza.
No hay comentarios:
Publicar un comentario