¿Qué son los exploits y por qué dan tanto miedo?

Los expertos en seguridad suelen hablar de los exploits como uno de los mayores problemas, aunque no siempre está claro por qué son tan especiales y alarmantes. A continuación trataremos de explicarlo.

Los expertos en seguridad suelen mencionar a los exploits como uno de los problemas más serios respecto a la seguridad de datos y sistemas; a pesar de no ser un tema muy claro, la diferencia está entre exploits y malware. Lo explicaremos ahora.

¿Qué es un exploit?

Los exploits son un subconjunto de malware. Estos programas maliciosos contienen datos o códicos ejecutables que son capaces de aprovecharse de una o más vulnerabilidades en el software local o remoto de la computadora.

Es fácil: Tienes un navegador y hay una vulnerabilidad en éste, que permite ejecutar “un código arbitrario” (por ejemplo. Instalar y abrir un programa malicioso) en tu sistema sin que te des cuenta. Normalmente el primer paso de los criminales es permitir la escala de privilegios para poder hacer cualquier cosa dentro del sistema atacado.

 

Los navegadores, junto con Flash, Java y Microsoft Office, están dentro de la categoría de softwares en la mira. Al ser ubicuo, son explorados por expertos de seguridad, hackers, y los desarrolladores regularmente lanzan parches para solucionar las vulnerabilidades. Es mejor si estos parches se aplican desde un principio, pero desafortunadamente no siempre es el caso. Por ejemplo, debes cerrar todas las pestañas del navegador o documentos para poder actualizarlo.

Otro problema son los exploits para las vulnerabilidades aún desconocidas, descubiertas y abusadas por blackhats: llamadas vulnerabilidades de día cero. Tal vez pueda pasar mucho tiempo antes de que los vendedores sepan que tienen un problema que tienen que arreglar.

Vías de infección

Los cibercriminales suelen preferir exploits de otros métodos de infección como como la ingeniería social, que puede tener éxito o no;  el uso de las vulnerabilidades sigue teniendo los resultados deseados.

Hay dos formas en las que los usuarios pueden recibir exploits. En primer lugar, al visitar una página web que contenga códigos de exploit maliciosos. En segundo lugar, al abrir un archivo que aparenta ser legítimo, con un código malicioso escondido. Como es lo normal, un correo spam o de phishing es lo que introduce el exploit al equipo.

Como señala Viruslist, los exploits están diseñados para atacar a versiones de software específicas que contienen vulnerabilidades. Si el usuario tiene esa versión de software, al abrir un objeto o entrar en una página web que utilice este software, se dispara el exploit.

Al conseguir acceder a través de una vulnerabilidad, el exploit carga malware adicional desde el servidor del criminal, llevando a cabo actividades maliciosas como el robo de información personal, utilizando la computadora como parte de un botnet para distribuir spam o iniciar ataques DDoS, o cualquier otra cosa que los criminales tengan en mente.

Los exploits son una amenaza incluso para los usuarios que son más conscientes de estos peligros y mantienen actualizado el software. La razón es el lapso de tiempo que hay entre el descubrimiento de la vulnerabilidad y el lanzamiento del parche para solucionarla. Durante este tiempo, los exploits son capaces de funcionar libremente, amenazando la seguridad de casi todos los usuarios de Internet – a menos que hayan herramientas automáticas para prevenir ataques de exploits.

Y no nos olvidemos del conocido “síndrome de las pestañas abiertas”: hay que pagar un precio por las actualizaciones, y no todos los usuarios están dispuestos a pagarlo en cuanto el parche está disponible.

Los exploits vienen en packs

Los exploits suelen ir en packs para llevar a cabo una comprobación de las vulnerabilidades del sistema atacado; y, en cuanto se detecta una vulnerabilidad o varias, se dispara el exploit adecuado. Además, los kits de exploits también utilizan la ofuscación del código para evitar ser detectados, y cifran las rutas URL para evitar que los investigadores los deshabiliten.

Entre los más conocidos se encuentran:

Angler – se trata de uno de los kits más sofisticados del mercado negro. Fue el que cambió las reglas del juego al ser el primero en detectar a los antivirus y las máquinas virtuales (que los investigadores de seguridad usan de forma frecuente como cebo), enviando archivos cifrados con cuentagotas. Es uno de los kits que incorporan los nuevos ataques de día cero, y su malware se ejecuta desde la memoria, sin tener que escribir en el disco duro de sus víctimas. Aquí tenemos una descripción más técnica del paquete.

Nuclear Pack – ataca a sus víctimas con exploits en Java y Adobe PDF, además de introducir el Caphaw, un conocido troyano bancario. Más información aquí.

Neutrino – un kit ruso que contiene algunos exploits en Java, apareció en todos los titulares del año pasado ya que su dueño lo puso en venta por el modesto precio de $34, 000 dólares. Lo más probable es que se hiciera tras el arresto de un tal Pauch, creador del siguiente kit del que vamos a hablar.

Blackhole Kit- la amenaza más extendida en la web en 2012. Tiene como objetivo las vulnerabilidades de las versiones antiguas de navegadores como Firefox, Chrome, Internet Explorer y Safari, además de los plugins más populares como Adobe Flash, Adobe Acrobat y Java. Tras dirigir a la víctima a una landing page, el kit detecta qué hay en la computadora de la víctima y carga todos los exploits a los que este equipo es vulnerable.

A diferencia de otros kits, Blackhole tiene una entrada registrada en Wikipedia, aunque después del arresto de Paunch, el kit desapareció.

Conclusión
Los exploits no siempre pueden detectarse mediante softwares de seguridad. Para detectar con éxito un exploit, el software de seguridad debe emplear análisis del comportamiento, es la única forma efectiva de acabar con los exploits. Existen una gran cantidad y diversidad de programas de malware, pero la mayoría presentan patrones de comportamiento similares.

Kaspersky Internet Security, junto con otros productos estrella de Kaspersky Lab, emplea la tecnología de Prevención Automática de Exploits y utiliza la información sobre el comportamiento típico de los exploits conocidos. El comportamiento característico de este tipo de programas maliciosos ayuda a prevenir la infección incluso en el caso de una vulnerabilidad de exploit desconocida de día cero.

Disponible aquí.

Consejos