RAT, la nueva armada "contagiosa"
Crecen los virus que se descargan de forma inadvertida
El mundo del software malicioso, a menudo, está dividido en dos clases: el de tipo viral y el no viral. Podemos decir que los virus no son ni más, ni menos, que unos cuantos bits de código escondidos dentro de otros códigos. De hecho, cuando se ejecuta el código “anfitrión”, los virus se replican a sí mismos y pueden contagiar todo el sistema, con lo que su forma de funcionamiento resulta muy similar a la que ejecutan los virus biológicos en el cuerpo humano.
Los gusanos son una clase de “parásitos de ordenador” a los que se le suele asociar como parte del mundo de los virus, ya que se replican y extienden de equipo en equipo. Como los virus, un gusano malicioso puede actuar replicándose por toda una infraestructura de PC, generando tal número de correos electrónicos o peticiones de conexión, que los servidores no puedan atender y acaban colapsándose.
Los gusanos son distintos de los virus, ya que no son simples bits de código escondidos dentro de otros archivos. Pueden ser archivos completos (una hoja de Excel, por ejemplo) y se replican sin necesidad de ejecutar otro programa.
Asimismo, los denominados RAT (Remote Administration Trojans) son aquellos virus que, utilizando técnicas de administración remota, se comportan como si se tratara de un caballo de Troya, de ahí que sean denominados troyanos. De hecho, el propósito de estos programas no es tanto la replicación, sino más bien la penetración y el control de un sistema. Actúan de forma similar a la estratagema seguida por los griegos, quienes se escondieron dentro del Caballo de Troya, que introdujeron de noche en el interior de la legendaria ciudad fortificada. Son programas que se suelen camuflar con la apariencia de otra cosa y que, por regla general, tienen un propósito destructivo.
Hay diversos tipos de troyanos, incluidos los spybots o robots espía, que reportan las páginas web que visita un determinado usuario, así como los keybots y keyloggers que graban y transmiten las pulsaciones de teclado del usuario con el objetivo de descubrir sus contraseñas u otra información confidencial.
Los RAT intentan dar al intruso el poder de administrar de forma remota el ordenador infectado, trabajando en una estructura cliente/servidor. Y es que mientras el servidor reside en la máquina infectada, el cliente se aloja en cualquier otro lugar, a lo largo de la Red, donde se aloje el intruso. Así, utilizando los protocolos estándar TCP/IP o UDP, el cliente envía instrucciones al servidor. Por su parte, el servidor hará lo que se le ordene desde la máquina infectada.
Los troyanos, incluidos los RAT, se suelen descargar de forma inadvertida, sin que se salven ni los usuarios más experimentados. Visitar la página web equivocada o hacer click sobre un enlace determinado servirá de tarjeta de visita para que acceda cualquier tipo de troyano en el equipo. No en vano, los RAT se instalan a sí mismos aprovechando las debilidades de los navegadores y los programas más usuales. Además, hay que tener en cuenta que, una vez que residen en un ordenador, son muy difíciles de detectar y eliminar. Por ejemplo, en el caso de usuarios de Windows, no les bastará con pulsar Ctrl-Alt-Supr para desenmascararlos, ya que operan en segundo plano y no quedan reflejados en la lista de tareas.
Diseños nefastos
Algunos RAT especialmente peligrosos se han diseñado para instalarse a sí mismos de forma que sean muy difíciles de eliminar, incluso cuando se les haya descubierto. Por ejemplo, una variante del RAT Back Orifice, denominada G_Door, instala su servidor como Kernel32.exe en el directorio del sistema de Windows, donde se activa y bloquea mientras controla las claves del registro. El fichero Kernel32.exe activo no puede eliminarse fácilmente y con un simple reinicio no se limpian las claves del registro. Cada vez que arranque el ordenador infectado, Kernel21.exe también se reiniciará y el programa se volverá a activar y bloquear.
Algunos servidores RAT se conectan a puertos estándar y otros lo hacen a puertos aleatorios, que “comunican” a los clientes cuáles son los puertos y las direcciones IP, a las que deben conectarse a través de correo electrónico. Incluso los ordenadores que se conecten a Internet a través de ISP, que ofrecen mejores condiciones de seguridad que las conexiones de banda ancha, pueden ser controlados a través de estos servidores RAT.
La habilidad de los servidores RAT de iniciar conexiones puede permitirles también evitar los firewalls, dispositivos específicamente diseñados para impedir conexiones entrantes no solicitadas y/o perniciosas. Una conexión saliente casi siempre suele permitirse, por lo que una vez que un servidor contacta con un cliente, ambos pueden comunicarse y el servidor comienza a seguir las instrucciones de éste.
Los administradores de sistemas suelen utilizar herramientas legítimas para administrar las redes para diversos propósitos, como añadir un nuevo usuario o descargar programas de actualización, funciones que son extraordinariamente similares a las que realizan algunos troyanos de administración remota. La diferencia entre ambos puede ser muy pequeña. Y es que, en realidad, una herramienta de administración remota utilizada por un intruso se convierte en un RAT.
En abril de 2001, un administrador de sistemas británico desempleado llamado Gary McKinon, utilizó una herramienta legítima de administración conocida como “remotely anywhere” para conseguir acceder a los ordenadores de una red de la Marina de EE.UU. Hackeando algunas contraseñas desprotegidas en equipos remotos y usando copias ilegales de “remotely anywhere”, McKinon fue capaz de introducirse en la red de la Marina y usar su herramienta de administración remota para robar información y borrar ficheros y logs. El hecho de que McKinon lanzase el ataque desde la cuenta de correo de su novia, le hizo vulnerable y fue detectado.
Algunos de los RAT más famosos tienden a formar familias en lugar de permanecer aislados. Los hackers, por su parte, suelen modificarlos hasta formar inmensas familias de troyanos con similares características.
¿Cómo diagnosticar una infección?
Listado de contagios
-------------------------------------------------
Adbots: Al igual que el spyware, se instalan generalmente junto con programas freeware. Suelen proporcionar publicidad no deseada.
Dialers: Suelen marcar números 800 y generar grandes facturas de teléfono.
Agentes zombi DDoS: Estos programas permiten que los PC infectados puedan usarse en ataques DoS distribuidos. Los agentes zombi se coordinan para solicitar servicios del mismo servidor.
Keylogger: Son programas que captan las pulsaciones de teclado y envían la información a sus clientes. Su propósito suele ser encontrar contraseñas y números de cuenta.
Spybots: Transmiten ilegalmente información acerca de la actividad del usuario para aprender, por ejemplo, qué páginas web suele visitar.
A detalle
-------------
Los RAT (Remote Administration Trojans) son fragmentos de código malicioso, también llamado malware, que permiten al intruso controlar de forma remota un PC a través de una red o de Internet.
Los gusanos son una clase de “parásitos de ordenador” a los que se le suele asociar como parte del mundo de los virus, ya que se replican y extienden de equipo en equipo. Como los virus, un gusano malicioso puede actuar replicándose por toda una infraestructura de PC, generando tal número de correos electrónicos o peticiones de conexión, que los servidores no puedan atender y acaban colapsándose.
Los gusanos son distintos de los virus, ya que no son simples bits de código escondidos dentro de otros archivos. Pueden ser archivos completos (una hoja de Excel, por ejemplo) y se replican sin necesidad de ejecutar otro programa.
Asimismo, los denominados RAT (Remote Administration Trojans) son aquellos virus que, utilizando técnicas de administración remota, se comportan como si se tratara de un caballo de Troya, de ahí que sean denominados troyanos. De hecho, el propósito de estos programas no es tanto la replicación, sino más bien la penetración y el control de un sistema. Actúan de forma similar a la estratagema seguida por los griegos, quienes se escondieron dentro del Caballo de Troya, que introdujeron de noche en el interior de la legendaria ciudad fortificada. Son programas que se suelen camuflar con la apariencia de otra cosa y que, por regla general, tienen un propósito destructivo.
Hay diversos tipos de troyanos, incluidos los spybots o robots espía, que reportan las páginas web que visita un determinado usuario, así como los keybots y keyloggers que graban y transmiten las pulsaciones de teclado del usuario con el objetivo de descubrir sus contraseñas u otra información confidencial.
Los RAT intentan dar al intruso el poder de administrar de forma remota el ordenador infectado, trabajando en una estructura cliente/servidor. Y es que mientras el servidor reside en la máquina infectada, el cliente se aloja en cualquier otro lugar, a lo largo de la Red, donde se aloje el intruso. Así, utilizando los protocolos estándar TCP/IP o UDP, el cliente envía instrucciones al servidor. Por su parte, el servidor hará lo que se le ordene desde la máquina infectada.
Los troyanos, incluidos los RAT, se suelen descargar de forma inadvertida, sin que se salven ni los usuarios más experimentados. Visitar la página web equivocada o hacer click sobre un enlace determinado servirá de tarjeta de visita para que acceda cualquier tipo de troyano en el equipo. No en vano, los RAT se instalan a sí mismos aprovechando las debilidades de los navegadores y los programas más usuales. Además, hay que tener en cuenta que, una vez que residen en un ordenador, son muy difíciles de detectar y eliminar. Por ejemplo, en el caso de usuarios de Windows, no les bastará con pulsar Ctrl-Alt-Supr para desenmascararlos, ya que operan en segundo plano y no quedan reflejados en la lista de tareas.
Diseños nefastos
Algunos RAT especialmente peligrosos se han diseñado para instalarse a sí mismos de forma que sean muy difíciles de eliminar, incluso cuando se les haya descubierto. Por ejemplo, una variante del RAT Back Orifice, denominada G_Door, instala su servidor como Kernel32.exe en el directorio del sistema de Windows, donde se activa y bloquea mientras controla las claves del registro. El fichero Kernel32.exe activo no puede eliminarse fácilmente y con un simple reinicio no se limpian las claves del registro. Cada vez que arranque el ordenador infectado, Kernel21.exe también se reiniciará y el programa se volverá a activar y bloquear.
Algunos servidores RAT se conectan a puertos estándar y otros lo hacen a puertos aleatorios, que “comunican” a los clientes cuáles son los puertos y las direcciones IP, a las que deben conectarse a través de correo electrónico. Incluso los ordenadores que se conecten a Internet a través de ISP, que ofrecen mejores condiciones de seguridad que las conexiones de banda ancha, pueden ser controlados a través de estos servidores RAT.
La habilidad de los servidores RAT de iniciar conexiones puede permitirles también evitar los firewalls, dispositivos específicamente diseñados para impedir conexiones entrantes no solicitadas y/o perniciosas. Una conexión saliente casi siempre suele permitirse, por lo que una vez que un servidor contacta con un cliente, ambos pueden comunicarse y el servidor comienza a seguir las instrucciones de éste.
Los administradores de sistemas suelen utilizar herramientas legítimas para administrar las redes para diversos propósitos, como añadir un nuevo usuario o descargar programas de actualización, funciones que son extraordinariamente similares a las que realizan algunos troyanos de administración remota. La diferencia entre ambos puede ser muy pequeña. Y es que, en realidad, una herramienta de administración remota utilizada por un intruso se convierte en un RAT.
En abril de 2001, un administrador de sistemas británico desempleado llamado Gary McKinon, utilizó una herramienta legítima de administración conocida como “remotely anywhere” para conseguir acceder a los ordenadores de una red de la Marina de EE.UU. Hackeando algunas contraseñas desprotegidas en equipos remotos y usando copias ilegales de “remotely anywhere”, McKinon fue capaz de introducirse en la red de la Marina y usar su herramienta de administración remota para robar información y borrar ficheros y logs. El hecho de que McKinon lanzase el ataque desde la cuenta de correo de su novia, le hizo vulnerable y fue detectado.
Algunos de los RAT más famosos tienden a formar familias en lugar de permanecer aislados. Los hackers, por su parte, suelen modificarlos hasta formar inmensas familias de troyanos con similares características.
¿Cómo diagnosticar una infección?
Listado de contagios
-------------------------------------------------
Adbots: Al igual que el spyware, se instalan generalmente junto con programas freeware. Suelen proporcionar publicidad no deseada.
Dialers: Suelen marcar números 800 y generar grandes facturas de teléfono.
Agentes zombi DDoS: Estos programas permiten que los PC infectados puedan usarse en ataques DoS distribuidos. Los agentes zombi se coordinan para solicitar servicios del mismo servidor.
Keylogger: Son programas que captan las pulsaciones de teclado y envían la información a sus clientes. Su propósito suele ser encontrar contraseñas y números de cuenta.
Spybots: Transmiten ilegalmente información acerca de la actividad del usuario para aprender, por ejemplo, qué páginas web suele visitar.
A detalle
-------------
Los RAT (Remote Administration Trojans) son fragmentos de código malicioso, también llamado malware, que permiten al intruso controlar de forma remota un PC a través de una red o de Internet.
