Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

lunes, 21 de septiembre de 2009

Eficacia de los antivirus frente a ZeuS

Luego de la liberación del código de ZeuS durante el 2007, sin lugar a dudas, además de ser una de las botnets más grandes, su troyano se ha convertido en uno de los que posee un mayor índice de infección a nivel global.

En este mismo blog hemos abordado algunas características de esta botnet, que con más de 20 versiones desde su aparición, últimamente ha tomado mayor relevancia en los medios de información especializados gracias a una serie de informes que describen algunos de sus aspectos más relevantes

Por ejemplo RSA, hace poco tiempo publicó un informe sobre fraudes en línea describiendo la incorporación de un componente Jabber que de forma instantánea alerta a los botmasters cuando se ha reclutado una nueva zombi. S21Sec recientemente realizó un seminario en línea sobre la evolución de ZeuS en el que describieron sus patrones más relevantes entre otros detalles técnicos.

Se suma a esta ola la empresa Trusteer, que según un corto pero interesante informe liberado recientemente, presenta a ZeuS desde una perspectiva diferente. Bajo el título "Measuring the in-the-wild effectiveness of Antivirus against Zeus" deja en evidencia la eficacia de las soluciones de seguridad antivirus frente al código malicioso que propaga esta botnet en particular.

Hay algunos datos interesantes que se desprenden del informe. Según el mismo, actualmente ZeuS posee bajo su mando aproximadamente 3,6 millones de computadoras sólo en USA y a nivel global el 44% de las zombis que forman parte de botnets; lo cual deja bien claro que actualmente es la red de zombis más grande.

En este sentido, la respuesta que podría dar fundamento fuerte a estos datos quizás se deba a la popularidad que ha tenido ZeuS en el ambiente clandestino de comercialización del mercado ruso gracias a su bajo costo, del crimeware en general, y a la liberación de sus primeras versiones en diferentes foros desde los cuales es posible conseguirlos de forma gratuita.

De hecho, de las dos generaciones de ZeuS (versión 1 y 2) un alto porcentaje de botnets In-the-Wild pertenecen a la primera generación con un amplio repertorio de versiones que van desde la 1.0.x.x a la 1.1.x.x.

Actualmente, ZeuS se encuentra por su versión pública 1.2.5 aunque existen versiones privadas con algunas modificaciones (mejoras para los botmasters) que por el momento no se consiguen en la clandestinidad under pero que se encuentran In-the-Wild como el caso de la versión 1.2.7.

Sin embargo, lo más importante de este informe, como lo mencioné líneas arriba, se canaliza en la eficacia de los antivirus en cuanto al índice de detección que presentan de su troyano.

Si bien los datos reportados por Trusteer son muy interesantes hay una serie de cuestiones que se deben tener en cuenta. Una de ellas y que cabe aclarar es que ZeuS posee una aplicación interna mediante la cual se genera el binario a propagar y el archivo de configuración desde el que toma la información fraudulenta para los ataques de phishing y demás. Pero además, permite ejecutar otros ataques a través de exploits diseñados para aprovechar vulnerabilidades de las aplicaciones de flash y lectores PDF mediante archivos .pdf y .swf.

Por otra parte, la muestra tomada para el análisis fue de 10.000 zombis, que si bien no refleja un dato real de equipos infectados con ZeuS permite obtener información precisa y una idea lo suficientemente concreta sobre el riego de seguridad que representa el malware.

Lo más preocupante, según el informe, los datos de infección recogidos se encuentran basados en tres factores que involucran directamente a los antivirus y de los cuales se desprenden los siguientes niveles de eficacia:
  • Computadoras sin antivirus: el 31% infectados con ZeuS
  • Computadoras con antivirus desactualizado: el 14% infectados con ZeuS
  • Computadoras con antivirus actualizado: el 55% infectados con ZeuS
Esto significa que la eficacia de los programas antivirus es baja, porque el índice de detección de ZeuS es bajo. ZeuS es un código malicioso complejo que desde el principio incorpora un módulo de cifrado y esto hay que tener en cuenta.

Cada distribución de su binario significa una nueva variante que amplia nuevamente el tiempo de respuesta de los AV incorporando nuevas víctimas e incrementando su familia. Más complejo aún, si tenemos en cuenta que el binario puede ser (y lo es) sometido a procesos anti-análisis que se ofrecen a granel en Internet.

Información relacionada
Especial!! ZeuS Botnet for Dummies
Fusión. Un concepto adoptado por el crimeware actual
Botnet. Securización en la nueva versión de ZeuS
ZeuS Carding World Template. (...) la cara de la botnet
Entidades financieras en la mira de la botnet Zeus II
Entidades financieras en la mira de la botnet Zeus I
LuckySploit, la mano derecha de Zeus
ZeuS Botnet. Masiva propagación de su troyano II
ZeuS Botnet. Masiva propagación de su troyano I

Otros paquetes para control de botnets
Phoenix Exploit’s Kit
iNF`[LOADER]
Hybrid Botnet Control System
Botnet Open Source
Fragus
Liberty Exploit System
TRiAD HTTP Control System
Eleonora Exploit Pack
ElFiesta
Unique Sploits Pack
Adrenaline
Chamaleon
YES Exploit System
Barracuda

Actividades botnet
Waledac/Storm. Pasado y presente de una amenaza latente
Simbiosis del malware actual. Koobface
Entendiendo las redes Fast-Flux
Danmec Bot, redes Fast-Flux y reclutamiento de Zombies PCs

Jorge Mieres

Ver más