Análisis de La Presencia de Malware en Las Descargas P2P

ANALISIS DE LA PRESENCIA DE MALWARE EN LAS DESCARGAS P2P
INTECO-CERT Centro de Respuesta a Incidentes de Seguridad en Tecnologas de la Informacin E-CONFIANZA
Marzo 2010
El Instituto Nacional de Tecnologas de la Comunicacin, S.A. (INTECO), es una sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a travs de la Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin. INTECO es un centro de desarrollo de carcter innovador y de inters pblico de mbito nacional que se orienta a la aportacin de valor, a la industria y a los usuarios, y a la difusin de las nuevas Tecnologas de la Informacin y la Comunicacin (TIC) en Espaa, en clara sintona con Europa. Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la Informacin, con actividades propias en el mbito de la innovacin y el desarrollo de proyectos asociados a las TIC, basndose en tres pilares fundamentales: la investigacin aplicada, la prestacin de servicios y la formacin. La misin de INTECO es aportar valor e innovacin a los ciudadanos, a las PYMES, a las Administraciones Pblicas y al sector de las tecnologas de la informacin, a travs del desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la Sociedad de la Informacin en nuestro pas, promoviendo adems una lnea de participacin internacional. Para ello, INTECO desarrolla actuaciones en las siguientes lneas: Seguridad Tecnolgica: INTECO est comprometido con la promocin de servicios de la Sociedad de la Informacin cada vez ms seguros, que protejan los datos personales de los interesados, su intimidad, la integridad de su informacin y eviten ataques que pongan en riesgo los servicios prestados. Y por supuesto que garanticen un cumplimiento estricto de la normativa legal en materia de TIC. Para ello coordina distintas iniciativas pblicas en torno a la seguridad de las TIC, que se materializan en la prestacin de servicios por parte del Observatorio de la Seguridad de la Informacin, el Centro Demostrador de Tecnologas de Seguridad, el Centro de Respuesta a Incidentes de Seguridad en Tecnologas de la Informacin (INTECO-CERT) y la Oficina de Seguridad del Internauta (OSI), de los que se benefician ciudadanos, PYMES, Administraciones Pblicas y el sector tecnolgico. Accesibilidad: INTECO promueve servicios de la Sociedad de la Informacin ms accesibles, que supriman las barreras de exclusin, cualquiera que sea la dificultad o carencia tcnica, formativa, etc., incluso discapacidad, que tengan sus usuarios. Y que faciliten la integracin progresiva de todos los colectivos de usuarios, de modo que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de la Informacin. Asimismo desarrolla proyectos en el mbito de la accesibilidad orientados a garantizar el derecho de ciudadanos y empresas a relacionarse electrnicamente con las AA.PP. Calidad TIC. INTECO promueve unos servicios de la Sociedad de la Informacin que cada vez sean de mayor calidad, que garanticen unos adecuados niveles de servicio, lo cual se traduce en una mayor robustez de aplicaciones y sistemas, un compromiso en la disponibilidad y los tiempos de respuesta, un adecuado soporte para los usuarios, una informacin precisa y clara sobre la evolucin de las funcionalidades de los servicios, y en
Anlisis de la presencia de malware en las descargas P2P
resumen, servicios cada vez mejores. En esta lnea impulsa la competitividad de la industria del Software a travs de la promocin de la mejora de la calidad y la certificacin de las empresas y profesionales de la ingeniera del software. Formacin: la formacin es un factor determinante para la atraccin de talento y para la mejora de la competitividad de las empresas. Por ello, INTECO impulsa la formacin de universitarios y profesionales en las tecnologas ms demandadas por la industria.
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar informacin sobre la construccin de documentos PDF accesibles puede consultar la gua disponible en la seccin Accesibilidad > Formacin > Manuales y Guas de la pgina http://www.inteco.es.
INDICE
INDICE 1. RESUMEN EJECUTIVO 1.1. 1.2. 2. Marco de referencia Resultados ms destacados del anlisis 2 4 4 5 8 8 9 10 11 11 12 19 20 22 NSRL Hashkeeper Motores AntiVirus Analizador de configuracin de INTECO: CONAN Virus Total (VT) Malware Hash Registry (MHR) Cruce con la Inteligencia Colectiva por Hash (ICH) Clculo dinmico de valoracin Analizador Multimedia 23 23 23 24 24 24 25 25 25 Objetivo del proyecto Objetivos secundarios y objetivos detallados Malware Redes P2P
INTRODUCCIN 2.1. Instituto Nacional de Tecnologas de la Comunicacin 2.1.1. 2.1.2. 2.2. 2.2.1. 2.2.2.
Estado del arte
3.
DISEO METODOLGICO 3.1. 3.2. Descargas y almacenamiento Anlisis 3.2.1. 3.2.2. 3.2.3. 3.2.4. 3.2.5. 3.2.6. 3.2.7. 3.2.8. 3.2.9. 3.2.10. 3.2.11. 3.2.12. 3.3.
Envo del fichero y anlisis en la Inteligencia Colectiva (ICFTP) 25 Analizador automtico de software de INTECO: JENNINGS 26 Anlisis manual de la muestra 26 26 27 27 27 27
Explotacin e interpretacin de resultados
4.
RESULTADOS DEL ANLISIS DE MALWARE EN REDES P2P 4.1. Puntos a considerar en la interpretacin de resultados 4.1.1. 4.1.2. Ficheros descargados Ficheros catalogados y analizados
Anlisis de la presencia de malware en las descargas de redes P2P
4.1.3. 4.2. 4.2.1. 4.2.2. 4.3. 4.3.1. 4.3.2. 4.3.3. 4.3.4. 4.3.5. 5. CONCLUSIONES 5.1. 5.2. 5.3. 5.4. 5.5. 6.
Descarga de utilidades para aplicaciones y juegos Descargas totales Ponderacin de las descargas por categora y red Volumen de malware encontrado Malware encontrado y tipos de descarga Popularidad del malware encontrado Valoracin del malware encontrado Caractersticas de los ficheros con malware encontrados
27 28 28 29 32 32 34 35 36 36 42 42 42 43 44 44 47
Resultados de descargas y catalogacin
Resultados de los anlisis sobre las descargas
Presencia de malware en redes P2P Riesgos asociados al uso de redes P2P Riesgos por tipos de descargas Tipos de ficheros con malware Hbitos de buen uso en redes P2P
GLOSARIO
1.
RESUMEN EJECUTIVO
Este informe presenta los resultados del anlisis de la presencia de malware 1 en las redes Peer to Peer (P2P 2 ) realizado INTECO a travs de su Centro de Respuesta a Incidentes de Seguridad en Tecnologas de la Informacin, INTECO-CERT. Mediante la ejecucin de este proyecto, INTECO ha desarrollado un trabajo de investigacin para evaluar y caracterizar en detalle el malware que se distribuye a travs de diversas redes P2P utilizadas en Espaa. Se ha utilizado un modelo representativo de los hbitos de uso de los usuarios espaoles en dichas redes con el fin de reflejar los posibles riesgos que stos deben afrontar. Para ello y dado el alto contenido tcnico de la labor, INTECO-CERT ha elaborado una metodologa especfica para acometer los dos aspectos ms sensibles del proyecto: La realizacin de las descargas a travs de las redes P2P, incluyendo la seleccin de las redes P2P a estudio, los clientes de descarga, la seleccin de los productos a descargar 3 y la construccin de la plataforma que d soporte a la realizacin de todas las descargas. El anlisis tcnico pormenorizado de los ficheros descargados, para el que se construido una plataforma de anlisis en diferentes fases y con diversas etapas cada fase. Todos los ficheros descargados recorren una batera de sistemas deteccin y diagnstico, para determinar si existe o no malware en cada uno ellos. ha en de de
Para la realizacin del presente anlisis se han descargado y analizado 3.032,22 GB (3 TB) que correspondan a ms de 1.114.800 ficheros descargados de redes P2P.
1.1.
MARCO DE REFERENCIA
El entorno actual relativo tanto al uso de las redes P2P como a la evolucin del malware se puede resumir en los siguientes aspectos: El desarrollo y propagacin de malware ha crecido de forma exponencial durante los ltimos 5 aos. Segn datos de Panda Security 4 o de McAfee 5 , en 2008 se ha detectado ms malware que en todos los aos anteriores juntos. Durante los dos ltimos aos el volumen de trfico de Internet en la zona sur europea, dentro de la cual se encuentra Espaa, procede mayoritariamente del uso de redes P2P, con unos valores que oscilan entre el 63,94% del volumen total en
Malware: denominacin comn para todo tipo de software malicioso Red P2P (peer to peer): nombre que se asigna a las redes de intercambio de archivos entre pares 3 Producto a descargar: engloba todas las descargas de software para una misma bsqueda 4 Panda Security (www.pandasecurity.com): compaa espaola de seguridad informtica fundada en 1990 centrada inicialmente en el desarrollo y comercializacin de software de antivirus 5 McAfee (www.mcafee.com): empresa especializada en productos para la seguridad informtica fundada en 1987 y con sede en Estados Unidos.
2
2007 al valor del 54,46% en los aos 2008 y 2009, segn datos de la empresa alemana Ipoque 6 en su estudio anual Internet Study. Tambin segn datos de dicho estudio, las redes P2P ms utilizadas en la zona sur de Europa durante el ao 2007 fueron la red eDonkey 7 , con un 57% del volumen del trfico relativo a descargas e intercambio de archivos, seguida de la red BitTorrent 8 con un 40%. Muy de lejos le sigue la red Gnutella 9 , con un 2,23%. La tendencia se mantiene en 2008 y 2009 aunque ms igualada entre las dos mayoritarias, , con un 48,94% de BitTorrent, y un 47,17% de eDonkey, seguidos de lejos por Gnutella que baja al 1,66%. Las redes P2P son un mecanismo idneo para la propagacin de malware ya que se utilizan para intercambio de archivos entre usuarios annimos, de forma que es sencillo introducir software malicioso en ficheros a compartir. Adems, la dudosa legalidad de algunas descargas realizadas a travs de P2P, unido al carcter distribuido y transnacional de estas redes hacen complejas tanto la identificacin de la fuente original como la exigencia de responsabilidades ante una descarga maliciosa.
1.2.
RESULTADOS MS DESTACADOS DEL ANLISIS
Los resultados ms significativos obtenidos en el proyecto, y que sern analizados con mayor detalle y profundidad a lo largo del informe (especialmente en el captulo 4 de Resultados del anlisis de malware en redes P2P), son los siguientes: La cantidad de descargas comprometidas con algn tipo de malware obtenido sobre el total de ficheros descargados ha sido de un 9,7%, lo que significa prcticamente una de cada diez descargas realizadas. La categora de descargas potencialmente ms peligrosas de enmascarar o esconder malware en las redes P2P son principalmente las de aplicaciones o software, donde se cumple que el 31,93% de las aplicaciones descargadas contienen algn tipo de malware. A continuacin le siguen los juegos, con un 16,33% de malware sobre todas las descargas de juegos efectuadas. Para el resto de descargas de audio, vdeo y texto/imgenes se han detectado el 9,91%, del cual el 2,13% y el 1,03% respectivamente tenan algn tipo de contenido malicioso.
Ipoque (www.ipoque.com): compaa alemana especializada en productos de monitorizacin y control de redes informticas 7 eDonkey: red P2P de intercambio de archivos basada en el uso de servidores. 8 BitTorrent: red P2P para el intercambio de archivos basada en el uso del protocolo con mismo nombre 9 Gnutella: red P2P de intercambio de archivos basada en un protocolo totalmente descentralizado
Figura 1: Descargas realizadas por categora de contenidos
Fuente: INTECO
El malware se concentra en las utilidades para poder instalar y utilizar software que no es de utilizacin libre sin licencia (cracks 10 , generadores de nmeros de serie 11 , etc.). Si no se considera la descarga aparte de estas utilidades, el porcentaje de malware detectado disminuye significativamente al valor de un 4,6% sobre las descargas realizadas. Adems, en la gran mayora de este 4,6% restante, el cdigo malicioso detectado est asociado a utilidades de este tipo ya incorporadas en el interior de la propia descarga del producto.
En lo que respeta a tipos de ficheros descargados, los archivos con malware se concentran en ficheros ejecutables, con un 87,2%, seguidos por los de vdeo, con el
Crack: aplicacin informtica desarrollada para modificar el funcionamiento original de un programa, usada generalmente para activar software o saltarse protecciones o restricciones de uso impuestas por licencia. 11 Generador de nmeros de serie: (keygen, key generator): programa informtico para la generacin de claves de registro vlidas para aplicaciones que necesitan de una licencia
10
8,2%. El resto de detecciones corresponde a ficheros de audio, y texto/imgenes, confirmando que existen ficheros manipulados con malware de cualquier tipo. La mayor parte de las ocasiones, un 76,34%, los ficheros con malware no se descargan directamente sino que se encuentran encapsulados dentro de descargas de ficheros empaquetados 12 . La red que ha resultado ms peligrosa para su uso en descargas P2P ha sido Gnutella, en la que se ha detectado que el 50,4% de las descargas realizadas estaban manipuladas con malware. Le sigue eDonkey/Kad, con un 10,3% de descargas comprometidas (con valores muy dispares entre s: el 15,8% en KAD y el 4,85% en eDonkey). BitTorrent ha resultado ser la ms segura, con slo un 1,7% de descargas con malware. Las redes P2P centralizadas que utilizan servidores o directorios centrales (eDonkey, BitTorrent) para la gestin de las descargas se muestran ms seguras que las redes ms descentralizadas (Kad, Gnutella), donde la comunicacin es ms directa entre los nodos. En el caso de las redes centralizadas, es adems muy importante utilizar siempre los servidores o directorios de ms reputacin o recomendados por fuentes oficiales confiables, pudiendo aumentar significativamente las descargas comprometidas en caso de no hacerlo (p. ej. hasta cerca del 100% en caso de utilizar servidores eD2K falsos o fraudulentos).
Figura 2: Porcentajes de descargas con malware por red P2P
Malware en redes P2P
Fuente: INTECO
12 Ficheros empaquetados: ficheros que se caracterizan por ser contenedores de otros ficheros (como archivos comprimidos, imgenes de CD/DVD, archivos de instalacin, etc.), es decir, dentro de ellos estn agrupados uno o varios ficheros.
2.
INTRODUCCIN
Este informe es el resultado de un trabajo de investigacin desarrollado por INTECO a travs de su Centro de Respuesta a Incidentes de Seguridad en Tecnologas de la Informacin, INTECO-CERT. La finalidad del proyecto desarrollado ha sido la evaluacin y la caracterizacin del malware que se distribuye a travs de las redes P2P de intercambio de archivos, en particular para las redes y hbitos utilizados de forma mayoritaria por los usuarios espaoles.
2.1.
INSTITUTO NACIONAL COMUNICACIN
DE
TECNOLOGAS
DE
LA
El Instituto Nacional de Tecnologas de la Comunicacin (INTECO, www.inteco.es), sociedad estatal promovida por el Ministerio de Industria, Turismo y Comercio, es una plataforma para el desarrollo de la Sociedad del Conocimiento a travs de proyectos del mbito de la innovacin y la tecnologa. Su objetivo es doble: por una parte, contribuir a la convergencia de Espaa con Europa en la Sociedad de la Informacin y, de otra parte, promover el desarrollo regional, enraizando en Len un proyecto con vocacin global. La misin de INTECO es impulsar y desarrollar proyectos de innovacin relacionados con el sector de las Tecnologas de la Informacin y la Comunicacin (TIC) y en general, en el mbito de la Sociedad de la Informacin, que mejoren la posicin de Espaa y aporten competitividad, extendiendo sus capacidades tanto al entorno europeo como al latinoamericano. As, el Instituto tiene la vocacin de ser un centro de desarrollo de carcter innovador y de inters pblico a nivel nacional que constituir una iniciativa enriquecedora y difusora de las nuevas tecnologas en Espaa en clara sintona con Europa. El objeto social de INTECO es la gestin, asesoramiento, promocin y difusin de proyectos tecnolgicos en el marco de la Sociedad de la Informacin. Para ello, INTECO desarrollar actuaciones, en las siguientes lneas estratgicas: Accesibilidad e inclusin social, basada en polticas de accesibilidad y equidad de todos los ciudadanos ante las opciones de la Sociedad de la Informacin. INTECO desarrolla proyectos en al mbito de la accesibilidad orientados a garantizar el derecho de ciudadanos y empresas a relacionarse electrnicamente con las Administraciones Pblicas mediante el Centro de Referencia en Accesibilidad y Estndares Web. Calidad del Software: promocin de la competitividad de la industria del Software a travs de la promocin de la mejora de la calidad y la certificacin de las empresas y profesionales del desarrollo. Formacin: la formacin es un factor determinante para la atraccin de empresas. Por ello, INTECO impulsa la formacin de universitarios y profesionales en las tecnologas ms demandadas por la industria.
Seguridad Tecnolgica: establecimiento de las bases de coordinacin de distintas iniciativas pblicas en torno a la seguridad informtica, mediante proyectos como el Observatorio de la Seguridad de la Informacin, el Centro Demostrador de Tecnologas de Seguridad, el Centro Nacional de Respuesta a Incidentes de Seguridad en Tecnologas de la Informacin (INTECO-CERT) y la Oficina de Seguridad del Internauta.
Dentro de la lnea estratgica de Seguridad Tecnolgica, INTECO dispone del INTECOCERT (Computer Emergency Response Team, Equipo de Respuesta ante Emergencias Informticas, cert.inteco.es), como servicio preventivo y reactivo ante incidencias de seguridad en los Sistemas de Informacin de pymes y ciudadanos. El INTECO-CERT sirve de apoyo al desarrollo del tejido industrial nacional y ofrece los servicios clsicos de un Centro de Respuesta a Incidentes, dando soluciones reactivas a incidentes informticos, prevencin frente a posibles amenazas e informacin, concienciacin y formacin en materia de seguridad a pymes y ciudadanos espaoles. Los objetivos y misin del CERT se pueden, resumir en los siguientes: 1. Proporcionar informacin clara y concisa acerca de la tecnologa, su utilizacin y la seguridad que mejore su comprensin. 2. Concienciar a las pymes y ciudadanos de la importancia de contemplar y abordar adecuadamente todos los aspectos relacionados con la seguridad informtica y de las redes de comunicacin. 3. Proporcionar guas de buenas prcticas, recomendaciones y precauciones a tener en cuenta para mejorar la seguridad. 4. Proporcionar mecanismos y servicios de divulgacin, formacin, prevencin y reaccin ante incidencias en materia de seguridad de la informacin. 5. Actuar como enlace entre las necesidades de pymes y ciudadanos y las soluciones que ofertan las empresas del sector de la seguridad de las tecnologas de la informacin.
2.1.1.
Objetivo del proyecto
En los ltimos aos se est observando un importante incremento en la aparicin de nuevas amenazas en forma de malware. A su vez, la utilizacin de las redes P2P es cada vez ms generalizada y es el principal consumidor de los recursos de banda ancha en Internet. Sin entrar en la componente legal de la problemtica de las descargas en redes P2P, con este anlisis se pretende evaluar y caracterizar la distribucin de malware a travs de las descargas realizadas distintas redes P2P. El anlisis se focaliza hacia el malware desarrollado para sistemas operativos Microsoft Windows en sus diversas versiones, puesto que es el usado mayoritariamente por los usuarios informticos en Espaa. Este dato es corroborado por fuentes como el estudio de mercado sobre sistemas operativos realizado peridicamente por NetApplications que refleja que, a nivel mundial, prcticamente el 91% de las mquinas tienen instalado un S.O. Windows, como se observa en la Figura 3.
Particularizando para los usuarios domsticos espaoles, la Tercera Oleada del estudio sobre la seguridad de la informacin y eConfianza 13 publicada por INTECO, indica que el 98,4% de los equipos de usuarios espaoles auditados estaban basados en un sistema operativo Microsoft Windows, seguidos por un 1,1% de Linux y un 0,5% de Mac.
Figura 3: Cuota de mercado de los Sistemas Operativos (en porcentaje)
Fuente: NetApplications
2.1.2.
Objetivos secundarios y objetivos detallados
El desarrollo del anlisis sobre la distribucin de malware a travs de las descargas en redes P2P permitir tambin dar respuesta a cuestiones especficas como las siguientes: Son las redes P2P un mecanismo o canal de importancia para la distribucin de malware? Qu riesgo conlleva la descarga de ficheros a travs de las redes P2P? Qu tipo de contenidos son los ms peligrosos a la hora de ser descargados a travs de las redes P2P? Existe alguna relacin entre las descargas de software protegido por licencia y la distribucin de malware por las redes P2P? Hay determinados orgenes de descargas en las redes P2P que son ms peligrosos que otros?
13 Estudio sobre la incidencia y confianza de los usuarios de Internet, publicado por INTECO, basado en la medicin peridica de los episodios de riesgo individual en una muestra de ms de 3.000 hogares
10
Adems, dentro del presente proyecto se han abordado otra serie de consideraciones relacionadas como las que se describen a continuacin: Conocer los hbitos de uso de las redes P2P en Espaa: Qu redes son las ms utilizadas tanto actualmente como histricamente. Qu tipo de bsquedas son las ms populares y qu tipo de archivos son los ms compartidos. Bajo qu criterios se realizan las bsquedas y las descargas.
Identificar cules son los tipos de malware ms difundidos a travs de las redes P2P. Identificar las buenas prcticas de uso de cara a minimizar el riesgo en el uso de estas redes de intercambio de ficheros.
2.2.
2.2.1.
ESTADO DEL ARTE

Malware
La palabra malware proviene de la agrupacin de las palabras malicious software (software malicioso). Una aproximacin generalista lo definira como un programa que se instala en un sistema informtico sin el conocimiento del usuario, con el fin de causar un perjuicio al sistema husped o al usuario de dicho sistema afectado, y que en ocasiones puede aportar un beneficio al creador/difusor del malware. En la actualidad la gran mayora de las muestras detectadas atienden al segundo objetivo perseguido, siendo sta la razn de mayor peso en la creacin y difusin de cdigo malicioso. El incremento del volumen de malware en la red ha sido exponencial en los ltimos aos. Los fabricantes de antivirus y software de seguridad estudian en un ao ms malware que la suma de todos los aos anteriores, siendo esta la tendencia actual y probablemente futura. Segn Panda Security, en 2008 recolectaron ms de 15 millones de muestras de malware, ms que en todos los aos anteriores juntos (ver Figura 4). Esta progresin en el volumen de malware se puede observar tambin en el informe anual McAfee Virtual Criminology Report de McAfee que refleja el aumento de las variantes principales de malware durante los ltimos aos (ver Figura 4). Dentro del documento del Anexos, el Anexo I: Malware. Historia y clasificacin se recoge una descripcin detallada de la evolucin histrica del malware, as como una clasificacin de los distintos tipos existentes.
11
Figura 4: Estadsticas del aumento anual del volumen de malware
Fuentes: Panda Security y McAfee
La incidencia del malware en los equipos personales de los usuarios espaoles es considerable, como refleja el Estudio sobre la seguridad de la informacin y la e-Confianza del 3er trimestre de 2009 de INTECO. Segn este estudio, durante 2009, el nivel de equipos comprometidos con aplicaciones no deseadas se mantiene en torno al 60% de los equipos analizados, dato que se reduce hasta valores superiores al 40% de media al considerar slo los equipos con cdigo malicioso de alto riesgo (comprometidos con aplicaciones que pueden causar perjuicios relevantes al usuario: robo o prdida de datos, utilizacin del equipo por terceros con fines no legales, perjuicio econmico, etc.).
2.2.2.
2.2.2.1.
Redes P2P
Introduccin
Una red informtica P2P o entre iguales (en ingls peer-to-peer) se refiere a una red de intercambio de archivos que no tiene clientes ni servidores fijos, sino una serie de nodos que se comportan simultneamente como clientes y como servidores de los dems nodos de la red. Las redes de ordenadores P2P optimizan el uso de ancho de banda que acumulan de los dems usuarios en una red, obteniendo como resultado mucho ms rendimiento en las conexiones y transferencias que otros mtodos centralizados convencionales, donde una cantidad relativamente pequea de servidores provee el total de ancho de banda y recursos compartidos para un servicio o aplicacin.
12
Cualquier nodo puede iniciar, detener o completar una transferencia. La eficacia de los nodos en el enlace y transmisin de datos puede variar segn su configuracin local o routers 16 , etc.), velocidad de proceso, (cortafuegos 14 , NAT 15 , encaminadores disponibilidad de ancho de banda de su conexin a la red y capacidad de almacenamiento en disco. El uso ms comn de las redes P2P es el intercambio de archivos, convirtindose as en un medio ideal para la propagacin de malware, si bien existen otros usos como la voz sobre IP 17 , la difusin de radio y televisin va Internet o las redes de almacenamiento. En funcin de su arquitectura, se puede hacer una clasificacin de los tipos de redes P2P: Redes P2P centralizadas: en las que todas las transacciones se hacen a travs de un nico servidor que hace de enlace entre nodos donde se almacenan los contenidos. Es el caso de Napster, pionera en el intercambio de ficheros a nivel de usuario. Redes P2P descentralizadas: no requieren de una gestin centralizada, sino que los propios usuarios son a la vez nodos de esas conexiones y tambin los almacenes de esa informacin. Todas las comunicaciones son directamente de usuario a usuario con ayuda de un nodo (otro usuario) que permite enlazar esas comunicaciones. Gnutella y Kademlia son ejemplos de este tipo de red P2P. Redes P2P hbridas: existe uno o varios servidores centrales que sirven como concentradores que administran los recursos de comunicacin entre nodos, pero sin hacer de almacn de contenidos. En el caso de que esos servidores no estn disponibles, los nodos pueden seguir en contacto a travs de una conexin directa entre ellos mismos. Este es el caso de BitTorrent y eDonkey. Redes P2P como medio de difusin de malware
2.2.2.2.
Estudios como Internet Study 2007, realizado por la entidad alemana Ipoque, ponen de manifiesto que actualmente las redes P2P son responsables en Europa de la mayor parte del trfico registrado en Internet (el 69,25% del total en Alemania, el 83,46% en Europa del Este, y un 63,94% en el sur de Europa, en el que se incluye Espaa). En estos datos se puede observar como en Espaa, y Europa en general, las redes P2P son responsables de mayor trfico que la suma de todas las dems aplicaciones. La tendencia mayoritaria se mantiene en los aos 2008 y 2009 donde el Internet Study 2008/2009 de Ipoque, marca en un 54,46% el uso de las redes P2P en el sur europeo.
Cortafuegos: parte de un sistema o una red que est diseado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. 15 NAT: Network Address Translation (Traduccin de Direcciones de Red), mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes cuyas direcciones finales son incompatibles o no se quieren revelar. 16 Encaminador (router): dispositivo para la interconexin de redes informticas que permite asegurar el enrutamiento de paquetes entre redes o determinar la ruta que debe tomar el paquete de datos. 17 IP: Internet Protocol (Protocolo de Internet), protocolo no orientado a conexin usado tanto por el origen como por el destino para la comunicacin de datos a travs de una red de paquetes conmutados.
14
13
Como principal y mayoritaria fuente de trfico en Internet las redes P2P son, por tanto, un mecanismo ideal para conseguir una gran difusin de aplicaciones de software malicioso. La Tercera Oleada del Estudio sobre la seguridad de la informacin y eConfianza publicada por INTECO constataba ya en el ao 2007 que uno de los principales uso de Internet en Espaa son las redes P2P superando el 60%. Este dato se ha visto incrementado y supera el 75% en las estadsticas recogidas en dicho Estudio en el tercer trimestre de 2009. La Tercera Oleada del Estudio sobre la seguridad de la informacin y eConfianza realizaba un anlisis detallado de las prcticas de los usuarios de P2P, reflejando en particular el dato sobre el nmero de usuarios que dejan su ordenador diariamente descargando sin ninguna vigilancia (casi un 50% -ver Figura 5-), y por tanto evidenciando el riesgo que esto supone de propagacin de malware a travs de estas redes.
Figura 5: Porcentaje de Usuarios que dejan el ordenador descargando sin vigilancia (en 2007)
Fuente: INTECO
A todo esto hay que aadir el hecho de que el uso de las redes P2P para la distribucin de malware es difcil de perseguir y atajar. La localizacin de la fuente inicial del malware en este tipo de redes distribuidas globalmente, donde los ficheros pueden haber dado varios saltos desde su origen inicial, es complicada. Adems, muchas descargas que se realizan a travs de las redes P2P son ya de por s de dudosa legalidad, por lo que resulta muy complejo para sus usuarios abordar una exigencia de responsabilidades tras verse comprometido en estos casos. Por si fuera poco, las mquinas desde las que se sirven o
Anlisis de la presencia de malware en las descargas de redes P2P 14
realizan las descargas en ocasiones estn situadas en pases donde se pueden amparar en legislaciones y autoridades muy permisivas y poco exigentes en materia de delitos digitales. Por todo esto, las redes P2P representan un mecanismo que puede ser muy til para la distribucin, intencionada o no, de malware. 2.2.2.3. Hbitos de uso redes P2P en Espaa
En la actualidad existen multitud de redes P2P utilizadas por internautas para intercambio y descarga de ficheros. De hecho, muchos de los clientes utilizados son capaces de conectarse y descargar a la vez a ms de una red P2P. En conjunto, entre todos los clientes P2P, se utilizan fundamentalmente las siguientes redes P2P: Kademlia eDonkey FastTrack Soulseek BitTorrent Gnutella Gnutella2 18 Ares Galaxy
Sin embargo, la realidad del uso y trfico reales en las redes P2P es bien distinta. De nuevo acudiendo al estudio Internet Study 2007 realizado por la empresa alemana Ipoque, se observa que en la regin del sur de Europa, en la que se encuentra Espaa, la red P2P dominante es eDonkey, con un 57% del trfico, seguido de BitTorrent, con un 40% (en general, en todo el mundo entre estas dos acumulan la mayor parte del trfico P2P, con mucha diferencia), y muy lejos el resto de redes, encabezadas por Gnutella con un 2,23%.
18 Gnutella2: protocolo creado en 2002 por Michael Stokes basado en el protocolo Gnutella pero independiente del mismo
15
Figura 6: Trfico (en porcentaje) por red P2P y zona geogrfica
Fuente: Ipoque
La tendencia se mantiene durante los aos 2008 y 2009, segn Internet Study 2008/2009 de Ipoque, concentrando las dos redes mayoritarias prcticamente el total de las descargas P2P, si bien es cierto que la red BitTorrent registra un ligero incremento, hasta el 48,94% en detrimento de eDonkey que baja hasta el valor 47,17%, mientras que Gnutella las sigue a bastante distancia con un 1,66%.
16
Figura 7: Programas utilizados (en porcentaje) para el intercambio de archivos (en 2007)
Fuente: INTECO
En lo que a los usuarios espaoles se refiere, de nuevo recurriendo al anlisis detallado de las prcticas de los usuarios de P2P realizado en la Tercera Oleada del Estudio sobre la seguridad de la informacin y eConfianza publicada por INTECO, se recogen los clientes ms utilizados para la descarga en redes P2P (ver Figura 7). De los cinco ms utilizados, cuatro pueden descargar de las redes eDonkey y/o Bittorrent. Ares, con capacidad de conexin a varias redes P2P, y Limewire son compatibles con Gnutella. Para el presente anlisis se han realizado y analizado descargas de las tres redes mayoritarias en el mbito geogrfico en el que se encuentra Espaa: eDonkey, BitTorrent y Gnutella, generando as un muestreo de descargas sobre las redes ms utilizadas (ms del 99% del trfico P2P, segn el estudio de iPoque). 2.2.2.3.1. Red Kad
La red Kad es una red de intercambio P2P que usa una variacin del protocolo Kademlia utilizada por el cliente eMule desde la versin oficial 0.42. Kad es una red basada en el uso de nodos, es decir, los propios usuarios actuarn como nodos de la red. Esto supone un contraste en arquitectura de redes comparado con la red inicial eDonkey, la cual se basaba en servidores.
17
El principal cliente de la red eDonkey es la aplicacin denominada eMule, cuya primera versin sali a la luz en el ao 2002. La versin oficial de este cliente es utilizada por el 80% del total de usuarios de la red eDonkey. Adems, por tratarse de software libre, prcticamente el resto de usuarios de esta red utiliza clientes desarrollados a partir de la versin de eMule oficial. El peso de este cliente en la red eDonkey es tal que, en algunos mbitos, la red eDonkey es denominada red eMule. En cuanto a su utilizacin, la mayora de usuarios conectados a servidores de eDonkey tambin estn conectados a la red Kad, puesto que ambas redes se gestionan desde el mismo cliente. Los clientes de Kad normalmente consultan nodos conocidos de la red eDonkey para encontrar un nodo inicial en la red Kad. Las bsquedas y las descargas se hacen de manera indistinta en una y otra red. La poltica recomendada desde los foros oficiales del proyecto eMule va dirigida a potenciar el uso compartido de las dos redes, aunque se aprecia una constante evolucin hacia un mayor uso de Kad en detrimento del uso se servidores eDonkey. Bajo esta premisa, para este proyecto se han considerado ambas redes, eDonkey y Kad, englobadas dentro del anlisis de la red eDonkey/Kad.
18
3.
DISEO METODOLGICO
Para el desarrollo de este proyecto se ha utilizado una rigurosa metodologa diseada especficamente para este caso, que garantice la consistencia del anlisis en los siguientes aspectos: El reflejo del comportamiento tpico de los perfiles mayoritarios de usuarios espaoles de las redes P2P. La mxima fiabilidad y exactitud en los anlisis de las descargas realizadas, para identificar la presencia o no de malware.
Los dos grandes bloques operativos en los que se ha desarrollado el proyecto (ver Figura 8) son: Descargas y almacenamiento: comprende toda la fase de elaboracin de los listados de descargas a realizar, en base a criterios de popularidad y hbitos de usuarios (ver apartado 3.1 Descargas y almacenamiento). Tambin incluye la propia descarga de la seleccin realizada desde los clientes de las diferentes redes P2P. El objetivo de esta fase es disponer de un repositorio de descargas almacenadas y ya catalogadas para su posterior anlisis en busca de malware. Anlisis: comprende toda la batera de pruebas y procesos que se realizan sobre cada fichero descargado, as como sobre los archivos incluidos en los ficheros descargados cuando estos son empaquetados (ver apartado 3.2 Anlisis). El objetivo de esta fase es analizar minuciosamente cada fichero y clasificarlo en funcin de la presencia o no de malware en el mismo.
Tras la ejecucin de estas dos fases se ha abordado la explotacin e interpretacin de los resultados obtenidos, como se detalla en el captulo 4 Resultados del anlisis de malware en redes P2P.
Figura 8: Fases de desarrollo del proyecto
Fuente: INTECO
19
El diseo metodolgico detallado que se ha seguido en este proyecto se encuentra descrito en el documento de Anexos, en el apartado Anexo II: Diseo metodolgico.
3.1.
DESCARGAS Y ALMACENAMIENTO
El esquema general del diseo de la plataforma de descarga y almacenamiento es el reflejado en la siguiente ilustracin:
Figura 9: Arquitectura de la plataforma de descargas, almacenamiento y catalogacin
Fuente: INTECO
Esta fase est diseada bajo el criterio general de reflejar un comportamiento similar al de los usuarios de las redes P2P. Esto significa que tanto la eleccin de las propias descargas a realizar, como los volmenes de cada tipo de descarga, e incluso los clientes P2P a utilizar, estn supeditados a las estimaciones obtenidas relativas al comportamiento mayoritario de los usuarios de redes P2P en Espaa.
Anlisis de la presencia de malware en las descargas de redes P2P 20
As, el volumen de descargas a realizar de las tres redes P2P se ha seleccionado de modo que siga unos porcentajes similares a los indicados en el apartado 2.2.2.3 Hbitos de uso redes P2P en Espaa. De igual forma, los servidores o directorios desde los que se realizan las descargas se han escogido en base a los mismos criterios de popularidad. Consecuentemente, tambin la eleccin de los productos de descarga se ha realizado siguiendo criterios de mxima popularidad, buscando siempre los productos ms descargados en cada momento. Para ello se han dividido los productos en funcin de cinco categoras: audio, vdeo, juegos, aplicaciones/sistemas operativos y texto/imgenes. Para cada categora se ha elaborado una lista de popularidad de descargas en funcin de la informacin obtenida de diversas fuentes, procedindose a descargar los productos ms populares de cada lista, que sern los ms buscados, descargados y compartidos del momento. El nmero de descargas realizadas vara en funcin de la categora del producto, puesto que adems se respetan unos porcentajes estimados en funcin del comportamiento de los usuarios: Aplicaciones y sistemas operativos: del 5-15% del total descargado. Juegos: 20-25% del total descargado. Ficheros de vdeo: pelculas, series de TV, documentales, etc. Del 55 al 65% del total descargado. Ficheros de audio: msica, etc. Del 5 al 10% del total descargado. Ficheros de texto e imgenes: libros, manuales, fotografas, etc. Menos del 5% en total.
En el caso de las categoras de juegos y aplicaciones/sistemas operativos, se han descargado tambin utilidades asociadas a cada producto, como cracks, parches o generadores de nmeros de serie, en caso de que el producto estuviera protegido por licencia. Este tipo de aplicaciones estn desarrolladas para poder utilizar software bajo licencia sin necesidad de adquirirla. Una vez finalizada una descarga desde un cliente P2P, se procede al almacenamiento de la misma y la catalogacin en la base de datos del proyecto, recogiendo las caractersticas ms significativas del fichero descargado para su tratamiento posterior. En el caso de que la descarga sea un fichero empaquetado se procede adems a la extraccin recursiva de todos los ficheros contenidos tanto en el fichero empaquetado como en los sub-ficheros extrados. Todos los ficheros y sub-ficheros extrados han sido catalogados en la base de datos para su posterior anlisis. La descripcin detallada de la definicin y desarrollo de esta fase as como la seleccin de servidores y productos a descargar se puede consultar en el documento de Anexos, en el apartado 2.2 Descargas, almacenamiento y catalogacin del Anexo II: Diseo metodolgico.
21
3.2.
ANLISIS
Se ha diseado y puesto en funcionamiento una plataforma de anlisis que tiene como objetivo clasificar como malware o goodware cada uno de los ficheros que han sido catalogados. La plataforma se ha construido de forma segmentada, compuesta por una batera de procedimientos y herramientas de anlisis y deteccin que sirven para que, de forma automtica o manual, cada fichero sea finalmente clasificado de forma concluyente en base a si contiene o no malware. As, cada fichero a analizar muestra - pasa por diversas etapas hasta obtener el resultado final (ver Figura 10).
Figura 10: Desarrollo del anlisis de las muestras
Fuente: INTECO
Se han clasificado como malware aquellos ficheros en los que se detecte un contenido malicioso, y como goodware aquellos que se consideren limpios o legtimos. A continuacin se describen cada una de las etapas que componen la plataforma de anlisis. La explicacin ms detallada de la fase de anlisis y las etapas que la componen se puede consultar en el documento de Anexos, en el apartado 2.3 Anlisis del Anexo II: Diseo metodolgico.
22
3.2.1.
NSRL
National Software Reference Library (NSRL) es una base de datos mantenida por el Instituto Nacional de Estndares y Tecnologa (NIST 19 ) de Estados Unidos con informacin sobre firmas digitales (hashes 20 ) de aplicaciones software conocidas, generalmente englobando los ficheros de instalacin de esas aplicaciones. Para cada uno de los ficheros catalogados se realiza una consulta de su hash a la NSRL, de forma que si el fichero est en la base de datos se identifica y clasifica de forma inequvoca.
3.2.2.
Hashkeeper
Hashkeeper es una base de datos creada por el National Drug Intelligence Centre del Departamento de Justicia de los Estados Unidos que contiene informacin sobre hashes de ficheros conocidos. Es similar y complementaria a la NSRL, con la diferencia de que esta base de datos est ms orientada a los ficheros residentes en los sistemas una vez instaladas las aplicaciones de software conocidas. De la misma forma que con la NSRL, si un hash de un fichero catalogado se encuentra en esta base de datos, la muestra se identifica y clasifica de forma inequvoca.
3.2.3.
Motores AntiVirus
Esta etapa de la plataforma de anlisis est compuesta por una batera de herramientas antivirus (AVs) que analizan cada una de las muestras. Si el nmero de detecciones positivas 21 es significativo la muestra ha sido clasificada como malware. Los antivirus que conforman esta etapa son: ClamAV Avast Bit Defender Avira F-Secure NOD32
NIST (National Institute of Standards and Technology): agencia del Departamento de Comercio de los Estados Unidos cuya misin es promover la innovacin y la competencia industrial en Estados Unidos mediante avances en metrologa, normas y tecnologa. El NIST dispone de otras fuentes de datos de referencia que son de amplia reputacin en la red, tales como la base de datos de vulnerabilidades (NVD) segn el estndar CVE. Esta base de datos es la utilizada tambin por INTECO-CERT para la catalogacin de vulnerabilidades, siendo INTECO la entidad responsable de su mantenimiento en castellano. 20 Hash: valor numrico calculado mediante un algoritmo matemtico que permite obtener un valor resumen de unos datos o fichero. Este valor identifica unvocamente unos datos o un fichero. Hay varios tipos de hash segn el algoritmo aplicado. En el proyecto se contemplan los calculados segn los algoritmos MD5 y SHA1. 21 Deteccin positiva: clasificacin como malware por parte de un antivirus o herramienta de deteccin.
19
23
Norman Kaspersky
3.2.4.
Analizador de configuracin de INTECO: CONAN
CONAN (Configuration Analisys o Analizador de Configuracin) es una herramienta de anlisis de configuracin del sistema desarrollada por INTECO a travs de su INTECOCERT, que proporciona informacin global sobre el estado de seguridad del sistema y particular sobre la clasificacin de ficheros recogidos en su base de datos. En funcin de la informacin sobre ficheros ejecutables del sistema y datos de configuracin se puede generar una valoracin positiva o negativa que, junto con el estado de las actualizaciones, generan una nota sobre el estado general de seguridad del sistema. La inteligencia adquirida por CONAN ha sido utilizada en el mbito del proyecto para consultar los hashes de las muestras de forma que, si el analizador los reconoce, se identifican y clasifica de forma inequvoca.
3.2.5.
Virus Total (VT)
VT o Virus Total es un servicio online de anlisis de archivos en tiempo real y consulta de hashes sobre anlisis ya realizados, basado en una amplia batera de herramientas antivirus (ms de 40) proporcionado por Hispasec Sistemas. Mediante la consulta de hashes a este servicio se va a obtener un informe del anlisis de la muestra con el porcentaje de detecciones positivas que se reportan de entre toda la batera de antivirus. Si el porcentaje obtenido ha superado un valor umbral establecido, la muestra ha sido clasificada como malware. La ponderacin de ese valor lmite se ha definido con el fin de asumir el mnimo nmero de falsos positivos 22 .
3.2.6.
Malware Hash Registry (MHR)
MHR o Malware Hash Registry es otro servicio online de consulta de hashes basado en anlisis de ficheros mediante una batera de Antivirus proporcionado por Team Cymru 23 . La forma de operar en esta etapa es similar a la anterior. El valor obtenido de la consulta se compara con un umbral establecido tal que si se supera dicho valor la muestra ha sido clasificada como malware.
Falso positivo: catalogacin como malware errneamente por parte de un antivirus de una muestra goodware Team Cymru (www.team-cymru.org): organizacin sin nimo de lucro con sede en Illinois perteneciente al Gobierno Federal de los EE.UU dedicada a la seguridad internauta.
23
22
24
3.2.7.
Cruce con la Inteligencia Colectiva por Hash (ICH)
En esta etapa se realiza una consulta offline de hashes a la Inteligencia Colectiva (IC) 24 de Panda Security. Los hashes son consultados a la IC en bloques enviados en modo asncrono. En los resultados que son devueltos por la IC se detalla si cada muestra ha sido reconocida por el sistema o no, y en caso de haber sido reconocida es identifica y clasificada.
3.2.8.
Clculo dinmico de valoracin
En esta etapa se revisan aquellas muestras que en cada una de las etapas mencionadas anteriormente no han sido concluyentes por s mismas. Se ha definido un criterio acumulativo y ponderado en funcin de los resultados, tomados en conjunto, de VT, MHR, motores antivirus e ICH. De esta forma se consigue que, muestras que no han llegado al umbral definido como concluyente en alguna de las fases anteriores, pero cuyos resultados estn prximos a los lmites que se han definido como malware, se marquen como tal al tener en cuenta, de forma acumulativa y ponderada, los resultados de varias etapas anteriores a la vez.
3.2.9.
Analizador Multimedia
El Analizador Multimedia es un analizador de contenidos de audio y vdeo desarrollado exclusivamente para este proyecto con la colaboracin de Panda Security. Esta herramienta detecta, exclusivamente en ficheros de vdeo y audio, la presencia cdigo malicioso y de exploits para vulnerabilidades 25 en las aplicaciones que los reproducen. Todo fichero de audio y vdeo que ha sido detectado y contiene algn tipo de cdigo malicioso ha sido clasificado como infectado.
3.2.10.
Envo del fichero y anlisis en la Inteligencia Colectiva (ICFTP)
En esta etapa se realiza un envo asncrono de las muestras que hayan llegado a este paso sin una clasificacin concluyente a la plataforma de Inteligencia Colectiva (IC) de Panda Security. Mediante el envo fsico del fichero, la plataforma IC aplica su batera de algoritmos, herramientas y sistemas de deteccin obtenindose un resultado para esa muestra. Los diversos mdulos de anlisis de la plataforma IC recaban informacin sobre la fuente origen del fichero, el comportamiento y estructura del mismo, el contexto y la informacin que proporcionan otras herramientas de anlisis.
Inteligencia Colectiva (IC): nuevo concepto de antivirus desarrollado por Panda Security orientado a la entrega de conocimiento va Internet mediante una base de datos online en tiempo real donde se almacenan la mayora de los ficheros de firmas 25 Vulnerabilidad: error de software o diseo de un programa que puede permitir la ejecucin de acciones ilegtimas sobre el mismo o el sistema que lo soporta.
24
25
En los resultados devueltos de ICFTP, al igual que en el caso de ICH, se detalla el resultado del anlisis en la plataforma para cada muestra, y en caso de ser concluyente es clasificada de forma definitiva.
3.2.11.
Analizador automtico de software de INTECO: JENNINGS
Jennings es un analizador automtico de software desarrollado por INTECO a travs de su INTECO-CERT que realiza anlisis estructural y dinmico en ejecucin de las muestras obtenidas a travs de diversas fuentes y muestra la informacin ms relevante de dichos anlisis, tales como las conexiones que establece, los archivos y entradas en el registro de Windows que se crean, borran y modifican, o los procesos que lanzan. Desde INTECO-CERT se ha construido una rplica del analizador Jennings, para el anlisis de aquellas muestras que, siendo ejecutables, han llegado a esta etapa sin una clasificacin concluyente. Los resultados de esta etapa, almacenados en una base de datos, han servido de apoyo a los tcnicos en deteccin de malware durante el proceso de anlisis manual.
3.2.12.
Anlisis manual de la muestra
Este es la ltima etapa de la fase de anlisis. Aqu llegan las muestras que en ninguno de las etapas anteriores han sido clasificadas como concluyentes. El anlisis manual es desarrollado por tcnicos en deteccin de malware, mediante el uso de la informacin almacenada durante todo el proceso de anlisis, as como otras herramientas de deteccin y anlisis que posibiliten la edicin a bajo nivel, anlisis de ejecucin, simulacin, desempaquetado y monitorizacin de comportamientos sospechosos. Los resultados de esta etapa, son siempre definitivos, quedando todo fichero clasificado en el sistema.
3.3.
EXPLOTACIN E INTERPRETACIN DE RESULTADOS
Toda la informacin relativa a una muestra ha sido almacenada en la base de datos del proyecto, desde el momento de su recepcin hasta el fin de su anlisis. Esta informacin puede ser explotada en cualquier momento mediante consultas especficas a esta base de datos. Se han definido una serie de indicadores para extraer e interpretar los resultados del proyecto, como se puede comprobar en el captulo 4: Resultados del anlisis de malware en redes P2P.
26
4.
RESULTADOS DEL ANLISIS DE MALWARE EN REDES P2P
A continuacin se presentan los principales resultados obtenidos del anlisis de la presencia de malware en las descargas realizadas, siguiendo el modelo de hbitos de usuarios de redes P2P en Espaa, sobre las redes P2P eDonkey/Kad, Bittorent y Gnutella.
4.1.
PUNTOS A CONSIDERAR RESULTADOS
EN
LA
INTERPRETACIN
DE
Para la correcta interpretacin de los resultados obtenidos han de tenerse en cuenta una serie de consideraciones y conceptos que se han utilizado en su elaboracin.
4.1.1.
Ficheros descargados
Estos ficheros corresponden al total de descargas efectuadas de las redes P2P consideradas. Dentro del total de ficheros descargados pueden existir ficheros repetidos, fruto de diferentes descargas desde distintos servidores, directorios o redes.
4.1.2.
Ficheros catalogados y analizados
Es la batera completa de ficheros catalogados y analizados en el proyecto. Los ficheros catalogados estn constituidos por todos los ficheros descargados indicados en el apartado anterior, y adems los ficheros obtenidos como resultado de desempaquetar aquellas descargas y ficheros empaquetados (ver apartado 3.1 Descargas y almacenamiento). As pues, el volumen, tanto en tamao como en nmero, de los ficheros catalogados ser superior al de ficheros descargados. Una descarga (fichero descargado) puede incluir ms de un fichero catalogado, si se trata de un fichero empaquetado (que a su vez puede contener ms ficheros empaquetados). Un fichero empaquetado se ha clasificado como infectado cuando al menos uno de los ficheros que contiene es clasificado como malware. Un fichero empaquetado ha sido clasificado como no infectado si todos los ficheros que contiene han sido clasificados como goodware.
4.1.3.
Descarga de utilidades para aplicaciones y juegos
A la hora de realizar las descargas correspondientes a las categoras de juegos y aplicaciones, en caso de tratarse de software bajo licencia, se han descargado tambin utilidades asociadas, como son cracks, parches o generadores de nmeros de serie. Este tipo de aplicaciones estn desarrolladas para poder instalar y utilizar software que no es de utilizacin libre sin licencia. Se han extrado resultados y estadsticas tanto de forma conjunta con el resto de descargas como por separado para evaluar la influencia de la descarga de estas utilidades en la presencia de malware.
27
4.2.
RESULTADOS DE DESCARGAS Y CATALOGACIN
En este apartado se exponen los diversos indicadores relativos tanto a los ficheros descargados como a los ficheros totales catalogados. Los resultados de las descargas se expresan en valores absolutos o porcentuales, sobre el nmero de ficheros descargados o sobre el nmero de ficheros catalogados. En algunos casos tambin se han contemplado resultados sobre el tamao total de las descargas expresado en Gigabytes (GB).
4.2.1.
Descargas totales
Para el anlisis de la presencia de malware en las redes P2P se han realizado y analizado desde clientes P2P un total de 4.625 descargas que corresponden, en tamao, a 3.032,22 GB.
Figura 11: Volumen y nmero de ficheros descargados, catalogados y analizados
Fuente: INTECO
Este valor corresponde nicamente a ficheros descargados, puesto que el total de ficheros catalogados que han sido analizados durante el desarrollo del proyecto es de 1.114.865 ficheros que corresponden a 4.031,16 GB. Tal como se esperaba el volumen de los ficheros totales catalogados y analizados en el proyecto es mayor que el de las descargas efectuadas.
28
4.2.2.
Ponderacin de las descargas por categora y red
Sobre el volumen total de ficheros descargados se puede distinguir la divisin de descargas por cada red P2P (ver Figura 12) y por cada categora (ver Figura 13).
Figura 12: Distribucin del volumen descargado por red P2P
Fuente: INTECO
Figura 13: Distribucin del volumen descargado por categora de contenido
Fuente: INTECO
Analizando el volumen de ficheros descargados, se puede observar la cantidad descargada por categora, respondiendo a los rangos especificados en el apartado 3.1 Descargas y almacenamiento.
29
Por lo que respecta al trfico descargado por red P2P, los valores reales descargados son ligeramente diferentes con respecto a los porcentajes de trfico indicados en el apartado 2.2.2.3 Hbitos de uso redes P2P en Espaa. Si bien los volmenes de descargas finalmente realizadas de BitTorrent y de eDonkey estn en un rango prximo a lo esperado, en el caso particular de la red Gnutella, se ha podido observar cmo en la prctica el volumen descargado es poco significativo, a pesar de que el 5% de las 4.625 descargas realizadas corresponden a Gnutella. Esto es debido fundamentalmente a que el nmero de fuentes encontradas para las bsquedas en Gnutella ha sido muy bajo, y adems con mucha frecuencia las descargas han sido falsas o fakes 26 de pequeo tamao, es decir, ficheros cuyo contenido real no coincide con el de la bsqueda deseada, sino que son otros archivos cuyos nombres se encuentran modificados para que coincidan con la bsqueda. Al ser pocas fuentes y de volumen mucho ms pequeo, incluso descargando todos los ficheros encontrados el volumen final descargado ha resultado mucho menor del deseado. Estos datos parecen confirmar que el uso real de Gnutella en el territorio espaol es escaso y en clara lnea descendente, frente a las mayoritarias eDonkey/Kad y BitTorrent. 4.2.2.1. Descargas por servidor y directorio
Por ltimo, en lo que a detalle de las descargas realizadas se refiere, se han extrado los datos de descargas por servidores y directorios de las redes P2P utilizados durante el desarrollo del proyecto.
26
Descarga o fichero fake: Descarga o fichero que no es finalmente lo que aparenta por el nombre o propiedades.
30
Figura 14: Descargas por cada servidor en eDonkey/Kad
Fuente: INTECO
La distribucin de descargas por servidor est condicionada por la seleccin del nmero de descargas para cada servidor y directorio segn se ha definido en la metodologa (ver captulo 3 Diseo metodolgico). En la Figura 14 se observa como, para la red eDonkey/Kad la mayor fuente de descargas es la red Kad, seguido de las bsquedas en servidores globales de eDonkey, respondiendo a lo esperado ya que en ambos casos se establece el mismo mximo de descargas totales (20 por bsqueda). El nmero de descargas realizadas desde Kad es mayor debido fundamentalmente a que las descargas iniciadas sobre Kad tienen, por lo general, ms fuentes disponibles, y por tanto tienen ms posibilidades de finalizar con xito. En el caso de las bsquedas globales, las fuentes seleccionadas tienen menor nmero de fuentes disponibles, y en ocasiones no finaliza la descarga para las de menor disponibilidad. A esto hay que aadir el hecho de que en algunas bsquedas no ha habido suficientes resultados para seleccionar las 20 descargas deseadas. Por lo que respecta a las descargas en BitTorrent, el mayor nmero de descargas corresponde a The Pirate Bay seguido de Mininova, como era de esperar, puesto que eran los directorios de los que se seleccionaba un mayor nmero de descargas. De entre ellos
31
dos, se ha encontrado un mayor nmero de fuentes en Pirate Bay, motivo por el cual ha acumulado ms descargas que Mininova. En el caso de Gnutella, el total de las 234 descargas realizadas corresponden a bsquedas globales, las nicas utilizadas en esta red P2P. Estos resultados confirman algunos de planteamientos sealados a lo largo del presente documento, tales como: La red eDonkey dispone de bastantes ms descargas distintas para cada producto frente a la red BitTorrent. La tendencia actual de la red eDonkey desde el cliente eMule deriva hacia el uso cada vez ms mayoritario de la red Kad frente a los servidores eDonkey. Los portales de descargas de archivos torrents ms populares son efectivamente los que ms ficheros para descargar tienen para una misma bsqueda.
4.3.
RESULTADOS DE LOS ANLISIS SOBRE LAS DESCARGAS
En este apartado se detallan los indicadores obtenidos a partir de la informacin extrada de los anlisis y la clasificacin de los ficheros descargados y catalogados.
4.3.1.
Volumen de malware encontrado
En primer lugar se ha estudiado el nmero de descargas manipuladas con malware que se ha encontrado sobre todas las efectuadas y analizadas, as como el desglose por red P2P.
32
Figura 15: Clasificacin de las descargas realizadas totales y por red P2P
Fuente: INTECO
De forma general, y segn el modelo de hbitos de usuarios de redes P2P espaoles que se ha utilizado (ver apartado 3.1 Descargas y almacenamiento) casi una de cada diez (un 9,7%) del total de descargas realizadas contena malware. Es particularmente interesante destacar que la presencia de malware se concentra en las utilidades para poder instalar y utilizar software que no es de utilizacin libre sin licencia (cracks, generadores de nmeros de serie , etc.). Si no se considera la descarga adicional de estas utilidades, el porcentaje de descargas manipuladas con malware detectado disminuye significativamente al valor de un 4,6% sobre las descargas en este caso. Adems, en la gran mayora de este 4,6% restante, el cdigo malicioso detectado est asociado a utilidades de este tipo ya incorporadas en el interior de la propia descarga del producto. Estudiando el caso particular de las descargas en cada red P2P, se observa cmo la red Gnutella, con un 50,4% de las descargas con malware, es la red con mayor nivel de peligrosidad. Le sigue la red eDonkey/Kad, para la que se ha detectado un 10,3% de descargas infectadas, mientras que la red ms segura es la red BitTorrent, con slo un 1,7% de descargas detectadas manipuladas con malware.
33
4.3.2.
Malware encontrado y tipos de descarga
En el siguiente grfico se detallan los resultados del anlisis y clasificacin de las descargas realizadas en cada una de las cinco categoras definidas:
Figura 16: Clasificacin de las descargas realizadas por categora de contenidos
Fuente: INTECO
El anlisis de los resultados obtenidos confirma que las categoras de descarga ms peligrosas son las aplicaciones y sistemas operativos, con prcticamente una de cada tres (31,93%) de descargas contaminadas con malware, seguido de los juegos, con casi una de cada seis (16,33%) con malware. En la categora de audio, el porcentaje baja a cerca de una de cada diez (9,91%) descargas comprometidas con malware, mientras que para el resto de categoras, vdeo y texto e imgenes la probabilidad de descargar malware es bastante ms pequea (2,13% y 1,03% respectivamente), pero igualmente existente. Como ya se indic en el punto anterior, las descargas que contienen malware se concentran en las utilidades adicionales para poder instalar y utilizar software que no es de utilizacin libre sin licencia.
34
As, en el caso particular de las descargas de la categora de aplicaciones, sin tener en cuenta las utilidades descargadas aparte para aplicaciones y juegos el porcentaje de descargas contaminadas con malware desciende al 20,7% (una de cada cinco). Para la categora de descargas de juegos, el porcentaje de descargas que contienen malware desciende a un 7,43%, en caso de no contabilizar las descargas adicionales de dichas utilidades. Adems, al examinar estas descargas restantes comprometidas de aplicaciones y juegos (sin incluir por tanto las utilidades descargadas aparte) para determinar los ficheros concretos con malware, en el 81,63% de los casos se han encontrado empaquetadas dentro de la propia descarga este tipo de utilidades manipuladas con malware. Estos datos confirman que el peligro de infeccin a la hora de realizar descargas en redes P2P se concentra en las utilidades, ya sea por descarga directa de las mismas, o indirecta, contenidas dentro de alguna otra descarga manipulada que se realiza. De cualquier forma es tambin muy destacable resear que los ejecutables no son ya el nico mecanismo de distribucin de malware, y de hecho se encuentran muestras de cdigo malicioso en otros tipos de ficheros y categoras como imgenes, y archivos de ofimtica (archivos PDF, ficheros de office, etc.).
4.3.3.
Popularidad del malware encontrado
Se ha analizado tambin la relacin que existe entre la presencia de malware y la popularidad de una descarga en cada una de las redes.
Figura 17: Distribucin del malware por popularidad y red P2P (eDonkey/Kad y BitTorrent)
Fuente: INTECO
35
Se comprueba en los resultados como en la red eDonkey no es habitual encontrar malware en las descargas de mayor popularidad (slo un 1% del malware encontrado estaba en descargas con ms de 100 fuentes), siendo el rango de popularidad ms peligroso el comprendido entre las 10 y las 100 fuentes con un porcentaje del 88,2%. En la red BitTorrent los resultados son ms dispares, puesto que el 72% del malware est en descargas con ms de 100 fuentes, con un 44% en las de mxima popularidad. En el caso de Gnutella el nmero de fuentes encontradas para las descargas has sido siempre menor, y la prctica totalidad de las descargas realizadas tenan menos de 100 fuentes, siendo el 60% de las que contenan malware de menos de 10 fuentes, y el 39,1% entre 10 y 100 fuentes.
4.3.4.
Valoracin del malware encontrado
Se ha analizado tambin la relacin que existe entre la presencia de malware y la valoracin de la descarga que realizan los usuarios de la red, a pesar de que no hay demasiadas valoraciones en las redes P2P (en BitTorrent, un 39% de las descargas totales tienen algn tipo de valoracin, por un 16,1% que se da en eDonkey/Kad). En el caso de eDonkey/Kad se observa que el 100% de las descargas con malware se concentra en las descargas no valoradas por los usuarios, mientras que en BitTorrent el malware se concentra en un 72 % en las no valoradas o valoradas negativamente. En general se observa que, aunque hay pocas valoraciones de los usuarios, las valoraciones positivas aportan algo ms de confiabilidad, puesto que las descargas comprometidas suelen encontrarse entre las no valoradas. Para la red Gnutella no se ha extrado ningn indicador puesto que no se realizan valoraciones de los usuarios.
4.3.5.
Caractersticas de los ficheros con malware encontrados
En este apartado se analizan las diversas caractersticas de las diferentes muestras de ficheros clasificados como malware. Los parmetros que definen a los ficheros son el tipo y el tamao de los archivos. En primer lugar se ha determinado el malware dentro de muestras diferentes analizadas que no sean ficheros comprimidos o empaquetados. Con esto se asegura la identificacin de ficheros finales donde se encuentra el malware, independientemente del contenedor (fichero empaquetado) donde pudieran venir. Estos indicadores proporcionan una estimacin de los ficheros ms peligrosos potencialmente y en los que realmente reside el malware, si bien pueden venir incluidos dentro de una descarga con otros mltiples ficheros.
36
Figura 18: Distribucin de malware encontrado por tamao y tipo de fichero
Fuente: INTECO
Es esperable que el malware difundido a travs de las redes P2P tenga caractersticas similares y se concentre en rangos de tamaos y en categoras de tipos de ficheros concretas. En el anlisis de tamaos de ficheros reflejado en la Figura 18 se comprueba que la mayora del malware encontrado, un 72,8%, se concentra en ficheros de tamao menor de 5Mb, mientras que el 42,2% de los ficheros de malware tienen tamaos menores a 1Mb. Esto demuestra una progresin del malware hacia ficheros cada vez ms grandes ya que histricamente el malware ha estado siempre concentrado en ficheros muy pequeos. Adems del cada vez mayor ancho de banda disponible para los usuarios, las redes P2P facilitan la propagacin de malware de elevado tamao, puesto que permiten la descarga dilatada en el tiempo de ficheros grandes. Adems, la existencia de malware en ficheros de ofimtica, vdeo y audio hace que el tamao de estos sea, generalmente, mayor que los tradicionales ficheros ejecutables con malware. Por otra parte, si se observa el anlisis de tipos de ficheros tambin mostrado en la Figura 18, se constata que los tipos de fichero potencialmente ms peligrosos de ser malware son los ficheros ejecutables seguidos de lejos por los ficheros de vdeo, con valores del 87,2% y 8,2% respectivamente del total de ficheros comprometidos identificados.
37
A pesar de que la presencia de malware se concentra sobre todo en ficheros ejecutables, es destacable resaltar que se han encontrado ficheros comprometidos de casi cualquier otro tipo: texto, audio, vdeo En estos casos el cdigo malicioso encontrado ha sido ms heterogneo, pudiendo ser por ejemplo exploits de vulnerabilidades, cdigo HTML malicioso o instalacin de decodificadores de vdeo o audio manipulados con malware. Es tambin interesante resaltar el dato de que el malware en las descargas se ha concentrado en algunos tipos especficos, especialmente en los empaquetados, con un 76,34% sobre las descargas con malware efectuadas, seguidos de ficheros ejecutables con un 9,82%, es decir, la gran mayora de las veces no se descarga el fichero infectado directamente, sino que se encuentra dentro de una descarga empaquetada. 4.3.5.1. Tipo de malware descargado
Se puede agrupar el malware encontrado en funcin del tipo de malware del que se trate (ver documento de Anexos el Anexo I: Malware. Historia y clasisficacin). A los tipos de malware conocidos se aaden las detecciones genricas, que son aquellas que se realizan clasificando una muestra a partir de su similitud con malware conocido o por el tipo de comportamiento, y las heursticas, que son detecciones aproximativas que realizan los motores de antivirus cuando basan sus resultados en indicios de comportamiento sospechoso, dando como resultado un porcentaje de detecciones sin clasificar. Si se analiza qu tipo de malware es el ms detectado en las descargas en redes P2P se observa que, son los troyanos con un 67,7% de las detecciones realizadas, seguido de las detecciones en archivos multimedia (exploits, codecs maliciosos y reproductores maliciosos) con un 10,7%.
38
Figura 19: Tipos de malware identificados
Fuente: INTECO
En la Figura 19 se puede observar tambin el listado con las 10 familias de amenazas ms detectadas (sobre el total de ficheros maliciosos). Ha sido particularmente relevante el gran nmero de variantes y muestras diferentes de cdigo malicioso encontradas (incluso dentro de una misma familia de malware): nicamente la sexta parte de las muestras comprometidas encontradas han aparecido ms de una vez. 4.3.5.2. Malware por servidores y directorios
En la Figura 20 se identifica la distribucin del malware obtenido por servidor (eDonkey/Kad) y directorio (BitTorrent). Para caracterizar el riesgo de cada servidor, independientemente del nmero de descargas efectuadas desde cada uno de ellos, se ha analizado el porcentaje de malware obtenido entre las descargas realizadas para los servidores y directorios con mayor nmero de descargas, frente a las descargas totales realizadas desde los mismos.
39
Figura 20: Descargas detectadas con malware por servidor/directorio y red P2P
Fuente: INTECO
En el caso de eDonkey/Kad, la principal fuente del malware es la red KAD con un 15,8% de descargas comprometidas, seguida de las descargas realizadas desde bsquedas globales, con menos de la mitad (6,8%). Para el caso de BitTorrent, el mayor porcentaje de descargas comprometidas proviene del metabuscador IsoHunt, con un 3,8%, seguido del resto de directorios. En el caso de Gnutella solo se estudian un caso, ya que todas las bsquedas son globales. As, el porcentaje de descargas con malware para esta red es del 50,4% frente al 49,6% clasificadas como goodware. Estos datos corroboran de nuevo que la red Gnutella es la ms peligrosa a la hora de realizar descargas P2P, seguida de la red Kad, y las descargas desde bsquedas globales en servidores eDonkey. En ltimo lugar, como descargas ms seguras, estn los directorios de BitTorrent. Se confirma as que la presencia de malware es ms frecuente cuanto ms descentralizada es la red P2P o el sistema de gestin de bsquedas y descargas. En eDonkey/Kad el mayor porcentaje de malware se ha obtenido con bastante diferencia en las descargas desde Kad, de gestin descentralizada. En el caso de BitTorrent, el mayor porcentaje de descargas comprometidas se ha dado entre las realizadas desde las
40
bsquedas en Isohunt, metabuscador que indexa Torrents de varios centenares de directorios de variable fiabilidad y reputacin, estando en este caso el origen de las descargas menos controlado (ms descentralizado) que en el caso de las realizadas desde un directorio concreto. Como caso particular de inters, se ha estudiado tambin la utilizacin de servidores falsos, (fake servers) en eDonkey. Este anlisis se ha realizado de forma aislada al resto de datos, de forma que las descargas y anlisis realizados para este caso particular no se han considerado para el resto de cifras y estadsticas que se han presentado. Una configuracin con bajo nivel de seguridad realizada sobre cliente de la red eDonkey (actualizacin de la lista de servidores automtica, o desde fuentes no oficiales) puede derivar en la conexin a los denominados servidores falsos (o maliciosos), sospechosos de proporcionar descargas poco fiables. De esta forma, se han efectuado, desde servidores falsos, bsquedas, descargas y anlisis de las mismas (ver documento de Anexos, apartado 2.2.2 Criterios de las descargas del Anexo II: Diseo metodolgico). En estos casos, el porcentaje de descargas manipuladas con malware ha llegado al 99,41% de las realizadas. Adems de estar comprometidas, en general los productos descargados al estar conectados a servidores falsos (los de mayor popularidad en las bsquedas) no han correspondido con las bsquedas deseadas, sino que se trataban de ficheros camuflados bajo el nombre del producto buscado. Por todo ello, resulta prioritario utilizar siempre los servidores o directorios de descarga recomendados por fuentes oficiales confiables y contrastadas para minimizar el riesgo de descargas manipuladas con malware.
41
5.
CONCLUSIONES
Los resultados obtenidos y previamente detallados permiten extraer una serie de conclusiones y recomendaciones sobre los riesgos y la presencia de malware en las redes P2P que se desarrollan a continuacin.
5.1.
PRESENCIA DE MALWARE EN REDES P2P
La presencia de malware en las redes P2P a nivel global es significativa, con un 9,7% de malware detectado sobre el total de las descargas realizadas, lo cual confirma a las redes P2P como un canal potencialmente importante en la distribucin de malware. El malware se concentra en las utilidades asociadas a la instalacin y funcionamiento de las aplicaciones y juegos descargados que necesitan licencia y no son de libre distribucin (cracks, generadores de nmeros de serie, parches de funcionalidad...). En el caso de no considerar la descarga adicional y aparte de estas utilidades la presencia de malware se hace bastante menos relevante con un 4,6% de malware detectado sobre las descargas en este caso. Adems, una gran parte de este 4,6% restante es debido a este tipo de utilidades manipuladas con malware ya incluidas empaquetadas dentro de la propia descarga de la aplicacin o juego.
5.2.
RIESGOS ASOCIADOS AL USO DE REDES P2P
Los valores sobre la existencia de malware dependen muy directamente de la red P2P sobre la que se efecte la descarga. Segn los datos obtenidos la red ms peligrosa para su uso en descargas P2P es la red Gnutella, en la que se ha detectado que el 50,4% de las descargas estaban manipuladas con malware. Le sigue la red eDonkey/Kad, con un valor para el mismo indicador del 10,3%, si bien es cierto que dentro de esta red existen bastantes diferencias en funcin de la procedencia de la descarga. As, la red Kad presenta un mayor nivel de peligrosidad, puesto que el 15,8% de las descargas de esta red estaban infectadas, frente al 4,85% del resto de descargas realizadas de eDonkey (desde bsquedas globales o de servidor). La red ms segura es la red BitTorrent con slo un 1,7% de descargas que contenan malware en esta red. Es adems de extrema importancia utilizar siempre los servidores o directorios de descarga recomendados por fuentes oficiales confiables y contrastadas para minimizar el riesgo de descargas manipuladas con malware. En el caso particular de la realizacin de bsquedas y descargas conectado a un servidor eD2K falso, la prctica totalidad de las descargas realizadas (las de mayor popularidad en cada bsqueda) contenan malware.
42
Figura 21: Porcentajes de descargas con malware por red P2P
Malware en redes P2P
Fuente: INTECO
Se puede observar cmo las redes puras de intercambio de archivos P2P, ms descentralizadas, son las ms peligrosas, debido a que existen menos mecanismos de control. Cualquier usuario en estas redes, al actuar como un nodo de igual a igual con los dems de la red, puede introducir contenidos malware a compartir sin que sean bloqueados o detectados de ninguna forma en el global de la red. Por contra, las redes centralizadas o semi-centralizadas permiten ciertos mecanismos de control sobre los contenidos desde los servidores centrales o directorios de bsqueda, hecho que se deja notar en la menor presencia de ficheros manipulados con malware.
5.3.
RIESGOS POR TIPOS DE DESCARGAS
Las descargas con mayor nivel de peligrosidad son todas aquellas relacionadas con las categoras de aplicaciones y juegos. En concreto el riesgo se centra, no en el software propio de estas aplicaciones y juegos, sino en las utilidades asociadas a la instalacin y uso de software que no es de utilizacin libre sin licencia, puesto que un 34% de estas utilidades descargadas contenan malware. De hecho la gran mayora de las descargas infectadas en estas dos categoras son o contienen este tipo de utilidades. Adems, una gran parte de las descargas comprometidas (un 84,9%), han resultado ser ficheros empaquetados, que contenan ficheros con malware. Con estos datos, los perfiles de descargas ms peligrosas se pueden resumir en: Descargas de utilidades asociadas a las aplicaciones y juegos cuyo fin es generalmente poder instalar y hacer funcionar software, normalmente de forma fraudulenta, evitando las restricciones de uso por licencia.
43
Descargas de ficheros empaquetados, en particular los que incluyen aplicaciones y juegos junto con utilidades (cracks, generadores de nmeros de serie o parches de funcionalidad) asociadas a los mismos.
As pues se observa una marcada relacin entre el malware mayoritario distribuido en las redes P2P y la descarga de utilidades para evitar las restricciones de licencia para su completa funcionalidad. Por contra, en contenidos multimedia, protegidos en muchas ocasiones por derechos de autor, el porcentaje de ficheros comprometidos ha sido menor, con valores del 9,91% en audio, 2,13% para vdeo, y 1,03% para ficheros de texto e imgenes. De cualquier forma, es interesante resaltar que sea cual sea la categora y el tipo de fichero de la descarga, existe riesgo de que est manipulado con malware.
5.4.
TIPOS DE FICHEROS CON MALWARE
La mayora de muestras malware detectadas tienen un perfil comn en relacin al tipo de fichero y al tamao del mismo. Este perfil mayoritario se centra en ficheros ejecutables, con un 87,2%, y en ficheros de tamao menor de 5MB, con un 72,8%. As pues los ficheros ms peligrosos de contener malware, una vez desempaquetadas las descargas, son ejecutables de pequeo tamao. Este perfil coincide con la tipologa de las utilidades asociadas a las aplicaciones y juegos comentados en el punto anterior. A pesar de que el perfil mayoritario de ficheros manipulados con malware coincide con la tipologa histricamente mayoritaria de los ficheros maliciosos, los ficheros ejecutables, se aprecia una evolucin de los ficheros maliciosos hacia nuevos tamaos y tipos. En particular se ha detectado un volumen considerable (12,7% del total de ficheros comprometidos) de ficheros multimedia, de vdeo y audio. La inclusin de exploits que aprovechan vulnerabilidades de software, descarga de codecs o reproductores maliciosos en este tipo de ficheros, han abierto una nueva va de propagacin del malware. Este hecho adems est posibilitando encontrar contenidos sospechosos en ficheros de tamaos cada vez mayores, algo que antes resultaba muy inusual. Si bien una gran parte de los ficheros comprometidos sigue encontrndose entre ficheros ejecutables, en la actualidad se pueden encontrar ficheros maliciosos de cualquier otro tipo: audio, vdeo, texto o imgenes.
5.5.
HBITOS DE BUEN USO EN REDES P2P
La universalizacin de Internet, ha proporcionado la posibilidad de comunicacin e interconexin del propio equipo del usuario con muchos otros en cualquier punto del planeta. Adems de la multitud de ventajas que esto presenta, tambin conlleva algunos inconvenientes, entre ellos la probabilidad de que el equipo del usuario se vea comprometido con algn tipo de aplicacin maliciosa.
44
De igual forma que hoy en da es posible ser infectado con malware al navegar por sitios no confiables o abrir correos electrnicos no deseados, las redes P2P tambin pueden suponer un peligro si no se toman una serie de precauciones en su utilizacin. Desde INTECO-CERT se recomienda siempre a todos los usuarios de Internet, como norma general, la consideracin de unas pautas mnimas a nivel de seguridad: Mantener el equipo actualizado, tanto a nivel de sistema operativo como a nivel de aplicaciones. Crear y utilizar cuentas de usuarios distintas del administrador, con permisos limitados a los mnimos necesarios para poder realizar las acciones habituales. Utilizar herramientas de seguridad que ayuden a proteger y reparar el equipo ante amenazas. Mantenerse informado sobre las novedades, alertas y consejos de seguridad que nos proporcionan fuentes contrastadas como INTECO-CERT o la Oficina de Seguridad del Internauta 27 .
En el caso particular de las redes P2P, y con el fin de minimizar el riesgo de infeccin debido a su utilizacin, es conveniente tener en cuenta adems una serie de medidas adicionales que preserven, en la medida de lo posible, la seguridad de nuestro equipo: Analizar la coherencia de los ficheros encontrados desde los buscadores de descargas segn los resultados esperados, en funcin de conceptos como el tamao, el nombre o la extensin del propio fichero. Por ejemplo, ante descargas de ficheros multimedia se debe tener especial precaucin si las extensiones de los ficheros encontrados no corresponden a formatos multimedia, siendo de otros tipos como ejecutables o de ofimtica. Analizar con un antivirus actualizado todos los archivos descargados a travs de las redes de intercambio de ficheros. No compartir ni descargar software que requiere de adquisicin de licencia para su uso, ya que se puede incurrir en un delito adems de un incremento del riesgo de verse infectado. Ejecutar el cliente P2P en una sesin de usuario con permisos limitados para aislarlo de otros componentes crticos del sistema. Modificar el nombre de las carpetas de descarga ya que muchos cdigos maliciosos buscan rutas fijas para replicarse. Usar clientes de descarga populares, puesto que disponen de un mejor y continuo soporte adems de ms informacin publicada en la red que ayude a una configuracin y uso correcto.
OSI (Oficina de Seguridad del Internauta, http://www.osi.es): servicio de la Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin (SETSI) puesto en marcha por el INTECO para proporcionar la informacin y el soporte necesarios para evitar y resolver los problemas de seguridad que pueden afectar a los Internautas..
27
45
Tener especial cuidado con las descargas de los productos ms novedosos, puesto que no han tenido tiempo de ser verificados o validados por los usuarios de la red, adems de ser un medio ptimo para la propagacin de malware por ser los contenidos ms buscados en las redes P2P. Descargar los ficheros que constan de mayor popularidad, es decir, aquellos con mayor nmero de fuentes, puesto que estn contrastados por ms usuarios. Examinar los comentarios, valoraciones y agradecimientos adjuntos a los productos de descarga realizados por otros usuarios de la red. Desconfiar especialmente de ficheros ya descargados en bsquedas distintas. El propio cliente indica si un fichero ha sido previamente descargado. As pues, en el caso de dos bsquedas distintas que muestren el mismo fichero (suelen tener el nombre modificado) es probable que ese fichero contenga malware o sea falso (fake). En el caso de la red eDonkey, mantener siempre una lista de servidores actualizada, obtenida desde fuentes oficiales confiables y contrastadas, y que sea controlada de forma manual con el fin de evitar la intrusin de servidores no legtimos debido a configuraciones automticas. Adems de que el riesgo de infeccin por malware puede ser mayor, las descargas generalmente son falsas, y rara vez coinciden con lo deseado. En el caso de BitTorrent es importante realizar las descargas desde los portales confiables y popularmente ms utilizados. Examinar cuidadosamente qu carpetas y /o ficheros se estn compartiendo. Todo ello puede ser accesible a otros usuarios de la red P2P para su descarga.
46
6.
GLOSARIO
Adware: malware que durante su funcionamiento despliega publicidad de distintos productos o servicios. API (Application Programming Interface): conjunto de llamadas a ciertas libreras que ofrecen acceso a ciertos servicios desde los procesos representando un mtodo para conseguir abstraccin en la programacin. ARPANET: red predecesora de Internet. Backdoor: malware que abre una brecha de seguridad en el sistema infectado, posibilitando la entrada de terceros en el equipo comprometido evitando los mecanismos normales de autenticacin. BitTorrent: red P2P para el intercambio de archivos basada en el uso del protocolo con mismo nombre. Blacklist: listado de URLs maliciosas. Bug: fallo en el diseo o construccin de un sistema. CERT (Computer Emergency Response Team): Equipo de Respuesta ante Emergencias Informticas. CONAN (Configuracin y Anlisis, https://conan.cert.inteco.es/): herramienta de anlisis de configuracin del sistema desarrollado por INTECO-CERT, usada mayoritariamente en la atencin de incidentes de seguridad y en la Oficina de Seguridad del Internauta, para obtener informacin global sobre el estado de seguridad del sistema. Cortafuegos: parte de un sistema o una red que est diseado para bloquear el acceso no autorizado, permitiendo al mismo tiempo comunicaciones autorizadas. Crack: aplicacin informtica desarrollada para modificar el funcionamiento original de un programa, usada generalmente para activar software o saltarse protecciones y restricciones de uso impuestas por licencia.. Descarga o fichero fake: Descarga o fichero que no es finalmente lo que aparenta por el nombre o propiedades. Deteccin positiva: clasificacin como malware por parte de un antivirus o herramienta de deteccin. Dialer: malware que marca un nmero de tarificacin adicional (NTA) usando el mdem. DLL (Dynamic Link Library): archivos con cdigo ejecutable que se cargan bajo demanda de un programa por parte del sistema operativo. Ebook: libro publicado en formato digital. eDonkey: red P2P de intercambio de archivos basada en el uso de servidores. eMule: cliente de software libre para realizar descargas desde la red eDonkey. Existen muchas variantes otras como eMule MorphX.
47
Encaminador (router): dispositivo para la interconexin de redes informticas que permite asegurar el enrutamiento de paquetes entre redes o determinar la ruta que debe tomar el paquete de datos. Exploits: pequeos fragmentos de cdigo que aprovechan vulnerabilidades en el software para llevar a cabo acciones ilegtimas. Falso negativo: clasificacin como goodware errneamente de una muestra malware. Falso positivo: clasificacin como malware errneamente de una muestra goodware. Firma digital: resultado de aplicar cierto algoritmo matemtico, denominado funcin hash, a su contenido y, seguidamente, aplicar el algoritmo de firma al resultado de la operacin anterior, generando la firma digital. Ficheros empaquetados: ficheros que se caracterizan por ser contenedores de otros ficheros (como archivos comprimidos, imgenes de CD/DVD, archivos de instalacin, etc.), es decir, dentro de ellos estn agrupados uno o varios ficheros. F-Secure (www.f-secure.com): empresa con sede en Finlandia dedicada a la seguridad informtica y produccin del antivirus F-Prot. Generador de nmeros de serie (keygen, key generator): programa informtico para la generacin de claves de registro vlidas para aplicaciones que necesitan de una licencia. Gnutella: red P2P de intercambio de archivos basada en un protocolo descentralizado. Google Safe Browsing: interfaz desarrollada por Google para el acceso a su repositorio de URLs maliciosas. Gusano: malware que tiene la capacidad de auto-distribuirse mediante uno o varios canales de comunicacin. Hash: valor numrico calculado mediante un algoritmo matemtico que permite obtener un valor resumen de unos datos o fichero. Este valor identifica unvocamente unos datos o un fichero. Hay varios tipos de hash segn el algoritmo aplicado. En el proyecto se contemplan los calculados segn los algoritmos MD5 y SHA1. HASHKEEPER (http://www.usdoj.gov/ndic/topics/ndtas.htm): base de datos creada por el National Drug Intelligence Centre del Departamento de Justicia de los Estados Unidos que contiene informacin sobre hashes de ficheros conocidos. Heurstica: detecciones aproximativas que realizan los motores de antivirus cuando basan sus resultados en indicios de comportamiento sospechoso. HijackThis: herramienta popular gratuita, creada por Merijn Bellekom, para eliminar spyware en los sistemas Microsoft Windows. Honeypot: software o conjunto de computadores cuya intencin es atraer a atacantes, simulando ser sistemas vulnerables o dbiles a los ataques. Es una herramienta de seguridad informtica utilizada para recoger informacin sobre los atacantes y sus tcnicas. INTECO (Instituto Nacional de Tecnologas de la Comunicacin, www.inteco.es): sociedad estatal promovida por el Ministerio de Industria, Turismo y Comercio para el desarrollo de la
48
Sociedad del Conocimiento a travs de proyectos del mbito de la innovacin y la tecnologa. INTECO-CERT (http://cert.inteco.es): equipo de respuesta a incidentes de seguridad en tecnologas de la informacin de INTECO. Proporciona servicios preventivos y reactivos a pymes y ciudadanos. Inteligencia Colectiva (IC): nuevo concepto de antivirus desarrollado por Panda Security orientado a la entrega de conocimiento va Internet mediante una base de datos online en tiempo real donde se almacenan la mayora de los ficheros de firmas. IODEF (Incident Object Description and Exchange Format): formato de esquema de datos desarrollado por miembros de IETF (Internet Engineering Task Force) orientado al intercambio de informacin sobre operaciones y estadsticas de incidentes de seguridad informtica entre Equipos de Respuesta. IP: Internet Protocol (Protocolo de Internet), protocolo usado tanto por el origen como por el destino para la comunicacin de datos a travs de una red de paquetes conmutados. Ipoque (www.ipoque.com): compaa alemana monitorizacin y control de redes informticas. especializada en productos de
Internet Storm Center (http://isc.sans.org/): iniciativa desarrollada por el SANS Institute (instituto fundado en 1989 para otorgar certificaciones de seguridad) para la monitorizacin del nivel de malware de la red. Kad: red de intercambio P2P que usa una variacin del protocolo Kademlia. Es utilizada por el cliente eMule desde la versin oficial 0.42. Malware Domain List (www.malwaredomainlist.com): proyecto libre sin nimo de lucro con un amplio repositorio de URLs maliciosas. Malware: denominacin comn para todo tipo de software malicioso. McAfee (www.mcafee.com): empresa especializada en productos para la seguridad informtica fundada en 1987 y con sede en Estados Unidos. MD5 (Message-Digest Algorithm 5): algoritmo de reduccin criptogrfico de 128 bits ampliamente usado. Napster: una de las pioneras de las redes P2P con gran popularidad en el ao 2000 orientada especialmente al intercambio de archivos de msica. NAT: Network Address Translation, (Traduccin de Direcciones de Red), mecanismo utilizado por routers IP para intercambiar paquetes entre dos redes cuyas direcciones finales son incompatibles o no se quieren revelar. NIST (National Institute of Standards and Technology): agencia del Departamento de Comercio de los Estados Unidos cuya misin es promover la innovacin y la competencia industrial en Estados Unidos mediante avances en metrologa, normas y tecnologa. El NIST dispone de otras fuentes de datos de referencia que son de amplia reputacin en la red, tales como la base de datos de vulnerabilidades (NVD) segn el estndar CVE. Esta base de datos es la utilizada tambin por INTECO-CERT para la catalogacin de vulnerabilidades, siendo INTECO la entidad responsable de su mantenimiento en castellano.
49
NSRL (National Software Reference Library, www.nsrl.nist.gov) es una base de datos mantenida por el Instituto Nacional de Estndares y tecnologa (NIST) de Estados Unidos con informacin sobre firmas digitales de aplicaciones software conocidas. Office: conjunto de aplicaciones de ofimtica para el manejo y creacin de presentaciones, textos, hojas de clculo, etc. OSI (Oficina de Seguridad del Internauta, http://www.osi.es/): servicio de la Secretara de Estado de Telecomunicaciones y para la Sociedad de la Informacin (SETSI) puesto en marcha por el INTECO para proporcionar la informacin y el soporte necesarios para evitar y resolver los problemas de seguridad que pueden afectar a los Internautas. Packer: ofuscador de software para dificultar el anlisis de aplicaciones. Panda Security (www.pandasecurity.com): compaa espaola de seguridad informtica fundad en 1990 y centrada inicialmente en la produccin de software de antivirus. PDF (Portable Document Format): formato de almacenamiento de documentos, desarrollado por la empresa Adobe Systems. PE (Portable Executable): es el formato de los ficheros para ejecutables, objetos de cdigo y libreras DLL usados en las versiones de 32-bit y 64-bit de los sistemas operativos Microsfot Windows. Producto a descargar: engloba todas las descargas de software para una misma bsqueda. Pyme: pequea y mediana empresa. RDS (Reference Data Set): formato popular de almacenamiento datos para su acceso genrico desde bases de datos. Red P2P (peer to peer): nombre comn que se asigna a las redes de intercambio de archivos entre pares. Rootkits: los rootkits son programas cuya finalidad es la de ocultar procesos. Si se anexa un rootkit a otro tipo de malware, se puede hacer que tanto este, como el propio, rootkit pasen desapercibidos para el administrador del sistema. Runnscanner: herramienta gratuita que escanea el equipo en busca de cambios y modificaciones de configuracin causados por virus, spyware o errores humanos. Secunia (secunia.com): compaa danesa de servicios de seguridad cuyo principal activo es el conocimiendo de vulnerabilidades para ms de 12,400 aplicaciones software y sistemas operativos. Servidor falso/fake: servidor falso camuflado entre los servidores vlidos de la red eDonkey con fines distintos a la realizacin de descargas tales como obtener informacin de los clientes que a l se conectan, contaminar la red con enlaces falsos o corruptos o propagar malware. SHA1 (Secure Hash Algorithm 1): sistema de funciones hash criptogrficas relacionadas de la Agencia de Seguridad Nacional de los Estados Unidos y publicadas por el National Institute of Standards and Technology (NIST) en 1995.
50
Spyware: malware espa que recopila informacin sobre una persona u organizacin sin su conocimiento. Team Cymru (www.team-cymru.org): organizacin sin nimo de lucro con sede en Illinois perteneciente al Gobierno Federal de los EE.UU dedicada a la seguridad en Internet. TIC: sector relativo a las Tecnologas de la Informacin y la Comunicacin. Torrent: son ficheros utilizados por clientes de la red BitTorrent para el intercambio de archivos por la red Internet. Trazabilidad: procedimientos preestablecidos y autosuficientes que permiten conocer el histrico, la ubicacin y la trayectoria de un producto. Troyano: malware que se hace pasar por un archivo legtimo para engaar al usuario y as ser ejecutado infectando el sistema. URL (Uniform Resource Locator): secuencia de caracteres, de acuerdo a un formato estndar, que se usa para nombrar recursos, como documentos e imgenes en Internet, para su localizacin. Virus: malware que infecta otros archivos legtimos copiando determinadas zonas de su cdigo dentro de stos de tal manera que al ejecutar el supuesto archivo legtimo tambin se ejecutar el virus. Vulnerabilidad: error de software o diseo de un programa que puede permitir la ejecucin de acciones ilegtimas sobre el mismo o el sistema que lo soporta. Whitelist: listado de URLs confiables.
51

Análisis de La Presencia de Malware en Las Descargas P2P

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Análisis de La Presencia de Malware en Las Descargas P2P

Enviado por

Direitos autorais:

Formatos disponíveis

ANALISIS DE LA PRESENCIA DE MALWARE EN LAS DESCARGAS P2P

INTECO-CERT Centro de Respuesta a Incidentes de Seguridad en Tecnologas de la Informacin E-CONFIANZA

Anlisis de la presencia de malware en las descargas P2P

Anlisis de la presencia de malware en las descargas P2P

Estado del arte

Explotacin e interpretacin de resultados

Anlisis de la presencia de malware en las descargas de redes P2P

Resultados de descargas y catalogacin

Resultados de los anlisis sobre las descargas

Anlisis de la presencia de malware en las descargas de redes P2P

Anlisis de la presencia de malware en las descargas de redes P2P

RESULTADOS MS DESTACADOS DEL ANLISIS

Anlisis de la presencia de malware en las descargas de redes P2P

Figura 1: Descargas realizadas por categora de contenidos

Anlisis de la presencia de malware en las descargas de redes P2P

Malware en redes P2P

Anlisis de la presencia de malware en las descargas de redes P2P

INSTITUTO NACIONAL COMUNICACIN

Anlisis de la presencia de malware en las descargas de redes P2P

Objetivo del proyecto

Anlisis de la presencia de malware en las descargas de redes P2P

Objetivos secundarios y objetivos detallados

Anlisis de la presencia de malware en las descargas de redes P2P

ESTADO DEL ARTE

Anlisis de la presencia de malware en las descargas de redes P2P

Figura 4: Estadsticas del aumento anual del volumen de malware

Fuentes: Panda Security y McAfee

Anlisis de la presencia de malware en las descargas de redes P2P

Anlisis de la presencia de malware en las descargas de redes P2P

Anlisis de la presencia de malware en las descargas de redes P2P

Figura 6: Trfico (en porcentaje) por red P2P y zona geogrfica

Anlisis de la presencia de malware en las descargas de redes P2P

Anlisis de la presencia de malware en las descargas de redes P2P

Anlisis de la presencia de malware en las descargas de redes P2P

Anlisis de la presencia de malware en las descargas de redes P2P

Anlisis de la presencia de malware en las descargas de redes P2P

Anlisis de la presencia de malware en las descargas de redes P2P

Anlisis de la presencia de malware en las descargas de redes P2P

Analizador de configuracin de INTECO: CONAN

Virus Total (VT)

Malware Hash Registry (MHR)

Anlisis de la presencia de malware en las descargas de redes P2P

Cruce con la Inteligencia Colectiva por Hash (ICH)

Clculo dinmico de valoracin

Envo del fichero y anlisis en la Inteligencia Colectiva (ICFTP)

Anlisis de la presencia de malware en las descargas de redes P2P

Analizador automtico de software de INTECO: JENNINGS

Anlisis manual de la muestra

EXPLOTACIN E INTERPRETACIN DE RESULTADOS

Anlisis de la presencia de malware en las descargas de redes P2P

RESULTADOS DEL ANLISIS DE MALWARE EN REDES P2P

PUNTOS A CONSIDERAR RESULTADOS

Ficheros catalogados y analizados

Descarga de utilidades para aplicaciones y juegos

Anlisis de la presencia de malware en las descargas de redes P2P

RESULTADOS DE DESCARGAS Y CATALOGACIN

Anlisis de la presencia de malware en las descargas de redes P2P

Ponderacin de las descargas por categora y red

Figura 13: Distribucin del volumen descargado por categora de contenido

Anlisis de la presencia de malware en las descargas de redes P2P

Anlisis de la presencia de malware en las descargas de redes P2P

Figura 14: Descargas por cada servidor en eDonkey/Kad

Anlisis de la presencia de malware en las descargas de redes P2P