Versión PDF Obtenga Acrobat Reader

Detección y recuperación de incidentes causados por virus (parte I)

Mientras diseñábamos un artículo sobre ips´s (sistemas de prevención de intrusos), éramos inundados con información sobre los estragos que el virus mydoom estaba causando en las redes informáticas. Por otra parte muchos correos electrónicos y llamadas telefónicas preguntando ¿qué hacer?. Esto nos obligó a dar un giro a nuestra pauta de publicaciones y presentar una serie de artículos que permitan conocer más sobre cómo detectar y manejar incidentes causados por este tipo de cuerpos extraños que invaden el ciberespacio.

Cuando nuevos virus, gusanos o cualquier otro tipo de código malicioso se hacen presentes, los departamentos de tecnología de información (TI) de las organizaciones y los proveedores de software antivirus pueden sólo “reaccionar” en lugar de “adelantarse” a las últimas amenazas. Es así, que no existe una forma de protección total de las direcciones IP sobre los virus basados en correo electrónico en la web, corriéndose por el contrario el riesgo del desmantelamiento total de las redes (ver efecto saphire en el anexo).

Esto es desalentador, pero no significa que las áreas de TI perdieron su poder para combatir. De hecho, las experiencias han demostrado qué pasos específicos y efectivos pueden ser tomados en esta batalla diaria dentro del cyberespacio. Este artículo explica como detectar un virus y si se descubre que la instalación ha sido infectada, qué respuesta inmediata y contramedidas pueden ser tomadas.

En un próximo artículo, cubriremos la limpieza y algunos procesos de más largo plazo que contribuyen a mejorar el tratamiento de estos eventos. Para el propósito de esta discusión, todo tipo de código malicioso lo trataremos como virus. Comencemos entonces nuestra labor.

Identificación del ataque

El correo electrónico ha sido el método más visible para la distribución de virus, pero no es la única manera en la que estos pueden entrar en el ambiente de las redes IP. Por ejemplo, los usuarios finales pueden llevar unidades de diskette infectadas desde sus hogares, o pueden hacer descargas desde sitios ftp o http que han sido infectados. Para el conocimiento de todos, recientemente los escritos de virus y expertos en intrusión han estado trabajando conjuntamente para desarrollar códigos virales que entren a las redes explotando “bugs” de seguridad conocidos sobre diversas aplicaciones.
Una vez que el virus entra a la red, se propaga de computador en computador de múltiples maneras. Algunos virus buscan sistemas que permiten la compartición de archivos e intentan accesar e infectar sus archivos. Otros virus se auto envían vía correo electrónico a los distintos nodos de la red. Algunos hacen ambas cosas, mientras que otros se propagan de maneras no esperadas, incluyendo el uso de los sistemas de mensajería instantánea o aplicaciones “peer-to-peer”. Un solo equipo infectado dentro de su red puede rápidamente infectar muchos otros.

¿Realmente es un virus?

Si su software antivirus puede detectar una infección o intento de infección, generalmente podrá lidiar con la situación efectivamente, de esta manera no deberían tenerse incidentes de virus. Estos incidentes son causados cuando un virus logra escapar del antivirus y/o del software de detección de intrusos. Cuando esto ocurre el virus típicamente señala su presencia, ya sea como resultado directo de su intento de propagación o como un efecto colateral. Indicadores comunes de infección por virus incluyen:

• Sonidos o imágenes inesperados, especialmente si los mismos se presentan en distintos sistemas. Mientras estos indicadores no son destructivos, no significan que el virus no sea destructivo. Se debe educar y luego depender de los usuarios para detectar y reportar estos indicadores.

• Indicadores sobre archivos son los más comunes pero con frecuencia los más difíciles de detectar. Estos incluyen la aparición de múltiples archivos desconocidos en las estaciones de trabajo de los usuarios o servidores de archivos, la desaparición de múltiples archivos por razones desconocidas, la pérdida de datos dentro de archivos o el reemplazo del contenido de archivos y finalmente y los más recientes, la recepción de correos provenientes de direcciones desconocidas. Si el virus tiene como objetivo la infección de archivos, los archivos que contienen códigos ejecutables, pueden cambiar de tamaño ya que el virus se agregó al archivo y ejecutarse cuando un usuario o una aplicación intenten ejecutar el código del archivo original.

Generalmente se descubren estos indicadores como el resultado de la notificación por parte de un usuario, pero la mejor manera de detectarlo es a través soluciones de detección de intrusos (IDS).

• Los indicadores de los sistemas son generalmente fáciles de detectar ya que generalmente interfieren con su correcto funcionamiento. Ejemplos incluyen la no disponibilidad de las particiones de archivos o la destrucción total del sistema de archivos. Este tipo de daño es raro ya que interfiere con la propagación propia del virus. Cuando esto ocurre, generalmente es el efecto alterno de pobre programación de parte del creador del virus, pero pudiese ser el resultado de lo que se conoce como una bomba lógica, un segmento de código malicioso colocado por su creador para ejecutarse en una fecha específica o basada en algún otro suceso que dispare su ejecución.

• Indicadores a nivel de la red son usualmente generados por los efectos de propagación del virus incluyendo tormentas de tráfico sobre la red y correos inesperados. Este tipo de indicador es usualmente obvio para varios usuarios de manera simultánea y puede ser detectado con el uso de herramientas administrativas de red con capacidades de notificación.

• Indicadores particularizados que son colocados para detectar los virus que el antivirus no detecta. Por ejemplo, se desea configurar una lista de cuentas de correo Exchange a través de la cual se puedan detectar gusanos de email que se propaguen a través de Exchange.

Experiencia en investigación

Eliminar los indicadores no virales y que pueden causar confusión es el primer paso. Juegos, mensajes publicitarios, errores de aplicaciones, errores de usuarios, fallas de sistemas y fallas de hardware de la red se encuentran entre este tipo de eventos engañosos. Algunas fuentes para ayudar en la identificación de situaciones de virus y no virales son:

• Fabricantes de software antivirus

• Computer emergency response team (cert): www.cert.org

• Metabase icat: http://icat.nist.gov/icat.cfm

• System administration network and security institute (sans): www.sans.org

• Ntbugtrack: www.securityfocus.com/archive/1

• Sitios web de los sistemas operativos

• Computer virus myths: www.vmyths.com/

Identificación y evaluación de la infección

Una vez que se determina que un virus es el causante del indicador, el siguiente paso es identificar la naturaleza del ataque. Idealmente, se debe tomar el tiempo para de manera precisa identificar los sistemas afectados, pero algunos virus pueden propagarse más rápido que el tiempo que tardemos en evaluar su impacto. Las infecciones que no pueden ser establecidas rápidamente a través de la actualización de los antivirus requerirán un mayor diagnóstico antes de establecer un plan de erradicación.

Para decidir cómo proceder, se debe conocer el virus con el cual se está enfrentado y las posibles repercusiones en el ambiente de la red. Para ello se sugieren las siguientes fuentes de información:

• Fabricantes de software antivirus

• Computer emergency response team (cert): www.cert.org

• Virus bulletins: www.virusbtn.com/

• Computer incident advisory capability: www.ciac.org/ciac/

• Information system security professionals: www.infosyssec.net/

• National institute of standards and technology: http://csrc.ncsl.nixt.gov/virus/

Una vez que se ha identificado el virus, se debe generar el proceso de educación correspondiente al alcance de la infección. Hágase las siguientes preguntas para evaluar la infección e identificar las maneras más rápidas de detener la propagación del virus:

• ¿Cómo arribó el virus al red?

• Si arribó vía correo SMTP, el filtrado de contenido pudo haberlo detenido. Si arribó vía browsing a un servidor infectado, se pueden bloquear URLS. Si arribó vía aplicaciones peer-to-peer o aplicaciones de chat, intentar bloquear los puertos específicos usados por estas aplicaciones a nivel del firewall.

• ¿Se propagó vía la compartición de archivos?. Deshabilitar está característica es una buena práctica así como eliminar permisos administrativos innecesarios.

• ¿Utiliza un groupware o un gateway de correo para propagarse?. Si utiliza los sistemas internos de correo, nuevamente, un elemento de filtrado de contenido puede detenerlo. Si el virus instala su propio server SMTP, se puede bloquear temporalmente el puerto 25 a nivel del firewall.

• Si se detecta que el virus utiliza para su propagación alguna cuenta de usuario en particular, deshabilitar dicha cuenta.

Utilizar a los reservistas

Si con todo lo anterior, todavía persiste la infección y/o el ataque, es hora de reunir a un equipo de trabajo para atacar el problema. Este equipo será el responsable de determinar las opciones, recomendar la solución apropiada e implementar dicha solución. Use su equipo de respuesta ante incidentes y los procedimientos de respuesta ante incidentes (la segunda parte de este artículo mostrará como crear y operar un centro de operación para virus).

Entre los miembros del equipo de trabajo deben considerarse:

• Personal de help desk que es el que recibe las llamadas de los usuarios

• Personal de administración de servidores y estaciones de trabajo que realizan el seguimiento del virus sobre los equipos bajo su responsabilidad

• Personal de administración de redes

• El equipo de mensajería debe ser invitado e este comité

• Representantes legales para asistir en la investigación forense

• Representantes del área administrativa para determinar el impacto financiero del incidente

• Representantes de relaciones públicas o institucionales para responder a clientes, asociados de negocios y público en general

• Personal de recursos humanos en caso de que se detecte que el daño fue causado por algún miembro de la organización violando las políticas de la misma

• Representantes de las unidades de negocio afectadas

• Asistencia de especialistas externos

Conteniendo el ataque

Generalmente no es suficiente actualizar las definiciones de antivirus y hacer un scan de todos los sistemas para remover los virus. Se deben localizar todos los sistemas infectados y limpiar cada uno de ellos de manera de volver a tener el control de la red. En muchas ocasiones es mucho más fácil decirlo que concretarlo realmente y puede llevar algún tiempo hacerlo. De manera paralela se debe estar trabajando en las acciones para contener las continuas amenazas.

La contención debe basarse el las políticas de la organización de respuesta ante incidentes y ejecutarlas sólo cuando se haya recabado suficiente información para tomar las decisiones adecuadas. Todas estas acciones de contención deben ser controladas de manera centralizada.

Si el virus se propaga a través del correo, HTTP o FTP debe concentrarse en actualizar la protección en los servidores de correo, proxy y servidores gateway SMTP, los cuales son la más rápida fuente de infección y propagación. Actualizar la protección puede incluir la instalación de patches de software, actualización de firmas antivirus, implementación de soluciones de filtrado de contenido, entre otras.

Si la infección se propaga más rápido de lo que se puede distribuir o aplicar el correctivo o antídoto, probablemente sea necesario deshabilitar servicios. Esto es importante en las siguientes situaciones:

Cuando las firmas de antivirus no están disponibles
Cuando filtrar el contenido no es posible ya que el mismo cambia
Cuando los usuarios no están educados con respecto a virus amenazas y protección contra los mismos.

Entre las posibles acciones se encuentran:

• Particionamiento de la red usando firewalls, routers o switches

• Reconfiguración DNS para deshabilitar el correo SMTP

• Cambiar el software de filtrado de contenido para bloquear los archivos adjuntos en los correos.

• Bloqueo de acceso interno FTP y HTTP

• Consideración de envío al personal a sus hogares dependiendo de la severidad del ataque o remover las estaciones afectadas de la red, permitiendo a los usuarios continuar con sus labores de manera local.

• Si el riesgo es extremo, desconectar la red de Internet.

Anexo

En el presente anexo se presenta la velocidad de propagación voraz del gusano saphire, mejor conocido como SQL SLAMMER. En la segunda gráfica se puede apreciar cómo se propagó el gusano, pero lo resaltante de esto es que la diferencia horaria entre ambas gráficas es de solo 30 minutos. Como nota final debemos comentar que este gusano tuvo entre sus estadísticas más resaltantes que duplicaba el número de equipos infectados cada 9 segundos.

Ver otras sugerencias de seguridad

Si desea conocer más de nuestra empresa, comuníquese con nosotros y gustosamente le atenderemos.

[  Empresa  |  Soluciones y Servicios  |  Clientes  |  Alianzas Estratégicas  |  Atención al Cliente  |
|  Publicaciones  |  Sugerencias de Seguridad  |  Mapa del Site  |  Contáctenos  |  Página Inicial  ]