Malware Flashcards
¿Qué es el malware?
🔶Malware
Es un software malicioso diseñado para infiltrarse y dañar un sistema sin el conocimiento o consentimiento del usuario. Incluye virus, gusanos, troyanos, ransomware, spyware, rootkits y más.
¿Cuál es la diferencia entre un vector de amenaza y un vector de ataque?
🔶Malware
- Vector de amenaza: Es el método específico que un atacante utiliza para intentar infiltrarse en el sistema de la víctima. Ejemplos comunes incluyen software sin parches, dispositivos USB infectados o campañas de phishing.
- Vector de ataque: Es el medio a través del cual el atacante logra acceder al sistema y propagar el malware. Este concepto abarca desde cómo se aprovecha una vulnerabilidad hasta cómo el malware se introduce en el sistema.
Metafora
- El vector de amenaza podría ser que vives en un vecindario sin vigilancia, lo que facilita que el atacante se acerque a tu casa.
- El vector de ataque, sin embargo, sería el proceso específico que el atacante utiliza para entrar en tu casa: abrir la puerta, forzar la cerradura, y poner el cupcake en la mesa.
¿Cuáles son algunos indicadores de un ataque de malware?
🔶Malware
- Bloqueo de cuentas.
- Aumento del uso de sesiones concurrentes.
- Consumo elevado de recursos.
- Registro de ataques conocidos.
¿Qué es un virus y cómo funciona?
🔶Viruses
Es un tipo de malware que necesita la interacción del usuario para ejecutarse, como abrir un programa infectado, un documento o una imagen. Una vez dentro del sistema, puede replicarse, dañar archivos o consumir recursos.
Boot sector virus
🔶Viruses
- Infecta el sector de arranque del disco duro, donde están las instrucciones para iniciar el sistema operativo.
- Se carga en la memoria al encender el equipo, antes de que los antivirus puedan activarse, lo que dificulta su detección y eliminación.
- Su presencia puede corromper la capacidad del sistema para arrancar correctamente.
Macro virus
🔶Viruses
- Infecta documentos de programas de ofimática como Microsoft Word o Excel, utilizando macros, que son pequeños programas automatizados.
- Usa funciones legítimas de los programas de ofimática.
- Se ejecuta al abrir un documento infectado, y puede propagarse a otros documentos almacenados en el sistema o enviados por correo electrónico.
- Este virus es común en ataques de phishing.
Program virus
🔶Viruses
- Infecta archivos ejecutables (.exe) o programas instalados en el sistema.
- Cada vez que abres el programa infectado, el virus se ejecuta y puede propagarse a otros programas o archivos del sistema.
- Puede modificar o dañar los archivos del sistema, corromper programas, o crear puertas traseras para permitir accesos no autorizados.
Multipartite virus
🔶Viruses
- Este virus es una combinación de Boot sector virus y program virus.
- Infecta tanto el sector de arranque como los programas de tu sistema, lo que le permite infectar una computadora desde el arranque y mantenerse activo en el sistema.
- Es persistente, lo que significa que puede continuar infectando el sistema incluso después de que creas haberlo eliminado. Si eliminas la parte del programa, el sector de arranque lo reinfectará, y viceversa.
Encrypted virus
🔶Viruses
- Esconde su código malicioso mediante técnicas de cifrado, lo que hace difícil su detección.
- Cada vez que se ejecuta, se descifra para infectar el sistema, pero mientras está almacenado, permanece cifrado para evitar que los antivirus lo identifiquen.
- Infecta archivos o programas y se disfraza para que los antivirus no lo detecten.
Polymorphic virus
🔶Viruses
- Version avanzada de un Encrypted virus que ademas de enciptar su contenido, cambia su código cada vez que se replica o infecta un nuevo sistema.
- Los antivirus tradicionales, que dependen de la identificación de firmas, tienen dificultades para detectarlo, ya que el virus parece ser nuevo con cada infección, aunque sigue causando los mismos daños.
Metamorphic virus
🔶Viruses
- Similar al virus polimórfico, pero en lugar de solo cambiar su firma, puede reescribir su propio código por completo, lo que lo hace aún más difícil de detectar.
- Esto lo hace extremadamente difícil de detectar, ya que no sigue un patrón consistente, y parece ser un programa completamente diferente en cada ejecución.
Stealth virus
🔶Viruses
- No es tanto un virus especifico si no una tecnica usada para prevenir que el virus sea detectado por el antivirus. Usa técnicas para ocultar su presencia en el sistema.
- Modifica los informes del sistema para ocultar su actividad. Por ejemplo, puede cambiar la cantidad de espacio en disco que reporta el sistema para que no parezca que el virus está ocupando espacio.
- Dificulta la detección porque el sistema parece estar funcionando normalmente, incluso cuando el virus está activo.
Armored virus
🔶Viruses
- Diseñado para hacer más difícil su análisis por expertos y herramientas de seguridad.
- Utiliza capas de código adicional que confunden los intentos de análisis, aumentando así el tiempo que un atacante puede permanecer dentro de un sistema sin ser detectado, lo que le permite causar más daño.
Hoax virus
🔶Viruses
- No es un virus real, sino una técnica de ingeniería social.
- Los atacantes envían mensajes falsos advirtiendo a los usuarios que su sistema está infectado y que deben tomar medidas inmediatas, como descargar un “antivirus” o pagar por soporte técnico.
- Estas acciones a menudo conducen a la instalación de malware real o al robo de dinero.
¿Qué es un gusano y cómo funciona?
🔶Worms - Gusanos
Un gusano es un software malicioso que se replica y se propaga por sí solo, aprovechando vulnerabilidades sin requerir ninguna acción del usuario.
Exploran redes en busca de vulnerabilidades en los sistemas. Cuando encuentran una debilidad, la explotan para infectar el sistema, replicándose y propagándose a otros dispositivos en la misma red o en internet, causando daño continuo y ralentizando los sistemas.
Ejemplos de gusanos notables
🔶Worms
Nimda (2001)
El gusano Nimda se propagó por toda la internet en solo 22 minutos en 2001, a pesar de las lentas conexiones a internet de la época, afectando múltiples sistemas y redes a nivel global.
Conficker (2009)
El gusano Conficker infectó entre 9 y 15 millones de computadoras.
Aprovechó una vulnerabilidad en Windows y creó una red de botnets.
Aunque el gusano no fue utilizado maliciosamente, su red fue desactivada antes de poder ser utilizada.
¿Cuál es el impacto de los gusanos en las redes y sistemas?
🔶Worms
- Los gusanos consumen recursos de red y potencia de procesamiento, lo que ralentiza los sistemas afectados.
- En casos graves, pueden causar interrupciones significativas en los servicios y afectar la operatividad de las organizaciones.
¿Qué es un troyano?
🔶Trojans
Un troyano es un software malicioso que se disfraza como un programa legítimo o deseable, engañando al usuario para que lo instale. Promete realizar una función legítima, como un juego o herramienta, pero ejecuta acciones maliciosas en segundo plano, como instalar puertas traseras, robar datos o modificar archivos sin que el usuario lo sepa. A diferencia de otros malware, los troyanos no se replican por sí solos.
¿Qué es un RAT?
🔶Trojans
RAT (Remote Access Trojan)
Es un tipo de troyano que otorga al atacante control remoto completo de la máquina infectada.
Esto permite realizar acciones como controlar la computadora, robar información sensible o instalar malware adicional.
¿Cuál es un ejemplo de un troyano famoso?
🔶Trojans
En los años 80, Tetris era un juego extremadamente popular. Debido a la falta de internet, muchos compartían versiones del juego en discos. Un atacante aprovechó esto para crear una versión de Tetris que, además de permitir jugar el juego, abría una conexión remota entre la computadora del usuario y la del atacante, permitiendo el control remoto de la máquina del usuario
¿Cómo puedes protegerte de los troyanos?
🔶Trojans
- Usa software de seguridad: Siempre debes verificar los programas descargados de internet con un buen antivirus o una solución antimalware antes de instalarlos.
- Descarga desde fuentes confiables: Evita descargar software desde sitios desconocidos o no verificados.
- Mantén el software actualizado: Asegúrate de que tu sistema operativo y aplicaciones tengan los últimos parches de seguridad para evitar que los troyanos exploten vulnerabilidades conocidas.
¿Qué es el ransomware?
🔶RANSOMWARE
El ransomware es un software malicioso que cifra los datos de un sistema y luego exige un pago de rescate para liberar la clave de descifrado. A menudo se enfoca en activos digitales valiosos y exige pagos en criptomonedas como Bitcoin.
Ejemplos de ataques de ransomware
🔶RANSOMWARE
Ataque a Colonial Pipeline (2021)
El ataque de ransomware a Colonial Pipeline interrumpió el suministro de combustible en la costa este de EE. UU. durante cinco días. El grupo DarkSide exigió $4.4 millones en Bitcoin, lo que fue pagado por la empresa para recuperar el acceso a sus sistemas.
Universidad de Dusseldorf (2020)
Un ataque de ransomware interrumpió los sistemas del hospital, lo que provocó que los pacientes fueran derivados a otros hospitales. Uno de esos pacientes, que estaba en una situación de emergencia, falleció debido al retraso en la atención, marcando el primer incidente de ransomware relacionado directamente con la pérdida de una vida humana.
Su intencion no era atacar al hospital sino a la universidad, cuando se dieron cuenta del error les dieron la clave de descifrado.
¿Cuáles son algunas de las mejores prácticas para prevenir el ransomware?
🔶RANSOMWARE
Realiza copias de seguridad regulares y almacenarlas fuera del sistema afectado, como en un servicio de almacenamiento en la nube o en un dispositivo externo desconectado.
Mantén tu sistema operativo y aplicaciones actualizadas con los últimos parches de seguridad.
Capacita a los usuarios en seguridad, muchos ataques de ransomware se inician cuando un usuario hace clic en un enlace malicioso o descarga un archivo infectado de un correo electrónico de phishing.
Implementar MFA, si un atacante logra obtener las credenciales de acceso de un usuario, el MFA puede evitar que acceda al sistema sin el segundo factor de autenticación.