Post on 10-Apr-2020
La lucha contra la amenaza Rustock
| Informe de inteligencia
de seguridad Edición especial
Enero de 2010 hasta mayo de 2011
La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial 1
La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición
especial
Este documento se publica exclusivamente a título informativo. MICROSOFT NO GARANTIZA,
NI EXPLÍCITA, NI IMPLÍCITA NI LEGALMENTE, LA INFORMACIÓN CONTENIDA EN EL
PRESENTE DOCUMENTO.
Este documento se presenta ―tal cual‖. La información y las opiniones contenidas en el mismo,
incluyendo las direcciones URL y otras referencias a sitios web de Internet, pueden cambiar sin
previo aviso. El lector asume el riesgo de utilizarlo.
Copyright © 2011 Microsoft Corporation. Reservados todos los derechos.
Los nombres de las empresas y productos reales aquí mencionados pueden ser marcas comerciales
de sus respectivos titulares.
Autores David Anselmi – Unidad de Delitos Digitales de Microsoft
Richard Boscovich – Unidad de Delitos Digitales de Microsoft
T.J. Campana – Unidad de Delitos Digitales de Microsoft
Samantha Doerr – Unidad de Delitos Digitales de Microsoft
Marc Lauricella – Trustworthy Computing de Microsoft
Tareq Saade – Centro de Protección contra el Malware de Microsoft
Holly Stewart – Centro de Protección contra el Malware de Microsoft
Oleg Petrovsky – Centro de Protección contra el Malware de Microsoft
Director del programa Frank Simorjay – Trustworthy Computing de Microsoft
2 La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial
Introducción
Este documento presenta un panorama general de la familia Win32/Rustock de troyanos de
puerta trasera activados por rootkits. El documento analiza los antecedentes de Win32/Rustock, su
funcionalidad y forma de actualización, y presenta datos y análisis de la telemetría de la amenaza
desde el año natural 2010 hasta mayo de 2011. Además, el documento detalla las medidas jurídicas
y técnicas utilizadas para frenar el robot Rustock, cómo detectarlo y cómo eliminar la amenaza
mediante los productos antimalware de Microsoft.
La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial 3
Prólogo
Microsoft y el robot Rustock
El 16 de marzo de 2011, Microsoft anunció que su Unidad de Delitos Digitales de Microsoft (DCU,
por sus siglas en inglés), en cooperación con expertos del sector y del mundo académico,
consiguieron desactivar el robot Win32/Rustock. Hasta ese momento, se estima que Rustock tenía
en torno a un millón de equipos infectados funcionando bajo su control, y se sabía que era capaz de
enviar miles de millones de mensajes de correo electrónico no deseado cada día, incluyendo avisos
falsos de sorteos de Microsoft y falsas —y potencialmente peligrosas— ofertas de medicamentos
bajo receta.
La captura del Rustock fue la segunda de un robot orquestada por Microsoft mediante una
iniciativa conjunta de la DCU, el Centro de Protección contra el Malware de Microsoft (MMPC) y
Trustworthy Computing de Microsoft, conocido como Proyecto MARS (siglas, en inglés de Respuesta
Activa de Seguridad de Microsoft). El Proyecto MARS se inició como método para detectar y
desactivar robots y las infraestructuras delictivas que sustentan, así como para ayudar a sus víctimas
a recuperar el control de sus equipos infectados. La primera desactivación de un robot en el marco
del Proyecto MARS se produjo en la primavera de 2010, una iniciativa denominada ―Operación
b49‖, que desactivó al robot Waledac. La Operación b49 fue una especie de demostración del
concepto de desactivación de robots de Microsoft, y fue seguida por la caza de un robot mucho
mayor y más dañino, conocido como Rustock, a principios de 2011. Al igual que Waledac, la
desactivación de Rustock (cuyo nombre clave fue Operación b107) se basó en la aplicación
novedosa de técnicas jurídicas y técnicas para romper la conexión entre la estructura de comando y
control del robot Rustock de una parte, con los equipos infectados por el malware bajo su control de
la otra, para interrumpir los continuos daños provocados por el robot.
Las desactivaciones de robot a gran escala, como en estos casos, no son tareas que puedan realizarse
aisladamente. Requieren un alto grado de colaboración entre expertos del sector, investigadores
académicos, organismos de seguridad pública y gobiernos de todo el mundo. En este caso específico,
Microsoft colaboró con Pfizer, el proveedor de redes de seguridad FireEye y los expertos de
seguridad de la Universidad de Washington. FireEye aportó importante asistencia técnica para el
análisis de Rustock; los tres presentaron declaraciones ante un tribunal federal acerca de los peligros
que suponía el robot Rustock y sus repercusiones en la comunidad de Internet. Microsoft también
colaboró con la Unidad de Delitos de Tecnología Punta de la policía holandesa para ayudar a
desmantelar la estructura de comando del robot que operaba fuera de EE.UU. Además, Microsoft
4 La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial
trabajó con CN-CERT para bloquear en China el registro de dominios que Rustock podría haber
utilizado para futuros servidores de comando y control.
La principal lección que hemos aprendido de todas estas iniciativas de lucha contra los robots es que
la cooperación en las tareas de bloqueo preventivo es fundamental para el éxito.
Richard Boscovich
Abogado, Unidad de Delitos Digitales de Microsoft
La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial 5
Cómo actúa Win32/Rustock
Win32/Rustock una familia de troyanos de puerta trasera activados por rootkits formada por
varios componentes, históricamente desarrollados para ayudar a distribuir correo electrónico no
deseado. Las primeras detecciones de Rustock datan de principios de 2006. A partir de 2008,
Rustock comenzó a aparecer en cantidades importantes, y hacia mediados de 2010 se había
convertido en una de las amenazas informáticas más generalizadas del mundo Figura 1. Las recientes
variantes parecen estar asociadas a programas de seguridad fraudulentos.
Figura 1. Detecciones de Win32/Rustock por soluciones antivirus de Microsoft, octubre de 2008–mayo de 2011
Componentes e instalación
Rustock consta de tres componentes diferenciados que se cifran utilizando tecnologías
personalizadas y de terceros. Aunque Rustock ha evolucionado en los últimos cinco años, se basa en
gran medida en utilidades de compresión de códigos y de ofuscación, como aPLib y UPX, así como
en el algoritmo de cifrado RC4.
En los siguientes párrafos describimos los tres componentes y su participación en el proceso de
infección de Rustock:
6 La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial
1. El lanzador se ejecuta en modo de usuario y es
responsable de descifrar y de introducir el
componente de controlador de rootkit. (El
componente lanzador también es responsable de
ponerse en contacto con el servidor de comando y
control (C&C) de Rustock para determinar si hay
actualizaciones disponibles.)
Antes de intentar infectar el equipo, el lanzador
verifica el registro para comprobar si el rootkit de
Rustock ya está presente. Lo hace buscando la
presencia de determinadas claves de ―eventos
globales‖ que Rustock añade al registro del
equipo una vez plenamente instalado. Si el rootkit
está presente y activo, el lanzador no intenta
volver a infectar el equipo.
El código del componente lanzador es complejo; es deliberadamente difícil y no está
optimizado. Emplea saltos polimórficos y no tiene cadenas estáticas. Se cifra con el
algoritmo RC4, tras lo cual se empaqueta con la biblioteca de compresión aPLib.
2. El componente instalador del controlador se ejecuta en modo kernel, disfrazado de
controlador del sistema Windows. Este componente intenta ocultarse sustituyendo un
controlador como beep.sys o null.sys con una copia de sí mismo, y sustituyéndolo una vez
que se ha iniciado. Si este intento no tiene éxito, normalmente el instalador utiliza un
nombre de archivo preprogramado o generado aleatoriamente, en función de cuál sea la
variante de Rustock. Entre algunos ejemplos de nombres de archivos preprogramados se
incluyen glaide32.sys y lzx32.sys; 7005d59.sys es un típico nombre de archivo aleatorio
que los investigadores han descubierto.
Las variantes más antiguas de Rustock empleaban varias técnicas alternativas para
instalarse como controlador del sistema y evitar ser detectadas. Los investigadores han
observado variantes que intentan instalarse para anular archivos compartidos (por ejemplo,
\\127.0.0.1\admin$\system32\drivers\nombreunidad.sys), soltando el instalador como
flujo de datos alternativo (como System:lzx32.sys, entre otros). Las versiones más modernas
de Rustock utilizan el enganche del servicio del sistema para cargar ocultamente este
componente.
3. El componente controlador de rootkit se ejecuta en modo kernel, al igual que el instalador
del controlador. Este componente representa el lado del modo kernel de la carga
destructiva de Rustock. El cliente del robot en modo de usuario se comunica con el rootkit
usando interrupciones INT 2Eh.
Figure 2. Win32/Rustock schematic diagram
La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial 7
Este componente contiene todo el código que administró la funcionalidad de intrusión por
puerta trasera, como comunicarse con el servidor de C&C y ejecutar las instrucciones enviadas
por los operadores de Rustock (normalmente, el envío de mensajes de correo no deseado).
Al igual que los demás, este componente empieza por descifrarse a sí mismo y, a continuación, se
autoinyecta una copia de su código descifrado antes de transferir el control a la copia de
reciente instancia.
Para ocultar su presencia, el componente rootkit engancha una variedad de funciones de la
Tabla de despacho de servicios del sistema (SSDT), incluyendo ZwCreateEvent, ZwCreateKey
y ZwOpenKey, para pasar el filtro de cualquier petición que contenga su propio nombre.
También oculta sus operaciones de disco y de red enganchando funciones en ntoskrnl.dll y
ntdll.dll, así como en controladores de red como tcpip.sys y wanarp.sys.
Además de las técnicas de protección antes descritas (cifrado de RC4, código no optimizado y
con saltos), Rustock busca la presencia de depuradores de kernel, como WinDBG, Syser y
SoftICE. También intenta mantener la continuidad del código comprobándose continuamente
en busca de modificaciones utilizando sumas de comprobación CRC32, y explorándose para
detectar puntos de ruptura de software (0xCC).
Correo no deseado
Una vez que Rustock se ha instalado y disfrazado cuidadosamente en el equipo del usuario, está
preparado para conectarse y comunicarse con sus servidores de C&C. Antes de la desactivación,
estos servidores enviaban información de los equipos infectados con Rustock e instrucciones para
enviar mensajes de correo no deseado sin el conocimiento, autorización ni participación de los
usuarios.
La estructura del componente de correo basura ha variado. En algunos casos está integrado en el
componente de rootkit en modo kernel; en otras, los investigadores observaron que el componente
rootkit lo baja al disco por separado, donde se ejecuta en un contexto de usuario.
Las primeras versiones de Rustock utilizaban un motor de cliente de SMTP personalizado
denominado ―botdll.dll‖ para enviar correo no deseado. En 2008, Rustock fue modificado para
enviar correo basura a través de Windows Live Hotmail utilizando credenciales suministradas por el
servidor de C&C. El envío de correo electrónico directamente desde el equipo de un usuario suele
ser un indicio revelador de infección por malware, y los riesgos son detectados como actividad
maliciosa por los servidores de seguridad (cortafuegos) y otras tecnologías de vigilancia de redes.
Utilizando un cliente de correo electrónico basado en web, Rustock tenía más posibilidades de
evitar la detección.
8 La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial
Además, el pasarse a Hotmail permitió a Rustock aprovechar las ventajas de SSL. Mientras que los
mensajes de correo electrónico tradicionales se enviaban en texto sin formato, Rustock podía ahora
cifrar su tráfico de salida utilizando DHTTPS, otro método más para evadir la detección.
El correo basura enviado por los equipos infectados está basado en ―plantillas de correo no deseado‖,
o archivos de recursos, que los equipos del usuario recibieron desde los servidores de C&C. Los
equipos infectados utilizaron estas plantillas, algunas de las cuales contienen ilícitamente marcas
comerciales de Microsoft, para generar el correo basura que enviaban. Los operadores de Rustock
podían ahora determinar cuán agresivamente un equipo enviaba correo basura especificando el
número de hilos que empleaba para enviar mensajes, hasta un máximo de 100.
Algunas amenazas de malware de correo masivo, como Win32/Lethic, incluyen varias direcciones
en la línea ―Para‖. A diferencia de estas amenazas, Rustock enviaba mensajes de correo basura a un
destinatario cada vez.
Figura 3. Comparativa de los modelos de distribución de correo no deseado de Rustock y Lethic
Despliegue y carga destructiva
A medida que Rustock evolucionó, también lo hizo su carga destructiva. Inicialmente fue diseñado
para enviar correo electrónico no deseado, y originalmente estuvo asociado con la infraestructura de
McColo y de la Russian Business Network (donde se vio alojados a los instaladores). Los mensajes de
La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial 9
correo no deseado típicos que enviaba con más frecuencia tenían que ver con productos
farmacéuticos o sitios de farmacia falsos, o bien vinculados a páginas que ocasionalmente alojaban
malware adicional.
Se observo asimismo que Rustock dirigía tráfico hacia sitios de software de seguridad fraudulento
que llevaban a los usuarios a comprar e instalar productos antivirus falsos empleando técnicas de
ingeniería social. Además, se sabía que Rustock instalaba software de seguridad fraudulento y otros
programas de malware en equipos infectados, tanto directamente como a través de engaños.
La DCU realizó un experimento conjuntamente con el MMPC, que consistió en vigilar
estrechamente un host infectado con Win32/Harnig (un conocido lanzador de Rustock) para
determinar qué malware adicional se instalaría. En el curso de los cinco minutos siguientes a la
infección sin interacciones, en el equipo infectado se había descargado e instalado una amplia
variedad de malware adicional y de software potencialmente no deseado, como puede verse en la
siguiente figura:
Figura 4. Amenazas instaladas por Win32/Harnig dentro de los cinco minutos siguientes a la infección
Nombre de la amenaza MD5
Software de publicidad: Win32/Zugo 5a77b40c7e9de96a4183f82da0836a19
Puerta trasera: Win32/Kelihos.A 1454b22c36f1427820b24b564efb2e39
Descargador de troyanos: Win32/Stasky.A 19616154d6d63a279d77ae11f7b998e9
Descargador de troyanos: Win32/Bubnix.A 8e159ff1bbd5a470f903d0e32979811c
Seguridad fraudulenta: Win32/FakeSpypro 76f4c35d23b7363fcf6d1870f0169efe
Troyano: Win32/Malagent 7d6ead50862311242902df065c908840
Troyano: Win32/Harnig.gen!D d0556114e53bae781a5870ef4220e4fc
Troyano: Win32/Hiloti.gen!D 1c8cb08d2841f6c14f69d90e6c340370
Troyano: Win32/Hiloti.gen!D 444bcb3a3fcf8389296c49467f27e1d6
Descargador de troyanos: Win32/Renos.MJ 5571a3959b3bd4ecc7ae7c21d500165f
Descargador de troyanos: Win32/Renos.MJ 89f987bdf3358e896a56159c1341f518
Descargador de troyanos: Win32/Small.SL ccd08d114242f75a8f033031ceeafb88
Troyano: Win32/Meredrop 23472a09a1d42dc109644b250db0ca1e
Descargador de troyanos: Win32/Waledac.C b7030bdf24d6828c6a1547dc2eece47d
Descargador de troyanos: Win32/Waledac.C de5bd40cb5414a5d03ffd64f015ffacc
Puerta trasera: Win32/Cycbot.B 86d308e7a03e9619dbf423e47ac39c50
Descargador de troyanos: Win32/Small.SL 2664b0abf4578d0079e3ad59ab697554
Gusano: Win32/Skopvel 331fe9a906208ce29ba88501d525356b
Seguridad fraudulenta: Win32/Winwebsec e4a9504875c975b8053568120c56743b
10 La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial
Muchas de las amenazas enumeradas en Figura 4 han sido diseñadas para descargar todavía más
amenazas a diversos intervalos.
Múltiples capas de descargadores de troyanos forman complejas cadenas de relaciones entre los
propietarios de diferentes redes de malware. A menudo se dice que el acceso a los robots está en
alquiler, pero también lo está el acceso a las ubicaciones de descargadores. Este acceso queda en
evidencia por el hecho de que los archivos dirigidos por los descargadores cambian continuamente.
En ocasiones son permutados por versiones más nuevas del malware o por versiones oscurecidas de
diferentes maneras, y otras veces son cambiados por algo completamente diferente.
Debe destacarse que Rustock emplea una arquitectura modular de carga destructiva: el cliente de
robot en modo de usuario de las versiones anteriores, como botdll.dll, pudo ser sustituido fácilmente
por otra carga destructiva. Aunque Rustock dedicaba la mayor parte de su tiempo a enviar correo
basura, pudo ser fácilmente utilizado para prácticamente cualquier fin nefasto con mínimas
modificaciones.
Mecanismo de control de la copia de seguridad
Cuando no podía acceder a los servidores de C&C, Rustock contaba con un mecanismo de
recuperación para restablecer las comunicaciones. El malware incluye un algoritmo que genera
diariamente 16 nuevos nombres de dominio, que consisten en cadenas de caracteres sin sentido.
como jvwyqarglgwqvt.info y hy38la8rwpaqlpiy.com. A continuación, los equipos infectados
intentan ponerse en contacto con cada uno de estos dominios. Los operadores de Rustock utilizan el
mismo algoritmo para generar con antelación los nombres de dominio, y los emplean como puntos de
comando y control. Se han identificado variantes de Rustock que utilizan seis algoritmos diferentes,
cada uno de los cuales genera distintas listas de nombres de dominio, hasta un total de 96 nuevos
nombres de dominio diarios. Como se explica más adelante en la sección "Estadísticas de Rustock‖,
los investigadores de Microsoft han conseguido aprovechar este mecanismo para obtener valiosa
información acerca de la amplitud y el alcance del robot Rustock.
La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial 11
Derrota de Rustock en los
tribunales
La del Rustock fue la segunda desactivación importante de un robot que Microsoft ha promovido en
los dos últimos años. En 2010, Microsoft pidió y obtuvo una orden judicial para cerrar varios
dominios maliciosos utilizados por el robot Waledac. (Consulte más información en el sitio webdel
Informe de inteligencia de seguridad.) Como parte de esa iniciativa, Microsoft presentó una querella
contra los operadores anónimos del robot Rustock, basada en parte en el abuso de las marcas
comerciales de Microsoft en el correo basura del robot.
Figura 5. La orden de restricción temporal otorgada contra los operadores del robot Rustock.
Sin embargo, la infraestructura de Rustock era mucho más complicada que la de Waledac, basada
en direcciones IP más que en nombres de dominio, y en servidores de comando y control (C&C)
12 La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial
punto a punto para controlar el robot. En un intento por impedir que el robot pudiese trasladarse
rápidamente a la nueva infraestructura, el 9 de marzo de 2011 Microsoft pidió y obtuvo una orden
judicial que incorporaba una orden de confiscación. Esta orden permitió a la empresa, acompañada
por las autoridades, capturar físicamente pruebas sobre el terreno y, en algunos casos, llevarse los
servidores afectados de las instalaciones de los proveedores de alojamiento para su análisis. (Esta
orden, así como otros documentos del caso, puede consultarse en www.noticeofpleadings.com.)
Figura 6. Discos duros confiscados de los servidores de C&C de Rustock
El 16 de marzo de 2011 fueron incautados servidores a cinco proveedores de servicios de alojamiento
que operan en siete ciudades de EE.UU.: Kansas City (Misuri); Scranton (Pensilvania); Denver
(Colorado); Dallas (Texas); Chicago (Illinois); Seattle (Washington); y Columbus (Ohio). Con la
ayuda de los proveedores ascendentes, Microsoft consiguió cortar las direcciones IP que controlaban
el robot, desconectando las comunicaciones y desactivarlo.
A renglón seguido, Microsoft realizó una investigación forense de 20 de los discos duros incautados,
que revelaron información importante acerca del funcionamiento del robot:
Las pruebas de difusión halladas en uno de los discos duros incluyeron software
personalizado relacionado con el montaje de mensajes de correo electrónico no deseado, y
archivos de texto conteniendo miles de combinaciones de direcciones de correo electrónico
La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial 13
y nombres de usuario/contraseñas. En solamente un archivo de texto se encontraron más de
427.000 direcciones de correo electrónico. Muchas de las plantillas de correo basura
aportaron pruebas de abuso de marcas comerciales pertenecientes a Microsoft y a
compañías farmacéuticas.
Otra unidad incluía datos que indicaban que el servidor del cual fue tomada la unidad se
empleó como punto de partida para ciberataques del espacio ruso de IP.
Todas las 18 unidades restantes presentaron características comunes que indicaban que los
servidores asociados eran utilizados como nodos en una red que permite el acceso anónimo
a Internet. Posiblemente estos servidores fueron utilizados para permitir a los operadores
acceder anónimamente a los sistemas de Rustock como los descritos anteriormente, donde
se almacenaban plantillas de correo electrónico, marcas comerciales y direcciones de
correo electrónico.
Por otra parte, el análisis forense de las unidades también reveló varias direcciones de correo
electrónico posiblemente utilizadas por los operadores durante los ensayos del sistema.
Mediante la investigación de los acuerdos de alojamiento de los servidores, Microsoft determinó que
los servidores de C&C de Rustock eran pagados mediante una cuenta de servicios de pago por
Internet asociada a una dirección de la región de Moscú, Rusia. Del mismo modo, una serie de
servidores de C&C fueron establecido por una o más personas con el apodo de ―Cosma2k‖, que
estaba conectada a una serie de diferentes nombres.
Microsoft sigue investigando todos estos nombres, direcciones de correo electrónico y demás pruebas
con el objeto de identificar a los individuos responsables de implementar y explotar el robot Rustock
y adoptar las medidas legales pertinentes.
14 La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial
Estadísticas de Rustock
Entre el 22 de enero y el 4 de febrero de, 2011, Microsoft detectó que equipos infectados por Rustock
se conectaron a Internet desde más de 1.300.000 direcciones IP únicas de todo el mundo. El nivel de
infección de la arquitectura de Rustock está conformado por un gran número de equipos infectados
instalados en empresas, residencias particulares, instituciones educativas, bibliotecas y cibercafés de
todo el mundo.
La siguiente cifra muestra la enorme cantidad de conexiones a Internet realizadas en el curso de 24
minutos por un único equipo infectado por Rustock. Este equipo estableció tres conexiones normales,
pero también ejecutó 1406 búsquedas exclusivas en varios hosts A de DNS de Internet, 2238
búsquedas exclusivas de registros MX de DNS en servidores de correo de Internet. Además, intentó
enviar correo basura a 1376 servidores de correo de Internet, incluyendo un buen número de clientes
de cuentas de correo electrónico de Hotmail y MSN, y estableció 22 conexiones a servidores de
C&C u otros servidores de Internet.
La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial 15
Figura 7. Representación visual de la actividad de un único equipo infectado por Rustock en el plazo de 24 minutos.
Estadísticas de la infección
Tal y como ya se ha explicado previamente en la sección ―Cómo actúa Win32/Rustock‖, las
variantes de Rustock han sido diseñadas para contactar con una serie de nombres de dominio
generados algorítmicamente con el objeto de obtener instrucciones en caso de que los servidores de
C&C no estuviesen disponibles. Los investigadores de Microsoft consiguieron someter con éxito a
ingeniería inversa a los algoritmos de generación de nombres de dominio de Rustock antes de la
desactivación del 16 de marzo, lo cual les permitió registrar ellos mismos los nombres de dominio
para evitar que los operadores de Rustock pudiesen controlarlos. Estos nombres de dominio fueron
asignados a sumideros (complejos de servidores diseñados para absorber y analizar el tráfico de
malware) operados por Microsoft, lo cual permitió observar y estudiar el tráfico del robot. La
16 La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial
telemetría generada por los servidores de sumidero ha aportado valiosa información acerca del
ámbito geográfico del robot de Rustock.
Figura 8. Direcciones únicas de IP que contactaron con el sumidero de Rustock durante las primeras 8 semanas posteriores a la desactivación, por semana
Al igual que la mayoría de las familias de malware, Rustock no afecta de igual manera a todas las
partes del mundo. La siguiente figura muestra el número de resultados recibidos por los servidores
de sumidero desde los equipos infectados por Rustock durante la primera semana posterior a la
desactivación.
La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial 17
Figura 9. Distribución mundial del tráfico de Rustock durante la primera semana posterior a la desactivación
Los equipos infectados de EE.UU. fueron los que generaron la mayor parte del tráfico del sumidero
durante la primera semana: 55,8 millones de resultados. Después de EE.UU. se clasificaron Francia
(13,7 millones de resultados), Turquía (13,4 millones), Canadá (11,4 millones), India (7,3 millones) y
Brasil (7,1 millones). No obstante, algunos países con gran número de equipos generaron
relativamente pocos resultados, como China (423.078 en la primera semana), Chile (500.925),
Dinamarca (539.577)y Noruega (581.263).
El número de direcciones IP que contactaron con el sumidero descendió en un 44,2% entre la
primera y la octava semana después de la desactivación, a medida que las variantes de Rustock iban
siendo eliminadas de los equipos afectados mediante software antivirus y otros medios, como
secuencias de comandos, herramientas de eliminación y reinstalación de equipos. Al igual que con
las infecciones iniciales, esta disminución no afectó a todas las regiones del mundo de igual manera.
Figura 10 y Figura 11 muestran el porcentaje de descenso de direcciones IP únicas que contactaron
con el sumidero de Rustock entre la primera y octava semanas después del 16 de marzo en diferentes
lugares del mundo, así como los proveedores de servicios de Internet (ISP) más afectados.
18 La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial
Figura 10. Disminución de direcciones IP que contactaron con el sumidero de Rustock durante las primeras 8 semanas posteriores a la desactivación, por ubicación
Figura 11. Disminución del tráfico de Rustock desde los 15 ASN más afectados entre el 16 de marzo y el 17 de mayo
ASN Rank Continent Unique IPs – Week 1 Unique IPs – Week 9 Decreas
e
Affected ASN 1 Asia 117,480 42,109 64.2%
Affected ASN 2 Asia 73,751 43,745 40.7%
Affected ASN 3 Asia 33,303 12,015 63.9%
Affected ASN 4 North America 31,405 17,611 43.9%
Affected ASN 5 Asia 28,890 11,785 59.2%
Affected ASN 6 Asia 28,829 11,646 59.6%
Affected ASN 7 Asia 28,738 13,472 53.1%
Affected ASN 8 Asia 24,709 13,480 45.4%
Affected ASN 9 Europe 23,440 15,006 36.0%
Affected ASN 10 Asia 22,723 7,839 65.5%
Affected ASN 11 Asia 21,680 6,242 71.2%
Affected ASN 12 Europe 21,543 9,982 53.7%
Affected ASN 13 Europe 20,239 13,551 33.0%
Affected ASN 14 Asia 18,955 11,632 38.6%
Affected ASN 15 Europe 17,878 9,974 44.2%
La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial 19
Estadísticas de correo no deseado
Aunque su comportamiento fue variando con el correr del tiempo, se ha dicho que Rustock ha sido
uno de los mayores robots de correo basura del mundo, capaz de enviar a veces 30.000 mensajes de
correo electrónico no deseado cada día. Los investigadores de la DCU observaron a un único equipo
infectado por Rustock enviar 7.500 mensajes de correo basura en solamente 45 minutos, un ritmo de
240.000 mensajes diarios. Además, gran parte del correo basura observado procedente de Rustock
suponía un peligro para la salud pública al publicitar versiones falsificadas o no autorizadas de
productos farmacéuticos.
Como se ha mencionado previamente, dado que Rustock propagaba un mercado de estos fármacos
falsificados, la farmacéutica Pfizer se incorporó a este caso como afectada. Pfizer realizó compras de
prueba de los medicamentos publicitados por Rustock e incluyó los resultados de sus análisis en su
declaración. La declaración de Pfizer aportó pruebas de que el tipo de fármacos promovidos
mediante este tipo de mensajes de correo basura contenían ingredientes activos erróneos,
dosificaciones incorrectas o, todavía peor, que se producían en condiciones inseguras. Los fármacos
falsificados suelen estar contaminados por sustancias que incluyen pesticidas, pinturas con plomo y
ceras para suelos, por mencionar solamente unos pocos ejemplos.
Figura 12. Mensaje no deseado enviado a través del robot Rustock
20 La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial
Actividad de correo no deseado de Rustock detectada
mediante tecnología de Microsoft
Grandes volúmenes de correo basura procedente de Rustock fueron detectados utilizando
Microsoft® Forefront® Online Protection for Exchange (FOPE). FOPE cuenta con tecnologías en capa
que contribuyen activamente a proteger el correo entrante y saliente de las organizaciones contra
correo no deseado, virus y suplantaciones (phishing), quebrantando las directivas de correo
electrónico. La siguiente figura muestra la actividad de correo basura del robot Rustock desde enero
hasta abril de 2011 detectada por FOPE, clasificada por mensajes recibidos y las distintas
direcciones IP utilizadas.
Figura 13. Actividad del robot Rustock detectada por FOPE el primer trimestre de 2011, por mensajes recibidos y direcciones IP utilizadas
Por motivos no totalmente claros, aunque podrían reflejar las vacaciones de Navidad, el robot
Rustock se mantuvo prácticamente inactivo entre el 25 de diciembre de 2010 y el 9 de enero de
2011. El robot reanudó su funcionamiento normal tras esta pausa, y hacia principios de febrero
mostraba un patrón típico estable. Tras la desactivación, la actividad del robot cayó abruptamente
hasta casi cero a mediados de marzo.
Conclusión
La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial 21
Se ha dicho que Rustock ha sido uno de los mayores robots de correo basura del mundo, capaz de
enviar a veces 30.000 mensajes de correo electrónico no deseado cada día. Mediante los esfuerzos
combinados de Microsoft, el sistema judicial y el sector, Rustock fue desactivado el 16 de marzo de
2011.
22 La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial
Las medidas adoptadas contra robots a gran escala, como Waledac y Rustock, han sido las primeras
de su tipo, pero no serán las últimas. A medida que los ciberdelincuentes sigan utilizando los robots como base de su actividad delictiva, Microsoft, el sector, el mundo académico y las autoridades de todo el mundo mantendrán su compromiso del combatirles. Juntos podemos impedir que los delincuentes utilicen robots para causar estragos en línea y crear un Internet más fiable para todos.
La lucha contra la amenaza Rustock – Informe de inteligencia de seguridad: Edición especial 23
Orientación: Defensa contra
software malicioso y
potencialmente
no deseado
La protección eficaz de los usuarios contra el malware requiere esfuerzos de arte de las
organizaciones e individuos. Es importante mantener actualizadas las defensas contra el malware y
mantenerse informados acerca de la evolución más reciente de las técnicas de propagación del
malware, incluyendo la ingeniería social.
Para una orientación más detallada, consulte los siguientes recursos en la sección ―Mitigación de
riesgos‖ del sitio web del Informe de inteligencia de seguridad de Microsoft:
Promoción de la exploración segura
Protección de la gente
Si cree que su equipo pudiese estar infectado por Rustock u otro tipo de malware, le invitamos a
visitar support.microsoft.com/botnets para obtener información y recursos gratuitos para limpiar su
PC.
One Microsoft Way
Redmond, WA 98052-6399,
EE.UU.
microsoft.com/security