¿Terminología inequívoca para diferentes tipos de malware?

terminología de malware

  

Primero, ¿existe un estándar que defina estos términos de forma inequívoca?

Malware es un término amplio que incluye cualquier software que realice mal acciones. Hay varios nombres comunes para varias clases de malware. Las definiciones específicas a menudo cambian con el tiempo, como es el caso con el término "virus". Las definiciones comunes para varias formas de malware son:

• Virus modifica los programas existentes, "infectándolos" para que su ejecución también provoque la propagación del virus, hasta que la computadora esté completamente llena de software modificado de manera malintencionada. Los virus verdaderos son bastante raros hoy en día, pero el término continúa siendo usado como sinónimo de malware.
• Los troyanos se disfrazan de programas inofensivos, como videojuegos o protectores de pantalla. Requieren la interacción del usuario para ejecutar. Estos son comunes en los torrentes.
• Los gusanos se propagan por sí mismos a través de la red, a menudo explotando vulnerabilidades de software en los servicios de red. Un gusano que explota software popular puede propagarse extremadamente rápido. Uno de los primeros gusanos, SQL Slammer, un programa de 376 bytes, infectó 75,000 computadoras en los primeros 10 minutos. Ralentizó toda la Internet solo como resultado de la replicación agresiva.
• Los rootkits son kits de herramientas de escalación de privilegios que se ocultan automáticamente. Están diseñados para integrarse en un sistema con un alto nivel de privilegios, lo que garantiza que nada de lo que se ejecuta en la computadora pueda detectarlo. Los rootkits a menudo son capaces de evadir completamente el software antivirus. Los rootkits que infectan el proceso de arranque para secuestrar el sistema durante el inicio del sistema a menudo se denominan bootkits.
• Ransomware es antiguo, pero ha ganado popularidad recientemente. El ransomware simple simplemente bloquea la computadora de la víctima hasta que se paga un rescate. Un ransomware más moderno y sofisticado en realidad encripta archivos y se niega a descifrar hasta que se paga un rescate. Estos programas a menudo hacen un pequeño esfuerzo para evitar su eliminación, ya que su trabajo se realiza tan pronto como se ejecutan por primera vez.
• Spyware es cualquier clase de software malintencionado que supervisa las actividades privadas de un usuario y lo informa al propietario del spyware. Puede ser utilizado por cualquier persona, desde acosadores hasta ladrones de identidad.
• Adware es una de las formas menos dañinas de malware. Adware incluye cualquier software que muestre o inyecte anuncios en una computadora. Se considera malicioso cuando se instala sin consentimiento o intenta evitar su eliminación. Se implementa comúnmente como barras de herramientas del navegador.

El malware puede pertenecer a varias clases. Un programa que se propaga por la red y se incrusta en el núcleo para la persistencia sería un gusano y un rootkit, por ejemplo.

Exploits vs ejecutables

  

Segundo, en caso de que el malware sea el paraguas de todos los programas dañinos, estoy pensando en categorizarlo en una dicotomía de exploits y ejecutables.

Los exploits no son maliciosos. Un exploit es cualquier cosa que intente utilizar una vulnerabilidad de seguridad para violar la confidencialidad, integridad o disponibilidad de un servicio o tarea. El malware sofisticado, especialmente los gusanos, puede contener ataques para romper las barreras de seguridad y propagarse. Sin embargo, todo el malware se clasificará como ejecutable, ya que todos son soft ware (o al menos código ejecutable, como en el caso de shellcode que no es un archivo ejecutable por sí solo, sino que es inyectado en un proceso en ejecución).

Lo que parece estar describiendo es la diferencia entre un gusano o un exploit del navegador (capaz de propagarse con poca o ninguna interacción) y un troyano (requiere la interacción del usuario para desencadenar una infección). Esta taxonomía no añade nada a la situación existente. Mejorar la terminología no es particularmente necesario, ya que estos términos tienden a ser descripciones casuales de comportamiento generalmente malicioso.

  

Primero, ¿existe un estándar que defina estos términos de forma inequívoca?

No que yo sepa. Es simplemente que los términos evolucionaron con el tiempo a medida que surgían nuevos tipos de malware y otros perdían importancia. Y dado que los cambios en los paisajes de amenaza todavía están ocurriendo, estos términos probablemente evolucionarán en el futuro también. Además, los diversos términos describen diferentes aspectos: Ransomware, Adware o Spyware describen el impacto, Trojan y Worm describen cómo se entrega, Rootkit describe dónde reside en la víctima, etc.

  

¿Crees que esto sería una buena taxonomía o defectuosa?

Cualquiera que sea la taxonomía que utilice, probablemente estará sesgada a algunos aspectos específicos o será demasiado compleja e inutilizable. La taxonomía que usted propone se concentra en un solo aspecto: ejecución automática versus ejecución dirigida por el usuario. Puede ajustarse a su propósito específico, pero otros aspectos útiles son cómo se entrega un malware, qué tipo de impacto tiene, si está dirigido o no, qué tipo de sistemas se dirige, si se auto-replica y cómo etc.

Por lo tanto, la pregunta no es si una taxonomía es buena por sí misma. Solo si se conoce el caso de uso de una taxonomía, se puede decidir si se ajusta o no a este caso de uso. Dado que su caso de uso es desconocido, no está claro si esta es una buena taxonomía para su caso de uso o no. Personalmente, encuentro que su propuesta carece del aspecto (para mí) importante sobre cómo el software llega al usuario en primer lugar, pero, una vez más, podría encajar en su caso de uso desconocido.