SlideShare una empresa de Scribd logo

ESR II - Modulo 1 - Codigo Malicioso

Descargar como PPT, PDF
F
foalonso

El documento introduce los conceptos de malware y virus informáticos, describiendo sus características, clasificaciones, formas de propagación y daños. Explica los tipos de virus como boot sector, file, macro y encriptados, así como sus síntomas y etapas de contaminación. Finalmente, recomienda medidas de protección como software antivirus, firewalls e implementación de políticas de seguridad.

1 de 52
Modulo 1 - Malware ESR II Lic. Fernando Alonso, CISSP, CCNA, GSEC
Introducción Ya sea que usted administre una red corporativa de computadoras, o bien su propio sistema hogareño, probablemente haya sido víctima de algún tipo de virus informático , al menos una vez. Podemos definir el término “Código Malicioso�� , como “Todo programa o fragmento de código, que genera en su accionar, algún tipo de problema en el sistema de cómputo en el cual se ejecuta, interfiriendo de esta forma con el normal funcionamiento del mismo”. Los distintos tipos de “Código Malicioso” comparten algunos aspectos en común: Generalmente se trata de componentes de software, desarrollados con un fin específico En algún punto interfieren con la operación normal del sistema de cómputo Suelen instalarse y ejecutarse sin el consentimiento “expreso” del usuario Requieren de un sistema de cómputo anfitrión para cumplir su cometido
Introducción Muchas cosas han cambiado desde la aparición de las primeras formas de “Código Malicioso” , aunque sin lugar a dudas la capacidad de distribución es el factor de mayor evolución, aquí encontramos: Memoria compartida Sector de arranque de los discos Recursos compartidos en una red Internet Hoy en día, no sólo los programadores expertos en desarrollo de virus representan una amenaza, también puede resultar sencillo conseguir a través de Internet , herramientas que permiten a una persona sin muchos recursos intelectuales generar su propio virus .
Introducción Código Malicioso o Malware : Pieza de software intencionada con producir daño o al menos generar efectos distintos para los que su objetivo se encuentran programados. Los costos del Malware: Costos reales : Costos directos y visible de impacto. Costos ocultos : Costos encadenados por el incidente, costos intangibles como imagen y prestigio comercial, desconfianza de clientes, perdida de carteras comerciales, etc.
Introducción Propagación del Malware
Introducción Clasificación del Malware – Características de la clasificación Auto-reproducción : Capacidad de auto-replicarse Crecimiento : Cantidad de instancias en las que puede reproducirse y/o auto clonarse Parasitismo : Si necesita de otro código para ejecutarse o se ejecuta por si solo.
Clasificación Al margen de las características comunes que comparten los distintos tipos de “Código Malicioso” , existen diferencias fundamentales que hacen necesaria su clasificación de acuerdo a : Origen Forma Daños que provocan Función para la cual se desarrollaron Siguiendo este criterio, encontramos: Virus Troyanos Cookies Keyloggers Spyware
Virus Los virus informáticos , son quizás el tipo de “Código Malicioso” más extendido. Su historia y evolución han hecho de ellos una de las amenazas más temidas para los administradores de sistemas de información y usuarios en general. Un virus es una pieza de software diseñada para infectar un sistema de cómputo. En esencia, no son más que pequeños componentes de software, desarrollados generalmente en lenguajes de alto nivel, bajo nivel e híbridos ( C, C++, Assembler , etc .). Generalmente suelen acarrear problemas mayores que van desde la simple eliminación de archivos claves del sistema, pasando por la completa destrucción de particiones de discos duros, hasta llegar a dañar el firmware del equipo de la víctima.
Virus Partes de un virus Mecanismo de infección Detonador (Trigger) Carga (Payload)
Tipos de Virus S uelen clasificarse en función de múltiples características y criterios: Origen Técnicas que utilizan para infectar Tipos de archivos que infectan Lugares donde se esconden Daños que causan Plataforma que atacan, etc. Siguiendo estos criterios, encontramos: Macro Virus Boot Sector Infectors Polimorfos Bombas Lógicas Hoax Troyanos Gusanos Retrovirus Encriptados File Virus Stealth , etc.
Tipos de Virus Boot Sector Infectors
Tipos de Virus File Infectors
Tipos de Virus Macro Virus
Tipos de Virus Encriptados
Tipos de Virus Encriptados
Tipos de Virus Stealth
Virus Famosos Melissa SQL Slammer Blaster K&FPV Bugbear Chernobyl I Love You Sircam Nimda Código Rojo Sobig MyDoom Sasser
Síntomas de un ataque Suelen existir diferentes síntomas de un ataque o infección de acuerdo al tipo de virus que actúe en cada caso. Como regla general, debería sospechar de su instalación de software si observara al menos alguno de los siguientes síntomas: Los programas en su sistema tardan en cargar o lo hacen muy lentamente Archivos desconocidos aparecen en su disco rígido Archivos necesarios para la ejecución de uno de sus programas o del sistema operativo desaparecen de su disco rígido Escrituras inesperadas en una unidad de disco Actividad de pantalla no estándar o extraña El tamaño de sus archivos de programa cambia súbitamente respecto de su tamaño original Su sistema repentinamente no inicia o exhibe algún mensaje de error inesperado Su sistema se resetea en forma inesperada
Etapas de Contaminación Se suele referirse al “Ciclo de Vida de un Virus” , haciendo un paralelismo con su partida biológica. El siguiente esquema describe cada etapa: Creación Replicación Activación Descubrimiento Asimilación Erradicación
Daños que producen La peligrosidad de un virus se establece en base a dos criterios principales: Su capacidad de hacer daño. La posibilidad de propagación o difusión del código malicioso . Entre las consecuencias más importantes, tenemos: Daños a determinado tipo de hardware. Alteración o pérdida de datos. Denegación de Servicio. Manipulación de Datos. Pérdida de Productividad. Pérdida de Credibilidad. Vergüenza.
Medidas de Protección Los ataques producidos por virus , suelen estar ligados legalmente a lo que se conoce como “Leyes de Delitos Informáticos”. Hoy día, a la luz de las nuevas amenazas, debe trabajarse fuertemente en lo que se conoce como el modelo de “Prevención por Capas” : Instalación de actualizaciones de seguridad liberadas para sistemas operativos y de aplicación. Implementación de software antivirus en estaciones de trabajo. Implementación de software antivirus en servidores de archivos. Implementación de software antivirus en servidores de correo corporativo. Implementación de software antivirus sobre la navegación corporativa (proxies). Implementación de software de administración de contenidos. Implementación de políticas de filtrado en el perímetro externo. Implementación de sistemas de búsqueda y actualización de vulnerabilidades. Implementación de una política de control de instalación de software legal.
Medidas de Protección Un buen software de control antivirus debería cumplir, como mínimo, con los siguientes requisitos que a continuación se detallan: Debe estar certificado por la ICSA ( International Computer Security Association ) Debe tener exploración en tiempo real o programado Debe contar con una consola de administración y reportes central Debe contar con las herramientas para proteger los diferentes focos de infección ( discos, mail, web, etc ) Debe cubrir la actualización de nuevas firmas antivirus en forma automática y desatendida en servidores y clientes No debe degradar la performance del dispositivo resguardado Debe contar con herramientas de logueo de eventos, estadísticas y reporte para el seguimiento de incidentes Debe implementar un sistema de alarmas ( e-mail, traps SNMP, pager. etc )
Troyanos En su definición más amplia, solemos referirnos a los Troyanos como todo programa que lleva oculta una funcionalidad determinada, que será usada con fines maliciosos y en contra del usuario que lo instala. Una de las principales diferencias entre un virus y un troyano , es la inhabilidad de estos últimos para replicarse. Otra de las grandes diferencias, es que generalmente, el troyano forma parte del código fuente del programa instalado y se compila junto con él, mientras que el virus simplemente se añade o suplanta el programa original. Los troyanos , suelen llegar a nuestro sistema, como un programa aparentemente inofensivo, pretendiendo “ser algo que no son” o “hacer algo que no hacen”.
Troyanos A través del tiempo, gran cantidad de troyanos fueron liberados al público en general. Casi todos ellos, tienen su origen en grupos de hackers . La gran mayoría cuentan con algunas de las siguientes características principales: Edición remota del registro Capacidad para compartir archivos Apagado/Reinicio del sistema Recupero de contraseñas almacenadas en cache Captura de pantallas Keylogger Monitoreo del tráfico de red Funcionalidades de Proxy
Troyanos Redirección de puertos y aplicaciones Funciones “Fun” o divertidas ( Apertura y cierre del CD-DRIVE , intercambio de botones del mouse, ejecución de archivos .WAV , Grabar sonidos desde un micrófono, etc ) Presentación de imágenes ( BMP/JPEG ) y mensajes en pantalla Ejecución de aplicaciones Manipulación del sistema de archivos Notificaciones del éxito del ataque a través de aplicaciones tales como ICQ , IRC o correo electrónico Entre los más importantes, encontramos: Back Orifice Netbus SubSeven Optix , etc.
Funcionamiento de Troyanos Los troyanos requiere al menos de tres componentes fundamentales: Una parte “Servidor”, a ser instalada en forma subrepticia en la máquina del usuario objetivo Una parte “Cliente”, a ser instalada en el equipo del atacante, encargada de comunicarse con la máquina infectada Un protocolo de comunicación compartido entre ambos extremos. Generalmente TCP/UDP . Existen al menos tres fases claramente identificadas respecto del funcionamiento de un troyano : Arribo al sistema víctima Consolidación de la posición Comunicación con el atacante
Medidas de Protección Implementación de software antivirus Implementación de filtros de contenidos Implementación de Firewalls Implementación de IDS Implementación de controles de distribución e instalación de software Implementación de software Anti-Troyanos
Cookies Originalmente, fueron diseñadas para ayudar a que un sitio web , reconociera el navegador de un usuario que repite su visita al mismo, y de esta forma ser capaz de guardar y recordar las preferencias que el usuario hubiera escogido durante su visita anterior. Con el correr del tiempo, las cookies se fueron transformando, en potentes herramientas de marketing. En esencia, una cookie no es más que un archivo de texto, que algunos servidores piden a nuestro navegador que escriba en nuestro disco duro. Si bien es cierto que las “Cookies” , no son consideradas una amenaza a su PC , o a los datos que ésta alberga, sí lo es respecto de su privacidad y confidencialidad, puesto que habilitan a un Website a recordar detalles y mantener registros de su visita.
Las cookies , suelen introducirse en nuestra computadora, cada vez que visitamos un Website programado para hacer uso de estas. Los diferentes lenguajes de programación utilizados por los desarrolladores web ( JavaScript, ASP, PHP , etc ), incluyen instrucciones específicas respecto de la manipulación de estas características. DoubleClick es una de las más célebres compañías de marketing en Internet que con sus tracking cookies monitorea la navegación de los usuarios en decenas de millones de computadoras en todo el mundo. Cookies
Funcionamiento Las cookies son enviadas desde el servidor al cliente ( navegador ) y almacenadas en este. Posteriormente el navegador envía estas cookies al servidor permitiendo así la identificación del cliente. Un dato importante, es que en todos los casos, no es el servidor quien escribe en nuestro disco duro, sino nuestro explorador. Desde el punto de vista de la construcción de una Cookie , existen básicamente seis parámetros que pueden ser pasados a éstas.
Composición de Cookies Nombre: Nombre de la “Cookie” Value: Valor de la “Cookie” Expire: Indica la hora en que se eliminará la cookie Path: Subdirectorio en donde tiene valor la cookie Dominio : Dominio en donde tiene valor la cookie Secure: Indica que la cookie sólo se transmitirá a través de una conexión segura HTTPS
Medidas de Protección En principio, tanto “Netscape” como “Microsoft Internet Explorer” , permiten ser configurados para rechazar los diferentes tipos de “Cookies” , en relación a las preferencias del usuario. Por otra parte, existen aplicaciones de terceros, muchas veces referidas como “Cookie Monsters” o “Cookie Managers”. Básicamente, los productos anti-cookies trabajan filtrándolas en tiempo real, incluso de sitios determinados y/o limpiándolas en cada oportunidad de los archivos generados en el disco..
Keyloggers Un “Keylogger” no es ni más ni menos que una aplicación destinada a registrar en forma remota , el comportamiento de un usuario en una PC . Su función principal, es la de grabar todo aquello que sea escrito por intermedio del teclado para luego enviar esta información al atacante, o almacenada en algún sitio del disco rígido del equipo víctima, esperando a ser recuperada. Una de las características básicas de todo “Keylogger”, es la de pasar desapercibido tanto al momento de la instalación como en el de su uso. Para ello cuentan con características de las denominadas “Stealth”. En la actualidad, existen una gran cantidad de “virus, gusanos y troyanos” que los incluyen como parte de su carga maliciosa.
Funcionamiento Básicamente, el funcionamiento de un “Keylogger” , depende específicamente, de la configuración previa que se haya realizado sobre él y de la plataforma para la que haya sido desarrollado ( Unix, Windows , etc ). En líneas generales, la secuencia lógica al momento de trabajar con un “Keylogger”, consta de tres pasos principales: Configuración de los aspectos del “Keylogger” Instalación Obtención de la información registrada
Keylogging por hardware
Keylogging por software
Medidas de protección El uso de “Keyloggers” ha desencadenado una gran polémica en la comunidad general. Los profesionales en seguridad informática deben evaluar las circunstancias en las que estas herramientas pueden o deben ser implementadas. Hay quienes alegan que al atentar contra la privacidad y la confidencialidad, el uso de este tipo de aplicaciones, no sólo es ilegal, sino que también inconstitucional. Entre los usuarios legales de “Keyloggers” se encuentran aquellos padres que quieren vigilar a sus hijos menores de edad, o empresas que quieren saber exactamente que es lo que hacen los empleados cuando se encuentran conectados a Internet. Existen en el mercado, aplicaciones específicamente pensadas para hacer frente a esta amenaza ( Tal es el caso de “Advance Anti-Keylogger” ). De todas formas, la combinación de estas últimas con el software antivirus, debería conformar una contramedida aceptable.
Spyware En el sentido más amplio de su definición, el término “Spyware” se utiliza para describir toda tecnología que asista a la obtención de información acerca de una persona u organización sin su conocimiento. En Internet , se conoce como “Spyware” a pequeños programas dedicados a llevar un control del comportamiento de los usuarios, con la intención de vender esta información a terceras partes interesadas, generalmente empresas relacionadas con las áreas de marketing y publicidad.
Tipos de Spyware Si bien es cierto, que el “Spyware”, generalmente tiene como propósito obtener información del uso de Internet, por parte de los usuarios, existen algunas diferencias entre ellos: Adware: Por lo general, se trata de aplicaciones que incluyen como parte de su interfaz de usuario, ventanas de publicidad. Scumware: Tiene la habilidad de personalizar la publicidad mostrada en el explorador. Browser Hijackers : Como parte de su accionar, suelen interactuar generalmente con el registro de Windows, modificándolo con el objeto de alterar algunas características del Explorador . Server Side Spyware: Se diferencia del resto debido a que los componentes “espías”, se encuentran implementados del “lado del servidor”.
Funcionamiento En líneas generales, la mayoría del software “Spyware” , basa su funcionamiento en los siguientes pasos principales: Ingreso al sistema Obtención de información local Monitoreo del sistema Registro Acción
Medidas de Protección En la actualidad, existen varios productos tendientes a lidiar con el “Spyware” . La mayoría, incluyen bases de datos actualizables a través de Internet , conteniendo los detalles o “firmas” correspondientes a cada uno de ellos. Esto permite que puedan ser identificados mediante un “escaneo” similar al que suelen realizar los software antivirus, y eliminados en caso de que la concordancia sea positiva.
Técnicas Anti-Virus Detección Identificación Desinfección
Técnicas Anti-Virus Detección Métodos Estáticos Scanners Por Demanda Por Acceso Heurística Estática Comprobadores de Integridad Métodos Dinámicos Monitores/Bloqueadores de Conducta Por Simulación
Técnicas Anti-Virus Identificación Por Heurística Por Firma Por Comparación de copias idénticas
Técnicas Anti-Virus Desinfección Eliminación de trigger y payload Cuarentena Eliminación de archivo Copia de archivo/sector/bloque nuevo
Técnicas Anti-Virus Bases de Datos de Virus Técnicas Anti-Stealth Detección de Macro Virus
Técnicas para contrarrestar Anti-Virus Ofuscación de Punto de Entrada Anti-Simulación Decoys Anti-Debugging Anti-Disassembly Covert Channels y Tunneling Ataques a Comprobadores de Integridad
Debilidades que se explotan Debilidades Técnicas Fallas en la semántica Buffer Overflow Integer Overflows Vulnerabilidades de strings Debilidades Humanas Hoaxes Phishing, Pharming, E-mails & Mensajería falsa. Spam Spyware Nocivo
Worms Historia Xerox PARC – 1982 Internet Worm - 1988 Propagación Implantación Inicial Búsqueda de Victimas y Objetivos Escaneos
Defensa de Worms (Deworming) Defensa Concientizacion del usuario Patcheo y actualización constante Firewalls e IDS/IPS Captura y Cautiverio (HoneyPots y HoneyNets) Firewalls Inversos
Conclusión Una amenaza que crece en vez de retrotraerse. La aparición de Wi-fi, Pen-Drives, Facebook, etc. Hace que nuevas amenazas se originen día a día. La situación no cambiará mientras los usuarios de PCs les interese mas los programas, archivos, mp3/4/5, videos o ringtones; que los riesgos que corren. El 1er paso es la concientizacion del usuario. La eliminación de privilegios y la actualización constante de firmas, hace que el antivirus menos prestigioso sea 900% mas efectivo que el promedio de los casos. En ambientes corporativos, siempre se debe comenzar por una política clara para continuar con los procedimientos y su respectivo control.
Dudas? Consultas? Preguntas? Futuras consultas favor de enviar a: [email_address]

Más contenido relacionado

ESR II - Modulo 1 - Codigo Malicioso

  • 1. Modulo 1 - Malware ESR II Lic. Fernando Alonso, CISSP, CCNA, GSEC
  • 2. Introducción Ya sea que usted administre una red corporativa de computadoras, o bien su propio sistema hogareño, probablemente haya sido víctima de algún tipo de virus informático , al menos una vez. Podemos definir el término “Código Malicioso” , como “Todo programa o fragmento de código, que genera en su accionar, algún tipo de problema en el sistema de cómputo en el cual se ejecuta, interfiriendo de esta forma con el normal funcionamiento del mismo”. Los distintos tipos de “Código Malicioso” comparten algunos aspectos en común: Generalmente se trata de componentes de software, desarrollados con un fin específico En algún punto interfieren con la operación normal del sistema de cómputo Suelen instalarse y ejecutarse sin el consentimiento “expreso” del usuario Requieren de un sistema de cómputo anfitrión para cumplir su cometido
  • 3. Introducción Muchas cosas han cambiado desde la aparición de las primeras formas de “Código Malicioso” , aunque sin lugar a dudas la capacidad de distribución es el factor de mayor evolución, aquí encontramos: Memoria compartida Sector de arranque de los discos Recursos compartidos en una red Internet Hoy en día, no sólo los programadores expertos en desarrollo de virus representan una amenaza, también puede resultar sencillo conseguir a través de Internet , herramientas que permiten a una persona sin muchos recursos intelectuales generar su propio virus .
  • 4. Introducción Código Malicioso o Malware : Pieza de software intencionada con producir daño o al menos generar efectos distintos para los que su objetivo se encuentran programados. Los costos del Malware: Costos reales : Costos directos y visible de impacto. Costos ocultos : Costos encadenados por el incidente, costos intangibles como imagen y prestigio comercial, desconfianza de clientes, perdida de carteras comerciales, etc.
  • 6. Introducción Clasificación del Malware – Características de la clasificación Auto-reproducción : Capacidad de auto-replicarse Crecimiento : Cantidad de instancias en las que puede reproducirse y/o auto clonarse Parasitismo : Si necesita de otro código para ejecutarse o se ejecuta por si solo.
  • 7. Clasificación Al margen de las características comunes que comparten los distintos tipos de “Código Malicioso” , existen diferencias fundamentales que hacen necesaria su clasificación de acuerdo a : Origen Forma Daños que provocan Función para la cual se desarrollaron Siguiendo este criterio, encontramos: Virus Troyanos Cookies Keyloggers Spyware
  • 8. Virus Los virus informáticos , son quizás el tipo de “Código Malicioso” más extendido. Su historia y evolución han hecho de ellos una de las amenazas más temidas para los administradores de sistemas de información y usuarios en general. Un virus es una pieza de software diseñada para infectar un sistema de cómputo. En esencia, no son más que pequeños componentes de software, desarrollados generalmente en lenguajes de alto nivel, bajo nivel e híbridos ( C, C++, Assembler , etc .). Generalmente suelen acarrear problemas mayores que van desde la simple eliminación de archivos claves del sistema, pasando por la completa destrucción de particiones de discos duros, hasta llegar a dañar el firmware del equipo de la víctima.
  • 9. Virus Partes de un virus Mecanismo de infección Detonador (Trigger) Carga (Payload)
  • 10. Tipos de Virus S uelen clasificarse en función de múltiples características y criterios: Origen Técnicas que utilizan para infectar Tipos de archivos que infectan Lugares donde se esconden Daños que causan Plataforma que atacan, etc. Siguiendo estos criterios, encontramos: Macro Virus Boot Sector Infectors Polimorfos Bombas Lógicas Hoax Troyanos Gusanos Retrovirus Encriptados File Virus Stealth , etc.
  • 11. Tipos de Virus Boot Sector Infectors
  • 12. Tipos de Virus File Infectors
  • 13. Tipos de Virus Macro Virus
  • 14. Tipos de Virus Encriptados
  • 15. Tipos de Virus Encriptados
  • 16. Tipos de Virus Stealth
  • 17. Virus Famosos Melissa SQL Slammer Blaster K&FPV Bugbear Chernobyl I Love You Sircam Nimda Código Rojo Sobig MyDoom Sasser
  • 18. Síntomas de un ataque Suelen existir diferentes síntomas de un ataque o infección de acuerdo al tipo de virus que actúe en cada caso. Como regla general, debería sospechar de su instalación de software si observara al menos alguno de los siguientes síntomas: Los programas en su sistema tardan en cargar o lo hacen muy lentamente Archivos desconocidos aparecen en su disco rígido Archivos necesarios para la ejecución de uno de sus programas o del sistema operativo desaparecen de su disco rígido Escrituras inesperadas en una unidad de disco Actividad de pantalla no estándar o extraña El tamaño de sus archivos de programa cambia súbitamente respecto de su tamaño original Su sistema repentinamente no inicia o exhibe algún mensaje de error inesperado Su sistema se resetea en forma inesperada
  • 19. Etapas de Contaminación Se suele referirse al “Ciclo de Vida de un Virus” , haciendo un paralelismo con su partida biológica. El siguiente esquema describe cada etapa: Creación Replicación Activación Descubrimiento Asimilación Erradicación
  • 20. Daños que producen La peligrosidad de un virus se establece en base a dos criterios principales: Su capacidad de hacer daño. La posibilidad de propagación o difusión del código malicioso . Entre las consecuencias más importantes, tenemos: Daños a determinado tipo de hardware. Alteración o pérdida de datos. Denegación de Servicio. Manipulación de Datos. Pérdida de Productividad. Pérdida de Credibilidad. Vergüenza.
  • 21. Medidas de Protección Los ataques producidos por virus , suelen estar ligados legalmente a lo que se conoce como “Leyes de Delitos Informáticos”. Hoy día, a la luz de las nuevas amenazas, debe trabajarse fuertemente en lo que se conoce como el modelo de “Prevención por Capas” : Instalación de actualizaciones de seguridad liberadas para sistemas operativos y de aplicación. Implementación de software antivirus en estaciones de trabajo. Implementación de software antivirus en servidores de archivos. Implementación de software antivirus en servidores de correo corporativo. Implementación de software antivirus sobre la navegación corporativa (proxies). Implementación de software de administración de contenidos. Implementación de políticas de filtrado en el perímetro externo. Implementación de sistemas de búsqueda y actualización de vulnerabilidades. Implementación de una política de control de instalación de software legal.
  • 22. Medidas de Protección Un buen software de control antivirus debería cumplir, como mínimo, con los siguientes requisitos que a continuación se detallan: Debe estar certificado por la ICSA ( International Computer Security Association ) Debe tener exploración en tiempo real o programado Debe contar con una consola de administración y reportes central Debe contar con las herramientas para proteger los diferentes focos de infección ( discos, mail, web, etc ) Debe cubrir la actualización de nuevas firmas antivirus en forma automática y desatendida en servidores y clientes No debe degradar la performance del dispositivo resguardado Debe contar con herramientas de logueo de eventos, estadísticas y reporte para el seguimiento de incidentes Debe implementar un sistema de alarmas ( e-mail, traps SNMP, pager. etc )
  • 23. Troyanos En su definición más amplia, solemos referirnos a los Troyanos como todo programa que lleva oculta una funcionalidad determinada, que será usada con fines maliciosos y en contra del usuario que lo instala. Una de las principales diferencias entre un virus y un troyano , es la inhabilidad de estos últimos para replicarse. Otra de las grandes diferencias, es que generalmente, el troyano forma parte del código fuente del programa instalado y se compila junto con él, mientras que el virus simplemente se añade o suplanta el programa original. Los troyanos , suelen llegar a nuestro sistema, como un programa aparentemente inofensivo, pretendiendo “ser algo que no son” o “hacer algo que no hacen”.
  • 24. Troyanos A través del tiempo, gran cantidad de troyanos fueron liberados al público en general. Casi todos ellos, tienen su origen en grupos de hackers . La gran mayoría cuentan con algunas de las siguientes características principales: Edición remota del registro Capacidad para compartir archivos Apagado/Reinicio del sistema Recupero de contraseñas almacenadas en cache Captura de pantallas Keylogger Monitoreo del tráfico de red Funcionalidades de Proxy
  • 25. Troyanos Redirección de puertos y aplicaciones Funciones “Fun” o divertidas ( Apertura y cierre del CD-DRIVE , intercambio de botones del mouse, ejecución de archivos .WAV , Grabar sonidos desde un micrófono, etc ) Presentación de imágenes ( BMP/JPEG ) y mensajes en pantalla Ejecución de aplicaciones Manipulación del sistema de archivos Notificaciones del éxito del ataque a través de aplicaciones tales como ICQ , IRC o correo electrónico Entre los más importantes, encontramos: Back Orifice Netbus SubSeven Optix , etc.
  • 26. Funcionamiento de Troyanos Los troyanos requiere al menos de tres componentes fundamentales: Una parte “Servidor”, a ser instalada en forma subrepticia en la máquina del usuario objetivo Una parte “Cliente”, a ser instalada en el equipo del atacante, encargada de comunicarse con la máquina infectada Un protocolo de comunicación compartido entre ambos extremos. Generalmente TCP/UDP . Existen al menos tres fases claramente identificadas respecto del funcionamiento de un troyano : Arribo al sistema víctima Consolidación de la posición Comunicación con el atacante
  • 27. Medidas de Protección Implementación de software antivirus Implementación de filtros de contenidos Implementación de Firewalls Implementación de IDS Implementación de controles de distribución e instalación de software Implementación de software Anti-Troyanos
  • 28. Cookies Originalmente, fueron diseñadas para ayudar a que un sitio web , reconociera el navegador de un usuario que repite su visita al mismo, y de esta forma ser capaz de guardar y recordar las preferencias que el usuario hubiera escogido durante su visita anterior. Con el correr del tiempo, las cookies se fueron transformando, en potentes herramientas de marketing. En esencia, una cookie no es más que un archivo de texto, que algunos servidores piden a nuestro navegador que escriba en nuestro disco duro. Si bien es cierto que las “Cookies” , no son consideradas una amenaza a su PC , o a los datos que ésta alberga, sí lo es respecto de su privacidad y confidencialidad, puesto que habilitan a un Website a recordar detalles y mantener registros de su visita.
  • 29. Las cookies , suelen introducirse en nuestra computadora, cada vez que visitamos un Website programado para hacer uso de estas. Los diferentes lenguajes de programación utilizados por los desarrolladores web ( JavaScript, ASP, PHP , etc ), incluyen instrucciones específicas respecto de la manipulación de estas características. DoubleClick es una de las más célebres compañías de marketing en Internet que con sus tracking cookies monitorea la navegación de los usuarios en decenas de millones de computadoras en todo el mundo. Cookies
  • 30. Funcionamiento Las cookies son enviadas desde el servidor al cliente ( navegador ) y almacenadas en este. Posteriormente el navegador envía estas cookies al servidor permitiendo así la identificación del cliente. Un dato importante, es que en todos los casos, no es el servidor quien escribe en nuestro disco duro, sino nuestro explorador. Desde el punto de vista de la construcción de una Cookie , existen básicamente seis parámetros que pueden ser pasados a éstas.
  • 31. Composición de Cookies Nombre: Nombre de la “Cookie” Value: Valor de la “Cookie” Expire: Indica la hora en que se eliminará la cookie Path: Subdirectorio en donde tiene valor la cookie Dominio : Dominio en donde tiene valor la cookie Secure: Indica que la cookie sólo se transmitirá a través de una conexión segura HTTPS
  • 32. Medidas de Protección En principio, tanto “Netscape” como “Microsoft Internet Explorer” , permiten ser configurados para rechazar los diferentes tipos de “Cookies” , en relación a las preferencias del usuario. Por otra parte, existen aplicaciones de terceros, muchas veces referidas como “Cookie Monsters” o “Cookie Managers”. Básicamente, los productos anti-cookies trabajan filtrándolas en tiempo real, incluso de sitios determinados y/o limpiándolas en cada oportunidad de los archivos generados en el disco..
  • 33. Keyloggers Un “Keylogger” no es ni más ni menos que una aplicación destinada a registrar en forma remota , el comportamiento de un usuario en una PC . Su función principal, es la de grabar todo aquello que sea escrito por intermedio del teclado para luego enviar esta información al atacante, o almacenada en algún sitio del disco rígido del equipo víctima, esperando a ser recuperada. Una de las características básicas de todo “Keylogger”, es la de pasar desapercibido tanto al momento de la instalación como en el de su uso. Para ello cuentan con características de las denominadas “Stealth”. En la actualidad, existen una gran cantidad de “virus, gusanos y troyanos” que los incluyen como parte de su carga maliciosa.
  • 34. Funcionamiento Básicamente, el funcionamiento de un “Keylogger” , depende específicamente, de la configuración previa que se haya realizado sobre él y de la plataforma para la que haya sido desarrollado ( Unix, Windows , etc ). En líneas generales, la secuencia lógica al momento de trabajar con un “Keylogger”, consta de tres pasos principales: Configuración de los aspectos del “Keylogger” Instalación Obtención de la información registrada
  • 37. Medidas de protección El uso de “Keyloggers” ha desencadenado una gran polémica en la comunidad general. Los profesionales en seguridad informática deben evaluar las circunstancias en las que estas herramientas pueden o deben ser implementadas. Hay quienes alegan que al atentar contra la privacidad y la confidencialidad, el uso de este tipo de aplicaciones, no sólo es ilegal, sino que también inconstitucional. Entre los usuarios legales de “Keyloggers” se encuentran aquellos padres que quieren vigilar a sus hijos menores de edad, o empresas que quieren saber exactamente que es lo que hacen los empleados cuando se encuentran conectados a Internet. Existen en el mercado, aplicaciones específicamente pensadas para hacer frente a esta amenaza ( Tal es el caso de “Advance Anti-Keylogger” ). De todas formas, la combinación de estas últimas con el software antivirus, debería conformar una contramedida aceptable.
  • 38. Spyware En el sentido más amplio de su definición, el término “Spyware” se utiliza para describir toda tecnología que asista a la obtención de información acerca de una persona u organización sin su conocimiento. En Internet , se conoce como “Spyware” a pequeños programas dedicados a llevar un control del comportamiento de los usuarios, con la intención de vender esta información a terceras partes interesadas, generalmente empresas relacionadas con las áreas de marketing y publicidad.
  • 39. Tipos de Spyware Si bien es cierto, que el “Spyware”, generalmente tiene como propósito obtener información del uso de Internet, por parte de los usuarios, existen algunas diferencias entre ellos: Adware: Por lo general, se trata de aplicaciones que incluyen como parte de su interfaz de usuario, ventanas de publicidad. Scumware: Tiene la habilidad de personalizar la publicidad mostrada en el explorador. Browser Hijackers : Como parte de su accionar, suelen interactuar generalmente con el registro de Windows, modificándolo con el objeto de alterar algunas características del Explorador . Server Side Spyware: Se diferencia del resto debido a que los componentes “espías”, se encuentran implementados del “lado del servidor”.
  • 40. Funcionamiento En líneas generales, la mayoría del software “Spyware” , basa su funcionamiento en los siguientes pasos principales: Ingreso al sistema Obtención de información local Monitoreo del sistema Registro Acción
  • 41. Medidas de Protección En la actualidad, existen varios productos tendientes a lidiar con el “Spyware” . La mayoría, incluyen bases de datos actualizables a través de Internet , conteniendo los detalles o “firmas” correspondientes a cada uno de ellos. Esto permite que puedan ser identificados mediante un “escaneo” similar al que suelen realizar los software antivirus, y eliminados en caso de que la concordancia sea positiva.
  • 42. Técnicas Anti-Virus Detección Identificación Desinfección
  • 43. Técnicas Anti-Virus Detección Métodos Estáticos Scanners Por Demanda Por Acceso Heurística Estática Comprobadores de Integridad Métodos Dinámicos Monitores/Bloqueadores de Conducta Por Simulación
  • 44. Técnicas Anti-Virus Identificación Por Heurística Por Firma Por Comparación de copias idénticas
  • 45. Técnicas Anti-Virus Desinfección Eliminación de trigger y payload Cuarentena Eliminación de archivo Copia de archivo/sector/bloque nuevo
  • 46. Técnicas Anti-Virus Bases de Datos de Virus Técnicas Anti-Stealth Detección de Macro Virus
  • 47. Técnicas para contrarrestar Anti-Virus Ofuscación de Punto de Entrada Anti-Simulación Decoys Anti-Debugging Anti-Disassembly Covert Channels y Tunneling Ataques a Comprobadores de Integridad
  • 48. Debilidades que se explotan Debilidades Técnicas Fallas en la semántica Buffer Overflow Integer Overflows Vulnerabilidades de strings Debilidades Humanas Hoaxes Phishing, Pharming, E-mails & Mensajería falsa. Spam Spyware Nocivo
  • 49. Worms Historia Xerox PARC – 1982 Internet Worm - 1988 Propagación Implantación Inicial Búsqueda de Victimas y Objetivos Escaneos
  • 50. Defensa de Worms (Deworming) Defensa Concientizacion del usuario Patcheo y actualización constante Firewalls e IDS/IPS Captura y Cautiverio (HoneyPots y HoneyNets) Firewalls Inversos
  • 51. Conclusión Una amenaza que crece en vez de retrotraerse. La aparición de Wi-fi, Pen-Drives, Facebook, etc. Hace que nuevas amenazas se originen día a día. La situación no cambiará mientras los usuarios de PCs les interese mas los programas, archivos, mp3/4/5, videos o ringtones; que los riesgos que corren. El 1er paso es la concientizacion del usuario. La eliminación de privilegios y la actualización constante de firmas, hace que el antivirus menos prestigioso sea 900% mas efectivo que el promedio de los casos. En ambientes corporativos, siempre se debe comenzar por una política clara para continuar con los procedimientos y su respectivo control.
  • 52. Dudas? Consultas? Preguntas? Futuras consultas favor de enviar a: [email_address]