Ordenador Zombi

Jornadas Espacios de Ciberseguridad
Mi ordenador es un zombi?
Esta presentacin se publica bajo licencia Creative Commons del tipo:

Reconocimiento No comercial Compartir Igual
http://creativecommons.org/licenses/by-nc-sa/4.0/
ndice
1. INCIBE - Qu es?
2. Introduccin a la ciberseguridad
3. Objetivos del curso
4. Malware
5. Botnets
6. Prctica: construyendo una botnet
1. Infeccin
2. Explotacin
3. Deteccin y desinfeccin
7. Contramedidas
8. Resumen
9. Otros datos de inters

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 2
INCIBE - Qu es?
El Instituto Nacional de Ciberseguridad de Espaa (INCIBE) es una sociedad dependiente del Ministerio de Industria,
Energa y Turismo (MINETUR) a travs de la Secretara de Estado de Telecomunicaciones y para la Sociedad de la
Informacin (SETSI).
INCIBE es la entidad de referencia para el desarrollo de la ciberseguridad y de la confianza digital de los ciudadanos, la
red acadmica y de investigacin espaola (RedIRIS) y las empresas, especialmente para sectores estratgicos (Agenda
Digital para Espaa, aprobada en Consejo de Ministros el 15 de Febrero de 2012).
Como centro de excelencia, INCIBE es un instrumento del Gobierno para desarrollar la ciberseguridad como motor de
transformacin social y oportunidad para la innovacin. Para ello, con una actividad basada en la investigacin, la
prestacin de servicios y la coordinacin con los agentes con competencias en la materia , INCIBE lidera diferentes
actuaciones para la ciberseguridad a nivel nacional e internacional.
www.incibe.es

INCIBE - Qu es?
Pilares fundamentales sobre los que se apoya la actividad de INCIBE
Prestacin de servicios de proteccin de la privacidad, prevencin y reaccin a incidentes en ciberseguridad
Investigacin generacin de inteligencia y mejora de los servicios
Coordinacin colaboracin con entidades pblicas y privadas, nacionales e internacionales
rea de Operaciones

Jornadas Espacios Ciberseguridad
Caractersticas Jornadas curso 2015-2016
https://www.incibe.es/excelencia/talento/
JORNADAS PARA PROFESORES JORNADAS PARA ALUMNOS

Profesores de Bachiller y FP tecnolgicos. Alumnos de Bachiller y FP tecnolgicos.
Formacin para impartir las 8 temticas de manera 1 temtica por centro (de las 8 posibles).
autnoma. Grupos de entre 20 y 30 alumnos.
Grupos de entre 20 y 30 docentes. Duracin 3h (en una nica sesin).
Duracin 5h (en una nica sesin).
espacioscs_profesores@incibe.es espaciosciberseguridad@incibe.es
MATERIALES ON-LINE (YA DISPONIBLES EN LA PGINA WEB DE LAS JORNADAS)

PPT's de las 8 jornadas para alumnos
Vdeos de la imparticin de las 8 jornadas ntegras
Documentacin adicional para cada jornada:
Conocimientos previos de los alumnos.
Resumen de contenidos y vdeo pldoras de 5min sobre el contenido de cada jornada.
Material complementario para seguir investigando y aprendiendo sobre cada una de
las materias.
Materiales para la imparticin de los talleres por parte de los profesores:
PPT presentada en la jornada de profesores.
Dossier completo con la explicacin detallada de todas las jornadas de alumnos as
como los temas generales para la preparacin de los entornos de prcticas.
5
Otras Actuaciones de inters
Si te gusta la ciberseguridad y quieres profundizar en este tema en INCIBE se estn desarrollando las siguientes
actividades y eventos de ciberseguridad:
Formacin especializada en ciberseguridad: MOOC que se desarrollan a travs de la plataforma de

formacin de INCIBE (http://formacion-online.incibe.es) sobre conceptos avanzados en ciberseguridad tales
como ciberseguridad industrial, seguridad en dispositivos mviles, programacin segura, malware y
sistemas TI.
Programa de becas: Programa de becas anual en el que se establecern diferentes tipologas de becas:
formacin de cursos especializados y msteres en ciberseguridad, y becas de investigacin. Todas las
publicaciones de este tipo se realizar a travs de la siguiente pgina
https://www.incibe.es/convocatorias/ayudas/.
Evento de ciberseguridad CyberCamp (http://cybercamp.es).
CyberCamp es el evento internacional de INCIBE para identificar, atraer y promocionar el talento en ciberseguridad.
Identificar trayectorias profesionales de los jvenes talento.
Detectar y promocionar el talento mediante talleres y retos tcnicos.
Atraer el talento ofreciendo conferencias y charlas de ciberseguridad por profesionales y expertos de
primer nivel.
Y muchas cosas ms.

Evento para familias, contando con actividades de concienciacin y difusin de la ciberseguridad para
padres, educadores e hijos.
Promocin de la industria e investigacin en ciberseguridad.

ndice
1. INCIBE - Qu es?
4. Malware
5. Botnets
1. Infeccin
2. Explotacin
7. Contramedidas
8. Resumen

Introduccin a la ciberseguridad
Evolucin de las Tecnologas de la Informacin
La informacin es uno de los principales activos de una empresa.
Las empresas almacenan y gestionan la informacin en los Sistemas de Informacin.
Para una empresa resulta fundamental proteger sus Sistemas de Informacin para que su informacin est a
salvo. Dificultades:
El entorno donde las empresas desarrollan
sus actividades es cada vez ms complejo
debido al desarrollo de las tecnologas de
informacin y otros factores del entorno
empresarial
El perfil de un ciberdelincuente de un
sistema informtico ha cambiado
radicalmente. Si bien antes los objetivos
podan ser ms simples (acceder a un sitio
donde nadie antes haba conseguido
llegar) en la actualidad los atacantes se han
percatado de lo importante que es la
informacin y sobre todo de lo valiosa que
puede llegar a ser.
Es fundamental poner los medios tcnicos y organizativos necesarios para garantizar la seguridad de la
informacin. Para lograrlo hay que garantizar la confidencialidad, disponibilidad e integridad de la
informacin.

Casos notorios

Seguridad de la Informacin
La seguridad de la informacin busca establecer y mantener programas, controles y polticas, que tengan como
finalidad conservar la confidencialidad, integridad y disponibilidad de la informacin:
La confidencialidad es la propiedad de prevenir la divulgacin de informacin a personas no
autorizadas.
La integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.
La disponibilidad es la caracterstica, cualidad o condicin de la informacin de encontrarse a
disposicin de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones.
La autenticidad: la informacin es lo que dice ser o el transmisor de la informacin es quien dice ser.
El no repudio: Estrechamente relacionado con la Autenticidad. Permite, en caso de ser necesario, que
sea posible probar la autora u origen de una informacin.

Riesgos para los Sistemas de Informacin
Qu son los riesgos en los sistemas de informacin?
Las amenazas sobre la informacin almacenada en un sistema informtico.
Ejemplos de riesgos en los sistemas de informacin
Dao fsico: fuego, agua, vandalismo, prdida de energa y desastres naturales.

Acciones humanas: accin intencional o accidental que pueda atentar contra la productividad.
Fallos del equipamiento: fallos del sistema o dispositivos perifricos.
Ataques internos o externos: hacking, cracking y/o cualquier tipo de ataque.
Prdida de datos: divulgacin de secretos comerciales, fraude, espionaje y robo.
Errores en las aplicaciones: errores de computacin, errores de entrada, etc.

La figura del HACKER
Qu es un hacker?
Experto en seguridad informtica, que se dedica a intervenir y/o realizar alteraciones tcnicas con
buenas o malas intenciones sobre un producto o dispositivo.
Qu tipos de hackers existen en funcin de los objetivos que tienen?
Black Hat Hackers: Suelen quebrantar la seguridad de un sistema o una red con fines
maliciosos.
White Hat Hackers: normalmente son los que penetran la seguridad de los sistemas bajo
autorizacin para encontrar vulnerabilidades. Suelen ser contratados por empresas para
mejorar la seguridad de sus propios sistemas.
Gray (Grey) Hat Hackers: Son una mezcla entre los dos anteriores puesto que tienen una tica
ambigua. Normalmente su cometido es penetrar en sistemas de forma ilegal para luego
informar a la empresa vctima y ofrecer sus servicios para solucionarlo.

Clases de ataques
Interrupcin: se produce cuando un recurso, herramienta o la propia red deja de estar disponible
debido al ataque.
Intercepcin: se logra cuando un tercero accede a la informacin del ordenador o a la que se encuentra
en trnsito por la red.
Modificacin: se trata de modificar la informacin sin autorizacin alguna.

Fabricacin: se crean productos, tales como pginas web o tarjetas magnticas falsas.

Tcnicas de hacking
Spoofing: se suplanta la identidad de un sistema total o parcialmente.
Sniffing: se produce al escuchar una red para ver toda la informacin transmitida por sta.
Man in the middle: siendo una mezcla de varias tcnicas, consiste en interceptar la comunicacin entre
dos interlocutores posicionndose en medio de la comunicacin y monitorizando y/o alterando la
comunicacin.
Malware: se introducen programas dainos en un sistema, como por ejemplo un virus, un keylogger
(herramientas que permiten monitorizar las pulsaciones sobre un teclado) o rootkits (herramientas que
ocultan la existencia de un intruso en un sistema).
Denegacin de servicio: consiste en la interrupcin de un servicio sin autorizacin.

Ingeniera social: se obtiene la informacin confidencial de una persona u organismo con fines
perjudiciales. El Phishing es un ejemplo de la utilizacin de ingeniera social, que consigue informacin
de la vctima suplantando la identidad de una empresa u organismo por internet. Se trata de una
prctica muy habitual en el sector bancario.
Adicionalmente existen multitud de ataques como XSS, CSRF, SQL injection, etc.

Mecanismos de defensa
Ante esta figura, cmo pueden protegerse las compaas con las nuevas tecnologas?
Los principales sistemas y ms conocidos son los siguientes:
Firewall: sistemas de restriccin de trfico basado en reglas.
Sistemas IDS / IPS: sistemas de monitorizacin, deteccin y/o

prevencin de accesos no permitidos en una red.
Honeypot: equipos aparentemente vulnerables diseados para atraer y

detectar a los atacantes, protegiendo los sistemas realmente crticos.
SIEM: sistemas de correlacin de eventos y generacin de alertas de

seguridad.
Antimalware: sistemas de deteccin de malware informtico.

Las prcticas del taller se realizan sobre un entorno controlado.

Utilizar las tcnicas mostradas en el presente taller sobre un
entorno real como Internet, puede ocasionar problemas legales.

ndice
1. INCIBE - Qu es?
4. Malware
5. Botnets
1. Infeccin
2. Explotacin
7. Contramedidas
8. Resumen

Objetivos del curso
Qu vamos a aprender hoy?
Qu es el malware?
Virus.
Gusanos.
troyanos.
Botnets:
Concepto.
Formacin.
Ejemplos.
Cmo me protejo de las botnets?
Cmo lo vamos a aprender?
1. Teora.
2. Prctica:
a. Ejercicios prcticos a lo largo de la
presentacin.
b. Prctica final Construyendo,
detectando y eliminando una
botnet real.
ndice
1. INCIBE - Qu es?
4. Malware
5. Botnets
1. Infeccin
2. Explotacin
7. Contramedidas
8. Resumen

Malware
Qu es el malware? (I)
El Malware es el software que tiene objetivos maliciosos. Por ejemplo:
Borrado de informacin
Robo de informacin
Denegacin de servicio
Control remoto
Etc.
Se suele clasificar por su capacidad de propagacin. Las tres grandes familias
son:
Virus
Troyanos
Gusanos
Virus Gusanos Troyanos

Malware
Qu es el malware? (II)
Fuente: http://es.wikipedia.org/wiki/Malware

Malware
Qu es el malware? (III): Ciclo de vida del malware
Propagacin /
Diseo Ejecucin Deteccin Incorporacin Eliminacin
replicacin
Fuente: http://es.wikipedia.org/wiki/Malware

Malware
Virus
El virus es un tipo especfico de malware.
Es comn llamar virus al malware, pero en
realidad es solo un subconjunto.
Su nombre viene por su parecido a los virus reales (infeccin y propagacin).
Para su propagacin necesitan que cierta interaccin por parte del usuario.
VIRUS
Infecta otros programas Altera datos
Capacidad de mutacin Corrompe ficheros
Capacidad de cifrado Auto-propagacin

Malware
Gusanos (worms)
Los gusanos (habitualmente llamados worms)
son programas maliciosos que se propagan por
la red de forma automtica.
Los gusanos se transmiten explotando vulnerabilidades de los sistemas sin que
el usuario tenga que interactuar con ellos de ninguna manera.
Este tipo de malware es habitual en telfonos, ya que este tipo de dispositivo
conectado es idneo para una propagacin rpida.
Un gusano muy famoso, Stuxnet, es un malware supuestamente desarrollado
por Israel y Estados Unidos diseado para infectar infraestructuras crticas que
infect a 60.000 equipos en Irn.

Malware
Troyanos Virus Gusanos Troyanos
Un troyano o caballo de Troya es un
programa malicioso (malware) que se presenta
al usuario como un programa aparentemente
inofensivo.
El trmino proviene de la Odisea de
Homero.

Malware
Ejemplo de gusano: I love you (I)
El gusano se propaga automticamente, mandando un correo electrnico a

todos los contactos de Outlook.
Tras propagarse, causa graves daos en los ficheros del ordenador infectado,
borrando y sobrescribiendo ficheros.
Malware
Ejemplo de gusano: I love you (II)
El nombre del fichero ejecutable,
LOVE-LETTER-FOR-YOU.TXT.vbs,
aprovechaba que Windows oculta las
extensiones conocidas para parecer un
fichero de texto:
Cmo evitarlo?

ndice
1. INCIBE - Qu es?
4. Malware
5. Botnets
1. Infeccin
2. Explotacin
7. Contramedidas
8. Resumen

Botnets
Botnets (I)
Una botnet es una red de ordenadores infectados controlados por un
ciberdelincuente.
Los ordenadores infectados obedecern a las rdenes del ciberdelincuente,

de forma que ste dispone de un ejrcito de ordenadores listos para
realizar operaciones maliciosas en Internet en cualquier momento.
Botnets
Botnets (II): ciclo de vida

Botnets
Botnets (III): ciclo de vida
Infeccin: el atacante infecta ordenadores personales de

usuarios por medio de troyanos.

Botnets
Botnets (IV): ciclo de vida
El atacante forma as una red de miles de ordenadores

controlados por un servidor Command and Control.

Botnets
Botnets (V): ciclo de vida
3
Una tercera parte malintencionada compra acceso a la
botnet para realizar acciones maliciosas, como por
ejemplo:
- Ataques de denegacin de servicio distribuidos (DDoS)

- Envo de Spam
- Fraude de clicks

Botnets
Botnets (VI): ciclo de vida
Se lanza el ataque distribuido. En este ejemplo, se utiliza

la botnet para enviar millones de correos publicitarios.

Botnets
Botnets (VII): Ejemplos
Carna Botnet:
Carna Botnet fue una red de 420.000 dispositivos infectados.

Botnets
Botnets (VIII): Ejemplos
ZeroAccess botnet
La botnet ZeroAccess fue una botnet especializada en minera de bitcoin y click
fraudulento.
Se estima que la red min unos 2,7 millones de dlares en bitcoins.
El bitcoin es una moneda electrnica creada en 2009. La

generacin (minera) de bitcoins necesita potencia
computacional, algo que se puede conseguir con una red de
ordenadores distribuidos.
Fuentes: http://www.reuters.com/article/2014/02/24/us-bitcoin-security-idUSBREA1N1JO20140224 y https://bitcoin.org/es/como-funciona

ndice
1. INCIBE - Qu es?
4. Malware
5. Botnets
1. Infeccin
2. Explotacin
7. Contramedidas
8. Resumen

Las prcticas del taller se realizan sobre un entorno controlado.

Utilizar las tcnicas mostradas en el presente taller sobre
un entorno real como Internet, puede ocasionar problemas
legales.

Prctica: Construyendo una botnet
Introduccin
En esta prctica utilizaremos el troyano Flu Project para construir una
botnet.
El software Flu, desarrollado por Flu Project (http://www.flu-project.com), es

una herramienta tipo troyano que permite controlar mquinas de manera
remota.
Se trata de una aplicacin Open Source, desarrollada como prueba de
concepto para analizar el funcionamiento de herramientas maliciosas y
disear medidas anti-malware.

Objetivo
Objetivo: realizar un fraude de clics para falsear los resultados de una
encuesta:
El pirata informtico quiere falsear el resultado de esta encuesta. Podra

intentar votar muchas veces, pero como suele ser habitual, no es posible
votar ms de una vez:

Funcionamiento
La botnet est compuesta por dos elementos:
Cliente: programa malware que se instala en ordenadores comprometidos. Recibe las
rdenes del servidor Command and Control.
Ponindole un nombre engaoso,
flashplugin_chrome_v6.54.exe, podemos
engaar al usuario.
Servidor: servidor Command and Control que nos
permitir controlar la red de ordenadores infectados.

Entorno Equipo del atacante.
Contiene el servidor
Command and Control
El equipo del profesor ser el

equipo del hacker y los
equipos de los alumnos sern
los ordenadores infectados.
El profesor describe el entorno

del ejercicio.
Equipos infectados

Herramientas
El conocido servidor web Apache HTTP
Server permitir al atacante instalar la
aplicacin Command and Control as
como una pgina web maliciosa para
infectar a los usuarios.
El servidor Command and Control de

Flu se instala sobre el servidor Apache
Beef es una herramienta que

permite tomar el control de
navegadores web. Se usar para
infiltrar el troyano Botnet.
Fuentes: http://httpd.apache.org/ , http://www.flu-project.com/ y http://beefproject.com/

ndice
1. INCIBE - Qu es?
4. Malware
5. Botnets
1. Infeccin
2. Explotacin
7. Contramedidas
8. Resumen

Paso 1: Infeccin (I)
Conectarse a la pgina web del atacante:

Paso 1: Infeccin (II)
El atacante utiliza Beef para mostrar un mensaje engaoso al usuario:

Paso 1: Infeccin (III)
El usuario se descarga el programa y lo ejecuta:

ndice
1. INCIBE - Qu es?
4. Malware
5. Botnets
1. Infeccin
2. Explotacin
7. Contramedidas
8. Resumen

Paso 2: Explotacin (I)
El atacante puede ahora controlar el ordenador de forma remota mediante
la herramienta Command and Control de Flu:

Paso 2: Explotacin (II)
La herramienta dispone de un
intrprete de rdenes que
permite ejecutar comandos
en la mquina remota y
recibir la salida.
Ejemplo: el comando
ipconfig nos permite
obtener informacin sobre el
estado de la red en la
mquina remota:

Paso 2: Explotacin (III)
El troyano tambin registra todas las pulsaciones de teclado (keylogger). La
herramienta permite al atacante obtener estos datos para, por ejemplo,
robar contraseas.

Paso 2: Explotacin (IV)
Utilizaremos ahora nuestra botnet para falsear los resultados de la encuesta.
Un comando permite navegar a una pgina sin que el usuario de la mquina infectada se
d cuenta:
Hacindolo en cada mquina, podemos realizar un gran nmero de votaciones y falsear el

resultado de la encuesta:

ndice
1. INCIBE - Qu es?
4. Malware
5. Botnets
6. Prctica: Construyendo una botnet
1. Infeccin
2. Explotacin
7. Contramedidas
8. Resumen

Paso 3: Deteccin y desinfeccin (I)
Cualquier antivirus debera detectar este virus, pero haremos una deteccin manual
para analizar su comportamiento.
El troyano puede intentar ocultarse en el administrador de tareas (haciendo uso de
un rootkit bajo una cuenta con privilegios de administracin), pero el programa
Process Explorer (herramienta comprada por Microsoft) s que lo lista
(flashplugin_chrome_v6.54.exe):
La herramienta Process Monitor permite ver las acciones realizadas por un proceso.
Se puede ver en la siguiente captura de pantalla la actividad del troyano:

Paso 3: Deteccin y desinfeccin (II)
Mirando en detalle los eventos del proceso, se puede observar que
peridicamente escribe un fichero:
Sin embargo, parece que la carpeta no contiene este fichero, incluso con la
opcin de mostrar archivos ocultos:

Paso 3: Deteccin y desinfeccin (III)
Esto ocurre porque el archivo est marcado como archivo oculto de sistema,
ocultndose as de forma ms efectiva. Para ver este tipo de archivos, se
puede utilizar tambin la lnea de comandos de Windows, PowerShell:
1) Navegamos hasta C:\Users\root\AppData\Roaming
2) Ejecutamos Get-ChildItem force, dnde force indica que se desea forzar la
visualizacin de todos los archivos, incluidos los archivos ocultos y/o de sistema.

Paso 3: Deteccin y desinfeccin (IV)
Si reiniciamos el ordenador, veremos que el proceso ha cambiado de nombre
y de ubicacin. Ahora, se llama abarmvavkv.exe:
Esta caracterstica (cambio de nombre y/o de ubicacin) es una caracterstica

tpica de los virus que disminuye la probabilidad de ser detectado.

Paso 3: Deteccin y
desinfeccin (V)
Abriendo las propiedades del
proceso, se obtiene
informacin interesante:
Ruta del archivo
ejecutable origen del
proceso (.exe).
Entrada del registro que

define el autoarranque (el
troyano se ejecuta al
iniciarse Windows).

Paso 3: Deteccin y desinfeccin (VI)
Antes de borrar el archivo, es necesario terminar el proceso, ya que Windows
no permite la eliminacin de archivos en ejecucin. Para terminar el proceso,
utilizaremos Process Explorer:

Paso 3: Deteccin y desinfeccin (VII)
Ahora eliminamos el troyano utilizando PowerShell:
El comando rm force permite eliminar archivos de sistema:

Paso 3: Deteccin y desinfeccin (VIII)
El ltimo paso consiste en borrar la entrada del registro de Windows
infectada.
El registro de Windows es una

base de datos que almacena los
ajustes de configuracin y
opciones en los sistemas
operativos Microsoft Windows.

Paso 3: Deteccin y desinfeccin (IX)
Para asegurarnos que no queda rastro del virus, utilizaremos la opcin de
comprobacin del generador de bots:

ndice
1. INCIBE - Qu es?
4. Malware
5. Botnets
1. Infeccin
2. Explotacin
7. Contramedidas
8. Resumen

Contramedidas
Cmo me defiendo de las botnets? (I)
Aplicar las medidas de seguridad generales frente a todo tipo de malware:
Ten cuidado con lo que descargas y ejecutas:
Fuentes: https://blog.malwarebytes.org/intelligence/2012/10/pick-a-download-any-download/

Contramedidas
Cmo me defiendo de las botnets? (II): Antivirus
Un antivirus es un programa especial diseado para detectar y eliminar
malware.
Utilizan diversos mtodos para detectar los virus:
Deteccin basada en firmas: es el mtodo ms comn. Analiza el fichero y lo compara
contra una base de datos de virus conocidos. No es eficaz en malware desconocido.
Deteccin heurstica: analiza el fichero en busca de patrones que habitualmente se
encuentran en los virus. Permite, a veces, detectar virus que an no se han reportado.
Deteccin basada en el comportamiento: analiza el comportamiento del ejecutable,
detectando acciones sospechosas (borrado de ficheros, etc.)
Deteccin en sandbox: ejecuta el programa sospechoso en un entorno virtual seguro, del
cul no se puede salir, y realiza una deteccin basada en comportamiento.

Contramedidas
Cmo me defiendo de las botnets? (III) : Antivirus
Cuidado con los falsos Antivirus!
Los falsos antivirus son malware muy extendidos. Muestran a la vctima falsas amenazas
de seguridad, incitndole a instalar falsos antivirus que en realidad son virus.
A comienzos de 2014, la pgina oficial de Dailymotion fue pirateada y mostraba falsas
advertencias de antivirus, el falso antivirus se sirvi a travs de anuncios de terceros
(redirigiendo automticamente al usuario) mostrados en DailyMotion.
Fuentes: http://arstechnica.com/security/2014/02/what-a-fake-antivirus-attack-on-a-trusted-website-looks-like/ ,
https://www.youtube.com/watch?v=7xKmAsSzJv0

Contramedidas
Cmo me defiendo de las botnets? (IV) : Antivirus
Fuentes: http://arstechnica.com/security/2014/02/what-a-fake-antivirus-attack-on-a-trusted-website-looks-like/ ,
https://www.youtube.com/watch?v=7xKmAsSzJv0

Contramedidas
Cmo me defiendo de las botnets? (V): VirusTotal
VirusTotal:
Empresa espaola adquirida en 2012 por Google.
Permite subir archivos sospechosos para que sean analizados on-line por numerosos
antivirus.
Si subes un virus creado por ti mismo a VirusTotal, lo ms probable es que en pocos das las
bases de datos de la mayora de los antivirus lo incorporen como archivo malicioso.
Fuente: https://www.virustotal.com/es/

Contramedidas
Cmo me defiendo de las botnets? (VI): VirusTotal
Prctica: sube el virus Flu a VirusTotal para ver el resultado:
Fuente: https://www.virustotal.com/es/

ndice
1. INCIBE - Qu es?
4. Malware
5. Botnets
1. Infeccin
2. Explotacin
7. Contramedidas
8. Resumen

Resumen
Resumen de conceptos
Una botnet es una red de ordenadores infectados controlados por un

ciberdelincuente.
Las botnets suelen ser compradas o alquiladas para fines maliciosos, como
pueden ser ataques de denegacin de servicio o fraude de clics (por ejemplo,
falsear una encuesta).
Los ordenadores son infectados por malware que los convierten en nodos de
la red.
Los mecanismos de defensa son los habituales frente a malware: un uso

responsable del ordenador y un buen antivirus.

Resumen
Cuestiones
1. Qu es un troyano?
2. Para qu se utilizan las botnets? Ejemplos.
3. Qu es un servidor Command and Control?
4. Cmo se convierte un ordenador en un zombi?
5. Qu recomendaras para defenderse frente a infecciones?

Resumen
Respuestas
1. Un troyano es un tipo de malware. Es un programa que es aparentemente
inofensivo pero que realiza acciones maliciosas como borrar informacin del
ordenador, cifrar los ficheros del equipo recabar informacin para enviarla a un
atacante remoto, control remoto, etc.
2. Las botnets son utilizadas por los ciberdelincuentes para dar rdenes que luego
ejecutarn los ordenadores zombies de esa red. Se suelen utilizar para enviar spam,
hacer ataques de Denegacin de Servicio, fraude de clicks, etc.
3. Se llama as al servidor que controla la red de ordenadores infectados por la botnet.
4. Un ordenador se convierte en un zombie cuando se instala un troyano cuya accin

maliciosa sea formar parte de una botnet
5. Debemos tener un antivirus debidamente actualizado ejecutndose en nuestro
ordenador y, siempre, tener cuidado con lo que uno se descarga y ejecuta en el
ordenador; en caso de tener dudas sobre la legitimidad de algn fichero, se pueden
emplear herramientas como la Web de VirusTotal.

ndice
1. INCIBE - Qu es?
4. Malware
5. Botnets
1. Infeccin
2. Explotacin
7. Contramedidas
8. Resumen

Contacto (ms informacin y dudas sobre las jornadas):
Gracias espaciosciberseguridad@incibe.es
por tu atencin En las redes sociales:
@incibe
@certsi Oficina de Seguridad del internauta
@osiseguridad (Pienso luego clico)
@CyberCampES
INCIBE Oficina de Seguridad del internauta

OSIseguridad CyberCamp
Pg. INCIBE
Contctanos Grupo INCIBE

Oficina de Seguridad del internauta
En la sede: En los sitios web:

Avenida Jos Aguado, 41 - Edificio INCIBE www.incibe.es
24005 Len www.osi.es
Tlf. 987 877 189 www.cybercamp.es
Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi?

Ordenador Zombi

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Ordenador Zombi

Încărcat de

Drepturi de autor:

Formate disponibile

Jornadas Espacios de Ciberseguridad

Esta presentacin se publica bajo licencia Creative Commons del tipo:

3. Objetivos del curso

6. Prctica: construyendo una botnet

9. Otros datos de inters

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 3

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 4

JORNADAS PARA PROFESORES JORNADAS PARA ALUMNOS

MATERIALES ON-LINE (YA DISPONIBLES EN LA PGINA WEB DE LAS JORNADAS)

Formacin especializada en ciberseguridad: MOOC que se desarrollan a travs de la plataforma de

Evento de ciberseguridad CyberCamp (http://cybercamp.es).

Y muchas cosas ms.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 6

3. Objetivos del curso

6. Prctica: construyendo una botnet

9. Otros datos de inters

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 8

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 9

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 10

Dao fsico: fuego, agua, vandalismo, prdida de energa y desastres naturales.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 11

Qu tipos de hackers existen en funcin de los objetivos que tienen?

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 12

Modificacin: se trata de modificar la informacin sin autorizacin alguna.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 13

Denegacin de servicio: consiste en la interrupcin de un servicio sin autorizacin.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 14

Los principales sistemas y ms conocidos son los siguientes:

Firewall: sistemas de restriccin de trfico basado en reglas.

Sistemas IDS / IPS: sistemas de monitorizacin, deteccin y/o

Honeypot: equipos aparentemente vulnerables diseados para atraer y

SIEM: sistemas de correlacin de eventos y generacin de alertas de

Antimalware: sistemas de deteccin de malware informtico.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 15

Las prcticas del taller se realizan sobre un entorno controlado.

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 16

3. Objetivos del curso

6. Prctica: construyendo una botnet

9. Otros datos de inters

3. Objetivos del curso

6. Prctica: construyendo una botnet

9. Otros datos de inters

Virus Gusanos Troyanos

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 21

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 22

Infecta otros programas Altera datos

Capacidad de mutacin Corrompe ficheros

Capacidad de cifrado Auto-propagacin

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 23

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 24

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 25

El gusano se propaga automticamente, mandando un correo electrnico a

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 27

3. Objetivos del curso

6. Prctica: construyendo una botnet

9. Otros datos de inters

Los ordenadores infectados obedecern a las rdenes del ciberdelincuente,

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 30

Infeccin: el atacante infecta ordenadores personales de

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 31

El atacante forma as una red de miles de ordenadores

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 32

- Ataques de denegacin de servicio distribuidos (DDoS)

Jornadas Espacios de Ciberseguridad Mi ordenador es un zombi? 33