10 Código Dañino PDF

CÓDIGO DAÑINO E INTEGRIDAD
http://ccn-cert.net/Lima
Contraseña: Lima2018
© 2018 Centro Criptológico Nacional

C/Argentona 20, 28023 MADRID
Código dañino SIN CLASIFICAR
Definición
Es un programa pequeño que se ejecuta sin el
conocimiento o el permiso del usuario, teniendo como
objetivo infiltrarse o alterar el normal funcionamiento del
Sistema.
17/04/2018 2
Reflexión
 ¿Debo de confiar en la pagina web
visitada?
 ¿Debo de confiar en el remitente?
 ¿Puedo confiar en archivos
adjuntos?
 ¿Realmente es un fichero de texto
(.txt) o un fichero con texto
enriquecido (.rtf)?
 ¿Puedo confiar en mensajes con
formato (.html)?
17/04/2018 3
Objetivos
 Muy diversos, según el tipo. De forma general:
 Engañar al usuario
 Suplantar su identidad
 Robo de credenciales
 BORRADO/SECUESTRO DE INFORMACIÓN
 Recolectar información sin consentimiento del usuario

 Ciberespionaje
 Fuga de información
 Envío masivos de correos no deseados (spam)
 Denegación de servicio
 Ataques distribuidos (zombie)

 Minería de criptomonedas
17/04/2018 4
Métodos de Infección
 Correo Electrónico
 Visitar página WEB (Watering hole attack)
 Dispositivos removibles
 Amenazas de DIA-CERO (0-day attack)
(Documentos PDF, WORD, Códigos Java)
 Estar conectado a Internet SIN tener actualizado el
Sistema Operativo/Programa
 Ataques Laterales (Equipos de la misma red)
5
Tipos de Virus
Falso Virus/Alertas (Hoax)
Gusanos
Troyanos
Rootkits
Correos NO deseados
SPAM
SMISHING (SPAM/VIRUS MOVILES)
Espías
Adware, Spyware
Fraude Electrónico
Phising – Scam
Secuestro de archivos (Ransomware)
DNS Falsos – Pharming – Envenenamiento de Cache
Bots (Minería de criptomonedas)

6
Plataformas afectadas
17/04/2018 7
Fraude – Dridex
 Atacante envía correo con adjunto
dañino.
 Adjunto en formato “Word” o “Excel”
con macros.
 Troyano roba datos del navegador
del usuario.
 Roba datos de autenticación (usuario,
contraseña, etc.).
 Permite acceso a la red local
mediante una puerta trasera.
 Suplanta al remitente de compañías
en correos electrónicos.
 Monitoriza, intercepta y modifica
transacciones bancarias.
Contramedidas código dañino

Empleo de programas originales.
Tener actualizado el sistema operativo y resto de
programas con los últimos parches.
Tener actualizados los productos adobe (reader – flash)
y maquina virtual java.
Tener instalado y activado un antivirus. (actualizado al
menos diariamente).
Tener instalado/configurado un cortafuegos.
Tener instalado un programa anti-spyware.
http://www.spywareguide.com/product_list_full.php
Tener protegida la pagina inicial de nuestro navegador.
Tener protegido el archivo host.
17/04/2018 9
Usar para la navegación en Internet/Reuniones

externas, un usuario que no tenga privilegios en el
sistema.
Realizar copias de seguridad periódicas.
No abrir ningún mensaje recibido a través del
correo electrónico de fuentes desconocidas o
dudosas.
Analizar todos los archivos, incluso los
comprimidos.
Nunca abrir documentos anexados de fuentes
desconocidas, guardar en una carpeta temporal
y analizar.
No bajar nada de sitios web poco confiables.
No reutilizar la misma contraseña en distintas
redes/equipos.
17/04/2018 10

CCN-CERT IA-03/17 Medidas de Seguridad contra Ransomware
http://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos.html
RECOMENDACIONES
 Copias de seguridad periódicas.

 Sistema y aplicaciones actualizados.
 Actualización antivirus.
 No utilizar cuentas con privilegios elevados
(administrador / Usuario avanzado).
 Listas de control de acceso restrictivas.
 Empleo de bloqueadores de Java Script.
Familia/Versión Ransomware: https://id-ransomware.malwarehunterteam.com/

Herramientas de descifrado : https://www.nomoreransom.org/decryption-tools.html
Kit de Herramientas
http://www.microsoft.com/technet/sysinternals
Process Monitor y Process Explorer
TcpView
Autoruns
http://vil.nai.com/vil/stinger
Diferentes versiones de stinger (Virus más activos)
http://www.gmer.net
Gmer / Catchme
Otras
HijackThis -> TrendMicro
WinLockLess -> Hispasec
ProcessHacker -> http://processhacker.sourceforge.net
EMET (Enhanced Mitigation Experience Toolkit) -> Microsoft
ANTI RANSOM -> http://www.security-projects.com/?Anti_Ransom
12
Posible solución
Windows 7 SP1
Cortafuegos : Zone Alarm pro/home.
Antivirus Microsoft Security Essentials/Panda free 2017.
Antispyware : spybot search and destroy
EMET: enhanced mitigation experience toolkit
Anti Ransom v2.0
Monitores:
Spywareblaster (http://www. brightfort.com)
Hijackthis/autoruns (de forma periódica)
Stinger (de forma periódica) / malwarebytes
Creación de diversos usuarios en el sistema operativo con distinto rol.
Borrado y limpieza del sistema
ccleaner
17/04/2018 13
Vigilar/Comprobar
Centro de Seguridad de Windows (Security Center Service)
HKLM \SYSTEM\CurrentControlSet\services\wscsvc
Start:0x00000002
Componentes del Servicio de Seguridad
HKLM\SOFTWARE\Microsoft\Security Center\
AntivirusDisableNotifiy = 1 (Deshabilitado)
FirewallDisableNotify = 1 (Deshabilitado)
UacDisableNotify = 1 (Deshabilitado)
http://support.microsoft.com/kb/949737
Configurar qué carpetas y archivos se muestran
Mostrar archivos, carpetas y unidades ocultas
Mostrar archivos protegidos por el sistema operativo
Mostrar las extensiones de los archivos
17/04/2018 14
¿Qué se puede hacer?
Formación y
Concienciación
17/04/2018 15
Control de integridad SIN CLASIFICAR
Situación Actual
Paaaapii, me acabo de bajar un nuevo

juego, me gusta mucho, eeees tan
chuuuloo ¡¡¡¡¡
Necesito la contraseña del

administrador, tengo que instalar el
programa …..
17/04/2018
16
Situación Actual - Software
• Modificación de archivos por inicios alternativos

del sistema
• Código dañino que reemplaza archivos del
sistema o toman el control del mismo
• Establecimiento de controladores (drivers) críticos
del sistema sin firmar o de origen dudoso.
• Usuarios maliciosos que cambian aspectos del
sistema para ocultar su actuación.
• Acciones realizadas por los administradores del
sistema.
17/04/2018
17
Situación Actual - Hardware

Interceptación del teclado.
Reenvío tráfico de red.
Duplicado de discos duros.
17/04/2018
18
Detección
Se debe de detectar
Cambio en el firmware de la BIOS.
Cambio en la estructura del disco (zonas autorizadas y zonas

no autorizadas).
Cambio del hardware del sistema.
Cualquier cambio de:

usuarios: (nuevos, modificados….)
ficheros : (nuevos, borrados, modificados…)
registro : (entradas nuevas, borradas…)
fecha del sistema
Modificaciones en el proceso de inicio.
17/04/2018
19
Soluciones software…
Disponer de un programa que realice una
captura de la configuración del equipo –
“realización de una foto” del estado actual
del sistema.
Empleo de algoritmos hash para el
almacenamiento de la información.
Almacenamiento de la configuración en una
base de datos.
Permitir realizar comparaciones posteriores.
Las diferencias encontradas se mostraran en
pantalla y en fichero.
Las capturas y comparaciones se realizan
con/sin intervención del S.O. del ordenador.
17/04/2018
20
Soluciones hardware…
Poner etiquetas de seguridad
en teclado
en CPU
en monitor
17/04/2018
21
Borrado seguro SIN CLASIFICAR
Borrado seguro
17/04/2018
22
Borrado seguro
Predominio de sistemas MS Windows.
Amplio manejo de programas ofimáticos, como procesadores de textos,
hojas de cálculos, mensajería, etc…
Gran intercambio de ficheros.
Repositorios públicos de ficheros.
Las aplicaciones emplean un elevado almacenamiento de “metadatos”.
17/04/2018
23
Borrado seguro
Borrado del fichero swap de Windows en cada reinicio del sistema.
hklm\system\currentcontrolset\control\session maganer\memory
management
name : clearpagefileatshutdown type : dword value = 1
Empleo de programas de borrado seguro.
Borrar diariamente el directorio temporal
Programar borrados seguros del espacio libre.
Desfragmentar el disco.
wipe free space - defrag - wipe free space
17/04/2018
24
Borrado seguro
17/04/2018
25
Borrado seguro
Metadatos SIN CLASIFICAR
Metadatos
Metadatos “data about data”,
según articulo q223790, los
metadatos pueden almacenar:
nombre.
organización.
texto oculto.
versión del documento.
objetos incrustado ole (ocultos)
etc...
Amplia proliferación de programas

y/o hardware que emplean
metadatos
17/04/2018
27
Metadatos SIN CLASIFICAR
Metadatos
Empleo de herramientas para la eliminación de datos residuales en documentos.
- MetaShield - https://www.elevenpaths.com/es/tecnologia/metashield/index.html
- Metadata Assistant http://www.payneconsulting.com.
CCN-STIC-835 Borrado de metadatos en el marco del ENS

http://www.ccn-cert.cni.es/guias/guias-series-ccn-stic/800-guia-esquema-nacional-de-seguridad.html
17/04/2018
28
Bibliografía - Control de integridad

UNIX
AIDE – http://aide.sourceforge.net
CHKROOT – www.chkrootkit.org (gratuito)
WINDOWS
FILE VERIFIER++ http://sourceforge.net/projects/fileverifier (gratuito)
CIMTRAK – www. cimcor.com/cimtrak-home (comercial)
VERISYS – www. .ionx.co.uk/products/verisys (comercial)
UNIX - WINDOWS
NNT CHANGE TRACKER GENERATION 7™ – www. newnettechnologies.com
TRIPWIRE – www.tripwire.com (comercial)
SAMHAIN – la-samhna.de/samhain (gratuito)
OSIRIS – osiris.shmoo.com/download.html (gratuito)
17/04/2018
29
Bibliografía- Borrado seguro

BCWIPE – www.jetico.com (comercial – Windows/Unix/Linux)
ERASER – eraser.heidi.ie (gratuito – Windows)
METADATA ASSISTANT – www.payneconsulting.com (comercial – Windows)
METASHIELD – www.elevenpaths.com/es/tecnologia/metashield/index.html
CCLEANER – www.piriform.com/ccleaner (gratuito – Windows)
UNISHRED PRO – www.lat.com (comercial – Solaris – HP-UX)
CCNDROID WIPER – www.ccn-cert.cni.es (GRATUITO – Android 4.3 y superior)
Microsoft Inc.- How Word for Windows use temporary files:

support.microsoft.com/kb/211632
17/04/2018
30
Recuperación de ficheros SIN CLASIFICAR
Bibliografía - Recuperación de ficheros
FILE SCAVENGER – www.quetek.com
FILERECOVERY – www.lc-tech.com
GETDATABACK – www.runtime.org
ENCASE – www.encase.com
UNDELETE 360 – www.undelete360.com
RECUVA – www.piriform.com
17/04/2018
31
SIN CLASIFICAR
1. Aumentar la capacidad de Vigilancia.
2. Herramientas de Gestión Centralizada.
3. Política de seguridad.
4. Aplicar configuraciones de seguridad.
5. Empleo de productos confiables y certificados.
6. Concienciación de usuarios.
7. Compromiso de dirección (Dueños del Riesgo)
8. Legislación y Buenas Prácticas.
9. Intercambio de Información.
10.Trabajar como si se estuviera comprometido.

SIN CLASIFICAR
Muchas Gracias
E-mails
info@ccn-cert.cni.es
ccn@cni.es
sondas@ccn-cert.cni.es
redsara@ccn-cert.cni.es
organismo.certificacion@cni.es
Páginas web:
www.ccn.cni.es
www.ccn-cert.cni.es
http://ccn-cert.net/Lima
www.oc.ccn.cni.es Contraseña: Lima2018

10 Código Dañino PDF

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

10 Código Dañino PDF

Încărcat de

Drepturi de autor:

Formate disponibile

CÓDIGO DAÑINO E INTEGRIDAD

© 2018 Centro Criptológico Nacional

 Recolectar información sin consentimiento del usuario

 Envío masivos de correos no deseados (spam)

 Ataques distribuidos (zombie)

SMISHING (SPAM/VIRUS MOVILES)

Secuestro de archivos (Ransomware)

DNS Falsos – Pharming – Envenenamiento de Cache

Bots (Minería de criptomonedas)

Contramedidas código dañino

Contramedidas código dañino

Usar para la navegación en Internet/Reuniones

Contramedidas código dañino

 Copias de seguridad periódicas.

Familia/Versión Ransomware: https://id-ransomware.malwarehunterteam.com/

WinLockLess -> Hispasec

ProcessHacker -> http://processhacker.sourceforge.net

EMET (Enhanced Mitigation Experience Toolkit) -> Microsoft

ANTI RANSOM -> http://www.security-projects.com/?Anti_Ransom

¿Qué se puede hacer?

Paaaapii, me acabo de bajar un nuevo

Necesito la contraseña del

Situación Actual - Software

• Modificación de archivos por inicios alternativos

Situación Actual - Hardware

Cambio en la estructura del disco (zonas autorizadas y zonas

Cambio del hardware del sistema.

Cualquier cambio de:

ficheros : (nuevos, borrados, modificados…)

registro : (entradas nuevas, borradas…)

fecha del sistema

Modificaciones en el proceso de inicio.

Empleo de programas de borrado seguro.

Borrar diariamente el directorio temporal

Programar borrados seguros del espacio libre.

wipe free space - defrag - wipe free space

versión del documento.

objetos incrustado ole (ocultos)

Amplia proliferación de programas

- Metadata Assistant http://www.payneconsulting.com.

CCN-STIC-835 Borrado de metadatos en el marco del ENS

Bibliografía - Control de integridad

CHKROOT – www.chkrootkit.org (gratuito)

FILE VERIFIER++ http://sourceforge.net/projects/fileverifier (gratuito)

CIMTRAK – www. cimcor.com/cimtrak-home (comercial)

VERISYS – www. .ionx.co.uk/products/verisys (comercial)

NNT CHANGE TRACKER GENERATION 7™ – www. newnettechnologies.com

TRIPWIRE – www.tripwire.com (comercial)

SAMHAIN – la-samhna.de/samhain (gratuito)

OSIRIS – osiris.shmoo.com/download.html (gratuito)

Bibliografía- Borrado seguro

ERASER – eraser.heidi.ie (gratuito – Windows)

METADATA ASSISTANT – www.payneconsulting.com (comercial – Windows)

CCLEANER – www.piriform.com/ccleaner (gratuito – Windows)

UNISHRED PRO – www.lat.com (comercial – Solaris – HP-UX)

CCNDROID WIPER – www.ccn-cert.cni.es (GRATUITO – Android 4.3 y superior)

Microsoft Inc.- How Word for Windows use temporary files:

Bibliografía - Recuperación de ficheros

FILE SCAVENGER – www.quetek.com

UNDELETE 360 – www.undelete360.com

1. Aumentar la capacidad de Vigilancia.

2. Herramientas de Gestión Centralizada.

4. Aplicar configuraciones de seguridad.