Documente Academic
Documente Profesional
Documente Cultură
Introduccin al malware
Dr. Roberto Gmez Crdenas rogomez@itesm.mx @i http://homepage.cem.itesm.mx/rogomez
Lmina 1
Contenido
Definicin Virus Vi Gusanos Caballos de troya Backdoor
Lmina 2
Introduccin al Malware
Seguridad Informtica
Malware?
Consiste en un pequeo programa alojado dentro de otra aplicacin (imagen, archivo de msica,), que se (imagen msica ) instala en el sistema al ejecutar el archivo que lo contiene y que puede llegar a un ordenador por diversos medios (correo, redes P2P, paginas web, spyware, etc). Los cdigos maliciosos o malware son capaces de ocasionar algn dao en una computadora o en la informacin, eliminando archivos o provocando que la computadora reiniciara sin consentimiento del usuario.
Lmina 3 Roberto Gmez Crdenas
Lmina 4
Introduccin al Malware
Seguridad Informtica
Replicacin
La capacidad para duplicarse a si mismo. Si un programa cuenta con esta caracterstica se le considera virus, sin importar que tenga alguna otra caracterstica. Al principio, estos programas se difundan mediante dispositivos de almacenamiento externo como disquetes, CDROMs, cintas magnticas, etctera y deban ser activados con la ayuda del usuario. Sin embargo, los atacantes han aprovechado las ventajas de la embargo tecnologa para que sus cdigos puedan expandirse y se autopropaguen a travs de todo Internet, al aprovechar principalmente fallas en los sistemas operativos, malas configuraciones y la ingenuidad de los usuarios.
Lmina 5 Roberto Gmez Crdenas
Ocultamiento
Es la capacidad que tiene el cdigo malicioso para evadir las protecciones comunes de los sistemas operativos, detectores de intrusos y sistemas antivirus
Cifrado (Polimorfismo Bsico) Polimorfismo Avanzado o Metamorfismo Cambio de extensiones Companion/Hidra o Multi-infector
Lmina 6
Introduccin al Malware
Seguridad Informtica
Activacin
Es la capacidad del cdigo malicioso para activarse, activarse comnmente:
Contador Doble Click Encender la computadora Ejecutar un programa j p g Etc.
Lmina 7
Manifestacin
Comnmente es la capacidad que nos har notar que tenemos cdigo malicioso en nuestro ordenador.
Lmina 8
Enviar un mensaje Formatear el disco rgido Borrar informacin Modificar informacin Robar Informacin Deteriorar el rendimiento de la infraestructura de red Etc.
Roberto Gmez Crdenas
Introduccin al Malware
Seguridad Informtica
Moderado
Destruccin de la Informacin
Mayor
Corrupcin de Archivos o Informacin
S Severo
Alteracin o Modificacin de la Informacin
Ilimitado
Robo de Informacin
Lmina 9 Roberto Gmez Crdenas
Ejemplos de malware
Virus Bombas lgicas Macrovirus Troyanos Backdoors Gusanos
Lmina 10
Introduccin al Malware
Seguridad Informtica
Virus
Un virus se define como una porcin de cdigo de programacin cuyo objetivo es implementarse a si mismo en un archivo ejecutable y multiplicarse sistemticamente de un archivo a otro. Adems de esta funcin primaria de "invasin" o p "reproduccin", los virus estn diseados para realizar una accin concreta en los sistemas informticos
Lmina 11 Roberto Gmez Crdenas
Ejemplos de virus
Pakistani brain (1988) Cascada (1997) Alabama (1989) Jerusaln (1987) Miguel Angel (1992) Vienna (1988) AnnaKournikova (2001) Natas (1999) Stoned (1987) Dark Aveger (1990) Ping pong (1987) I love you (2000) Chernobyl (1998 ) Disk killer (1989)
Lmina 12
Introduccin al Malware
Seguridad Informtica
Imgenes virus
Lmina 13
http://www.viruslist.com/sp http://www.probertencyclopaedia.com/L21.HTM
Lmina 14
Introduccin al Malware
Seguridad Informtica
Los gusanos
Es un programa que produce copias de s mismo de un sistema a otro a travs de la red; i d it t t d l d en las mquinas que se instala, produce enormes sobre-cargas de procesamiento que reducen la disponiblidad de los sistemas afectados.
Lmina 16
Introduccin al Malware
Seguridad Informtica
Lmina 17
Lmina 18
Introduccin al Malware
Seguridad Informtica
Lmina 19
Gusanos conocidos
Gusanos que afectaron la operacin de todo Internet
Lmina 20
Primer gusano: Morris (1988) Code Red (2001) Nimda (2001) Blaster (2003) ( ) Slammer (2003) Sasser (2004) Conficker (2008) Stuxnet (2010)
Roberto Gmez Crdenas
Introduccin al Malware
10
Seguridad Informtica
Gusano de Morris
Dao: 6000 computadoras en unas pocas horas. Trfico de red incrementado por la propagacin. propagacin Qu hacia?
Solo se copiaba a si mismo, no tocaba datos
Exploits utilizados
Buffer overflow en fingerd (Unix) S d il debug mode Sendmail d b d
Ejecucin de comandos arbitrarios tales como copiar un gusano a otra mquina
Diccionario de 432 passwords frecuentemente usados para usarse con rexec, rsh
Lmina 21 Roberto Gmez Crdenas
Introduccin al Malware
11
Seguridad Informtica
Code Red
Ao: 2001 Explot:
Buffer Overflow del Servidor Web IIS De forma aleatoria busca direcciones IP para conectarse a otros servidores IIS.
Lmina 24
Introduccin al Malware
12
Seguridad Informtica
El gusano Nimda
Ao: 2001 Vector de propagacin: mtodo por el cual un gusano se propaga a otra mquina. Payload: datos que el gusano carga cuando viaja. Se propag rpidamente, lo que hizo al gusano peor.
Uso de mltiples vectores de propagacin. S esparci d servidor a servidor (como C d R d) Se i de id id ( CodeRed). Pero tambin de servidor a cliente
Archivos bajados de browser venan infectados.
Infect envo de correos electrnicos de clientes con el cdigo del gusano como payload.
Lmina 25 Roberto Gmez Crdenas
El gusano Blaster
Ao: 2003 Explot
Buffer Overflow en Microsoft OS: atac el servicio DCOM Se contaba con el parche pero varios usuarios no lo tenan instalado.
Causaba que la mquina se apagar. Seguido de un DDoS contra el sitio de Windows Update para prevenir que los usuarios obtuvieran el parche. Desarrollado en lenguaje C.
Lmina 26
Introduccin al Malware
13
Seguridad Informtica
Blaster en accin
Lmina 27
SQL Slammer
Ao: 2003 Se aprovecho de otro buffer overflow
Solo requera de un paquete UDP de 376 bytes. UDP es orientado no conexin: se disemino rpidamente. Infecto 75,000: 90% w/en 10 minutos.
Ataco Microsoft SQL Server DB D h bilit b el servidor y escaneaba direcciones IP al Deshabilitaba l id b di i IPs l azar para infectar. Impacto
Trfico excesivo debido a la propagacin del gusano. Aerolneas cancelarn y retardarn vuelos.
Lmina 28 Roberto Gmez Crdenas
Introduccin al Malware
14
Seguridad Informtica
Conficker
Aprovecha vulnerabilidad en el servicio de red en Windows (MS08 067) (MS08-067) Intenta esparcirse copindose en folders compartidos en redes e infectando USBs. Existen cinco variantes: A, B, C, D y E
Tambin conocido como W32.Downadup
Inusualmente sofisticado No se conoce su propsito La escala de infeccin fue grande Ha cambiado y evolucionado.
Roberto Gmez Crdenas
Propagacin Conficker
Lmina 30
Introduccin al Malware
15
Seguridad Informtica
El exploit (A y B)
Lmina 31
Stuxnet
Descubierto en julio 2010 pero se confirma que ha existido por al menos un ao. p Explota cuatro vulnerabilidades distintas de da cero.
Dos para propagacin Dos para elevacin de privilegios
Lmina 32
Introduccin al Malware
16
Seguridad Informtica
Replicacin
Se autoreplica a travs de memorias USB aprovechndose de una vulnerabilidad en los archivos de atajo Se propaga en una LAN por una vulnerabilidad en el Windows Print Spooler. p Se propaga a travs de SMB aprovechandose de una vulnerabilidad del Microsoft Windows Server Service RPC
Lmina 33 Roberto Gmez Crdenas
Stuxnet
Este programa malicioso no ha sido diseado Este para robar dinero, bombardear con spam o acceder a datos personales; ha sido diseado para sabotear plantas y causar daos en entornos industriales. Mucho me temo que estamos asistiendo al nacimiento de un nuevo mundo. Los 90 fueron la dcada de los cibervndalos, la dcada del 2000 fue la de los cibercriminales y cibercriminales, tengo la sensacin de que estamos entrando en la nueva era de las ciberguerras y el ciberterrorismo Eugene Karspersky
Lmina 34
Introduccin al Malware
17
Seguridad Informtica
Timeline
Lmina 35
El Caballo de Troya
Objetivo principal: recuperacin informacin confidencial de un organismo o un usuario. fid i l d i i Se basa en substituir un programa de servicio comn por uno alterado por el intruso para recuperar informacin.
Lmina 36
Introduccin al Malware
18
Seguridad Informtica
Introduccin al Malware
19
Seguridad Informtica
El troyano SubSeven
Qu hace?
P Permite control remoto de Windows it t l t d Wi d
Archivos Monitoreo Red
Lmina 39
Troyano SubSeven
NT Server
Workstation Atacante Router Internet Controls system from remote location Laptop Hub
Linux Server
Lmina 40 Roberto Gmez Crdenas
Introduccin al Malware
20
Seguridad Informtica
GUI de SubSeven
Lmina 41
Lmina 42
Introduccin al Malware
21
Seguridad Informtica
Lmina 43
Controles de multimedia Captura imgenes de la pantalla R i t conversaciones confidenciales Registra i fid i l Vaciado (dumping) de contraseas NT y Win9x Screen Saver. La mayor parte de los antivirus los detectan. Completamente Open Source (cualquier persona lo pueden modificar).
Lmina 44 Roberto Gmez Crdenas
Introduccin al Malware
22
Seguridad Informtica
NT Server
Attacker
Router Internet I
Hub
Lmina 45
Capture audio or video from the victims system if a microphone or camera is attached. You could record confidential meetings held behind closed doors.
Lmina 46
Introduccin al Malware
23
Seguridad Informtica
Qu vio la vctima?
Lmina 47
Qu vio el atacante?
Lmina 48
Introduccin al Malware
24
Seguridad Informtica
http://www.eeggs.com/
Lmina 49
Introduccin al Malware
25
Seguridad Informtica
Backdoor
despus de que alguien entr al sistema lo deja para seguir con el control sobre el sistema.
Caballo de troya
se le enva al usuario para que lo ejecute
Lmina 51 Roberto Gmez Crdenas
Bombas lgicas
Una bomba lgica es una modificacin en un programa que lo obliga a ejecutarse de manera diferente bajo ciertas circunstancias Bajo condiciones normales, el programa se comporta como previsto y, la bomba no puede ser detectada. Un ejemplo de pseudocdigo es:
IF Profesor = jvazquez THEN salario == Horas * Rango * 1.1 ELSE salario == Horas * Rango
Lmina 52 Roberto Gmez Crdenas
Introduccin al Malware
26
Seguridad Informtica
Rootkits
Programa malicioso que pretende ser un programa normal. normal Tambin se refiere a programas que:
Se hacen pasar por posibles programas. Hacen todo lo posible por eliminar evidencia de su p presencia en el sistema. Para su instalacin es necesario que el atacante cuente con privilegios.
Lmina 53
Tcnicas ms comunes
Windows Rootkits & Malware
Introduccin al Malware
27
Seguridad Informtica
Deteccin
Uso de huellas digitales
TRIPWIRE Advanced Intrusion Detection Environment (AIDE) Downloadable on Internet http://www.cs.tut.fi/~rammer/aide.html.
Chkrootkit
chkrootkit is available at: http://www.chkrootkit.org
AIDE
Open Source Product Can support multiple Integrity Checking Algorithms
Lmina 55 Roberto Gmez Crdenas
Introduccin al Malware
28
Seguridad Informtica
A Virtual Card For You A.I.D.S. A I D S Virus Hoax ANTHRAX Virus Hoax Anticristo Virus Hoax AOL4FREE ASPARTAME HOAX g Big Brother Hoax BLOAT VIRUS HOAX BUDSAVER.EXE SULFNBK Hoax Win A Holiday
Celulares Hoax D@fit Hoax Dangerous HIV Hoax Death Ray Deeyenda Virus Hoax NEW YORK BIG DIRT HOAX Perrin Hoax PIKACHUS BALL HOAX PKZ300 Warning
Roberto Gmez Crdenas
Introduccin al Malware
29
Seguridad Informtica
Lo unico que tienen que hacer para incrementar el numero de p q q p personas en esta cadena es: Primero: dirija este e-mail a ACS@aol.com Segundo: en la parte donde dice CC agregue los e-mails de todos los amigos y colegas que conozca Saludos cordiales, Alfonso
Lmina 59
Lmina 60
Introduccin al Malware
30
Seguridad Informtica
Y cunto cuesta?
Lmina 61
Lmina 62
Introduccin al Malware
31
Seguridad Informtica
Spam
Intento de entregar un mensaje, a travs d I t t de Internet, a una persona t que de otra forma no hubiera elegido recibirlo. Cada vez recibimos ms correos no deseados:
Lmina 63
Ejemplo spam
Lmina 64
Introduccin al Malware
32
Seguridad Informtica
Lmina 65
El spim
La versin del spam para mensajera instantnea Se presenta interrumpiendo conversaciones en MSN Messenger o AIM, en forma de informacin no solicitada o mensajes publicitarios La mayora de los mensajes spim, son
publicidad de sitios pornogrficos, o tros hacen publicidad de formulas para hacerse rico rpidamente, el resto se refieren a productos o crditos financieros
Lmina 66
Introduccin al Malware
33
Seguridad Informtica
Los corporativos pueden confrontar este tipo de problemas, con un politicas del estilo:
usuarios finales no deben difundir alertas de viurs cualquier informe de virus se debe enviar al departamento de q p sistemas de informacin
Lmina 68
Introduccin al Malware
34
Seguridad Informtica
Ingeniera Social.
Es una de las formas ms comunes para penetrar sistemas de alta seguridad. Uso de trucos psicologicos, por parte de un atacante externo, sobre usuarios legitimos de un sistema para obtener informacin (usenames y passwords) necesaria para acceder a un sistema. p Se basa en ataques como: usurpacin de identidad, pepena, inocencia de la gente, relaciones humanas, etc.
Lmina 69 Roberto Gmez Crdenas
Introduccin al Malware
35
Seguridad Informtica
Otro ejemplo
Lmina 71
Spyware y adware
Spyware
tecnologa de recoleccin de informacin acerca de una persona u organizacin sin su conocimiento a nivel usuario la informacin se usa para los publicistas
Adware
aplicacin en la que banners de publicidad son desplegados mientras el programa se ejecuta empieza en programas tipo shareware autores aplicaciones incluyen cdigo adicional que entrega la publicidad que puede ser vista a travs de ventanas popup o travs de una barra que se despliega en pantalla
Lmina 72 Roberto Gmez Crdenas
Introduccin al Malware
36
Seguridad Informtica
El phishing
Suplantacin de pginas y/o sitios de Internet, que permite al estafador, mediante el engao, conocer los datos privados y personales que usted utiliza para la realizacin de operaciones econmicas. Habitualmente usa correo electrnico para enviar mensajes supuestamente originados en una entidad de confianza Pedir datos necesarios para poder realizar operaciones en las cuentas de la entidad:
usuario, Clave de acceso, ClavePersonal, Firma, etc.
Correo electrnico, Ingeniera Social y el Spam son los grandes aliados del phishing
Lmina 73 Roberto Gmez Crdenas
El inicio
Estimado cliente de Banamex Durante nuestro programado mantenimiento regular y procesos de verificacin, hemos detectado un error en la informacin que tenemos registrada de su cuenta. Esto se debe a algunos d estos f E d b l de factores: 1. Un cambio reciente en su informacin personal 2. Que se haya proporcionado informacin invalida durante su proceso inicial de registro con bancanet o que usted aun no haya realizado dicho registro. 3. La inhabilidad de verificar con exactitud la opcin de su eleccin concerniente a su forma preferente de pago y manejo de cuenta debido a un error tcnico interno dentro de nuestros servidores al momento del registro. Favor de actualizar y verificar la informacin de su cuenta haciendo clic en la siguiente liga. Ser redirigido a la pagina principal de nuestro sitio en Internet donde podr actualizar su informacin personal. p gp g http://banamex.com.mx/eng/personal/login.html Si la informacin en su cuenta no se actualiza en las siguientes 48 horas algunos servicios en el uso y acceso de su cuenta sern restringidos hasta que esta infamacin sea verificada y actualizada. De antemano agradezco su pronta atencin este asunto Departamento de Validacin D.R. Copyright 2005, Derechos Reservados. Banco Nacional de Mxico, S.A., integrante de Grupo Financiero Banamex. Isabel la Catlica 44. Col. Centro Histrico. Del. Cuauhtmoc. C.P. 06000, Mxico, Distrito Federal, Mxico Lmina 74
Introduccin al Malware
37
Seguridad Informtica
Pgina redireccionada
Lmina 75
Pgina original
Lmina 76
Introduccin al Malware
38
Seguridad Informtica
Actores y elementos
El usuario
computadora personal
El atacante
montar un sitio web enviar los correos electrnicos
El banco
notificacin del aviso.
Mulas u as
son los intermediarios mas o menos inocentes que facilitan el blanqueo de los fondos estafados. si conocen cual es su papel estn participando en un delito.
Lmina 77
Lmina 78
Introduccin al Malware
39
Seguridad Informtica
Y que se obtiene?
Lmina 79
SCAM
Uso de correo electrnico para engaar y estafar a las personas. personas Donacin a recibir, lotera o premio al que se accede previo envo de dinero. Las cadenas de mail engaosas pueden ser scams si hay prdida monetaria y hoax cuando slo hay engao. No solo se refiere a estafas por correo electrnico, electrnico tambin se le llama Scam a sitios web que tienen como intencin ofrecer un producto o servicio que en realidad es falso, por tanto una estafa.
Lmina 80 Roberto Gmez Crdenas
Introduccin al Malware
40
Seguridad Informtica
Lmina 81
Lmina 82
Introduccin al Malware
41
Seguridad Informtica
Propagacin USB
Lmina 84
Introduccin al Malware
42
Seguridad Informtica
Propagacin va Web
Lmina 85
Lmina 86
Introduccin al Malware
43
Seguridad Informtica
APWG (www.antiphishing.org)
Lmina 87
Ms datos
Lmina 88
Introduccin al Malware
44
Seguridad Informtica
Nombramiento malware
Desde 1991, los miembros de CARO (Computer Antivirus Researchers Organization) designaron un nombramiento (COMPUTER MALWARE NAMING SCHEME) para su uso en antivirus.
Lmina 89
Introduccin al malware
Dr. Roberto Gmez Crdenas rogomez@itesm.mx @i http://homepage.cem.itesm.mx/rogomez
Lmina 90
Introduccin al Malware
45