![Page 1: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/1.jpg)
Sergio de los SantosConsultor de SeguridadHispasec [email protected]
Últimas Tendencias en el Malware
“Enséñame la pasta” Chema AlonsoMicrosoft MVPWindows SecurityInformá[email protected]
![Page 2: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/2.jpg)
Un poco de Historia
Sicilia, Noviembre de 19831986: PC Brain. Disquetes 5 ¼. Se introdujo en una tienda de software pirata.
1988: Ping Pong.
Viernes 13.
¡Cuidado!, el 13 de julio es viernes. 1992: Michelangelo. Hace perder mucho dinero a miles de empresas.
Motivación:Alto nivel técnico
Ego o demostración de conocimiento
![Page 3: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/3.jpg)
La época POP de los virus
![Page 4: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/4.jpg)
El siglo que vivimos peligrosamente
2000: Love
2001: Klez
2001: Code Red
2003: SQL Slammer
2003: Blaster
2004: Sasser
2004: Netsky-A, Netsky-B, …. Netsky-*
![Page 5: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/5.jpg)
Malware Tradicional
Spam
Phising “Tradicional”
Troyanos “tradicionales”Netbus
Netdevil
Subseven
Back Orifice
Poisson Ivy
RootkitsHackerdefender
![Page 6: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/6.jpg)
¿Realmente hoy en día conocemos el
malware?
![Page 7: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/7.jpg)
![Page 8: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/8.jpg)
Nuestros “amigos”
Spam: Es un fin: Venta
Es un medio:
Para infectar máquinas con troyanos adjuntos
Para inducir a visitar páginas de ataque
Troyanos:Es un fin: Controlar la máquina
Es un medio:
Para hacer phishing
Para enviar más spam
Para reclutar zombies para botnets
![Page 9: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/9.jpg)
Nuestros “amigos”
BotnetsEs un fin: Hacer DDOS
Es un medio:
Alojar phishing
Enviar spam
Enviar malware
Alojar warez
Tecnología RootkitSe usa en troyanos y en “clientes” botnet
![Page 10: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/10.jpg)
Envía SpamEnvía Malware Aloja Phishing
Ataque DDOSAloja Warez
![Page 11: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/11.jpg)
Algunas formas de Infección “curiosas”
![Page 12: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/12.jpg)
Se acabó el romanticismo
![Page 13: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/13.jpg)
Industria
![Page 14: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/14.jpg)
Modelo de Negocio:
Clientes Objetivos:Microsoft > 90 % cuota de mercado
Navegadores:
1. Microsoft IE 75,89%
2. Mozilla Firefox 20,68%
3. Apple Safari 1,99%
4. Opera 1,23%
5. Netscape 0,07%
![Page 15: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/15.jpg)
Modelo de Negocio:
Aparición estratégica:2001: Nimda y Code Red -> 250 días después parche
2003: Blaster -> 30 días después de parche
2004: Sasser -> 5 días después de parche
HOY:
Al día siguiente de los parches están los exploits
Algunos meses, 2 días después de la publicación de los parches empiezan a explotar vulnerabilidades no conocidas
![Page 16: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/16.jpg)
Modelo de Negocio:
Proveedores:Vulnerabilidad en Windows Vista: 38.100 €
Troyanos que generan Spam: 3.800 €
Números de tarjetas de crédito y PIN: 380 €
Cuentas eBay o PayPal: 3 €
![Page 17: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/17.jpg)
Modelo de Negocio
Competencia:iDefense: 10.000 dólares vulnerabilidad Windows
TrippingPoint: 50.000 dólares vulnerabilidades en software popular
![Page 18: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/18.jpg)
Modelo de Negocio
Cobro “a clientes”:Se esparcen troyanos
Se roban credenciales
Se busca un mulero con ofertas de trabajo a través de spam
Mulero abre cuenta
Se manda pasta de cuentas robadas a cuenta del mulero
Mulero saca pasta y envía dinero (quedándose su comisión)
Mulero es trincado y va al “trullo”.
Búsqueda de nuevo mulero
http://elladodelmal.blogspot.com/2007/01/fraude-en-internet-por-daniel-guzman-el.html
![Page 19: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/19.jpg)
Balance: Cuenta de ResultadosFiesta en Praga compañía Adware
![Page 20: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/20.jpg)
Modelo de Negocio:
Expansión:2003: aproximadamente 60.000 ejemplares
2007: aproximadamente 400.000 ejemplares
Mínima molestia para el usuario, menor infección masiva, detección tardía.
Crimen organizado y alianzas estratégicas
Durante 2006 una media de 200 keyloggers distintos por mes
40.000 sitios phising detectados por el APWG en Octubre 2006
Año 2000: 300 keyloggers conocidos.
Año 2006: 8.500 keyloggers conocidos.
![Page 21: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/21.jpg)
Modelo de Negocio:
Producto:
Demo 1: Ejemplo de producto “escuela brasileña”
Demo 2: Ejemplo de producto “escuela rusa”
![Page 22: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/22.jpg)
Soluciones:
Antivirus:
![Page 23: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/23.jpg)
Técnicas de Evasión
Demo:
Jugando con la minishell
![Page 24: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/24.jpg)
Morphing “Superman”
![Page 25: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/25.jpg)
¿Solución?
![Page 26: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/26.jpg)
Defensa en profundidad
Políticas de seguridad
Protección en el perímetro
Protección en los servidores
Protección en los desktops
Mínimo privilegio posible
Mínimo punto de exposición
![Page 27: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/27.jpg)
![Page 28: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/28.jpg)
Contacto
Sergio de los SantosConsultor de Seguridad: [email protected]
Hispasec Sistemas: http://www.hispasec.com
Una Al día: http://www.hispasec.com/
Virus Total: http://www.virustotal.com
Chema AlonsoMicrosoft MVP Windows Security
Informática64: http://www.informatica64.com
Technews: http://www.informatica64.com/boletines.html
![Page 29: Sergio de los Santos Consultor de Seguridad Hispasec Sistemas ssantos@hispasec](https://reader036.vdocumento.com/reader036/viewer/2022062321/56813c60550346895da5e844/html5/thumbnails/29.jpg)
Hands On Lab
http://www.microsoft.es/HOLSistemas