esr ii - modulo 1 - codigo malicioso
DESCRIPTION
Intro al malware, clasificacion, como trabajan, medidas, etc.TRANSCRIPT
Modulo 1 - Malware
ESR IILic. Fernando Alonso, CISSP, CCNA, GSEC
Ya sea que usted administre una red corporativa de computadoras, o bien su Ya sea que usted administre una red corporativa de computadoras, o bien su propio sistema hogareño, probablemente haya sido víctima de algún tipo de propio sistema hogareño, probablemente haya sido víctima de algún tipo de virus virus informáticoinformático, al menos una vez., al menos una vez.
Podemos definir el término Podemos definir el término “Código Malicioso”“Código Malicioso”,, como como “Todo programa o “Todo programa o fragmento de código, que genera en su accionar, algún tipo de problema en el fragmento de código, que genera en su accionar, algún tipo de problema en el sistema de cómputo en el cual se ejecuta, interfiriendo de esta forma con el normal sistema de cómputo en el cual se ejecuta, interfiriendo de esta forma con el normal funcionamiento del mismo”.funcionamiento del mismo”.
Los distintos tipos de Los distintos tipos de “Código Malicioso”“Código Malicioso” comparten algunos aspectos en común: comparten algunos aspectos en común:
• Generalmente se trata de componentes de software, desarrollados con un fin específico
• En algún punto interfieren con la operación normal del sistema de cómputo
• Suelen instalarse y ejecutarse sin el consentimiento “expreso” del usuario
• Requieren de un sistema de cómputo anfitrión para cumplir su cometido
Introducción
Muchas cosas han cambiado desde la aparición de las primeras formas de “Código Malicioso”, aunque sin lugar a dudas la capacidad de distribución es el factor de mayor evolución, aquí encontramos:
• Memoria compartida
• Sector de arranque de los discos
• Recursos compartidos en una red
• Internet
Hoy en día, no sólo los programadores expertos en desarrollo de virus representan una amenaza, también puede resultar sencillo conseguir a través de Internet, herramientas que permiten a una persona sin muchos recursos intelectuales generar su propio virus.
Introducción
• Código Malicioso o Malware: Pieza de software intencionada con producir daño o al menos generar efectos distintos para los que su objetivo se encuentran programados.
• Los costos del Malware:• Costos reales: Costos directos y visible de impacto.• Costos ocultos: Costos encadenados por el incidente,
costos intangibles como imagen y prestigio comercial, desconfianza de clientes, perdida de carteras comerciales, etc.
Introducción
Introducción
• Propagación del Malware
Introducción
• Clasificación del Malware – Características de la clasificación• Auto-reproducción: Capacidad de auto-
replicarse• Crecimiento: Cantidad de instancias en las
que puede reproducirse y/o auto clonarse• Parasitismo: Si necesita de otro código para
ejecutarse o se ejecuta por si solo.
Al margen de las características comunes que comparten los distintos tipos de “Código Malicioso”, existen diferencias fundamentales que hacen necesaria su clasificación de acuerdo a :
• Origen• Forma• Daños que provocan• Función para la cual se desarrollaron
Siguiendo este criterio, encontramos:
• Virus• Troyanos • Cookies• Keyloggers• Spyware
Clasificación
Los virus informáticos, son quizás el tipo de “Código Malicioso” más extendido. Su historia y evolución han hecho de ellos una de las amenazas más temidas para los administradores de sistemas de información y usuarios en general.
Un virus es una pieza de software diseñada para infectar un sistema de cómputo.
En esencia, no son más que pequeños componentes de software, desarrollados generalmente en lenguajes de alto nivel, bajo nivel e híbridos (C, C++, Assembler, etc.).
Generalmente suelen acarrear problemas mayores que van desde la simple eliminación de archivos claves del sistema, pasando por la completa destrucción de particiones de discos duros, hasta llegar a dañar el firmware del equipo de la víctima.
Virus
Virus
• Partes de un virus• Mecanismo de infección• Detonador (Trigger)• Carga (Payload)
Suelen clasificarse en función de múltiples características y criterios: • Origen• Técnicas que utilizan para infectar• Tipos de archivos que infectan• Lugares donde se esconden• Daños que causan • Plataforma que atacan, etc.
Siguiendo estos criterios, encontramos:
• Macro Virus
• Boot Sector Infectors
• Polimorfos
• Bombas Lógicas
• Hoax
• Troyanos
• Gusanos
• Retrovirus
• Encriptados
• File Virus
• Stealth, etc.
Tipos de Virus
Tipos de Virus
• Boot Sector Infectors
Tipos de Virus
• File Infectors
Tipos de Virus
• Macro Virus
Tipos de Virus
• Encriptados
Tipos de Virus
• Encriptados
Tipos de Virus• Stealth
• Melissa
• SQL Slammer
• Blaster
• K&FPV
• Bugbear
• Chernobyl
• I Love You
• Sircam
• Nimda
• Código Rojo
• Sobig
• MyDoom
• Sasser
Virus Famosos
Suelen existir diferentes síntomas de un ataque o infección de acuerdo al tipo de virus que actúe en cada caso.
Como regla general, debería sospechar de su instalación de software si observara al menos alguno de los siguientes síntomas:
• Los programas en su sistema tardan en cargar o lo hacen muy lentamente• Archivos desconocidos aparecen en su disco rígido• Archivos necesarios para la ejecución de uno de sus programas o del sistema operativo desaparecen de su disco rígido• Escrituras inesperadas en una unidad de disco• Actividad de pantalla no estándar o extraña• El tamaño de sus archivos de programa cambia súbitamente respecto de su tamaño original• Su sistema repentinamente no inicia o exhibe algún mensaje de error inesperado• Su sistema se resetea en forma inesperada
Síntomas de un ataque
Se suele referirse al “Ciclo de Vida de un Virus”, haciendo un paralelismo con su partida biológica.
El siguiente esquema describe cada etapa:
1. Creación2. Replicación3. Activación4. Descubrimiento5. Asimilación6. Erradicación
Etapas de Contaminación
•La peligrosidad de un virus se establece en base a dos criterios principales:
• Su capacidad de hacer daño.• La posibilidad de propagación o difusión del código malicioso.
•Entre las consecuencias más importantes, tenemos:
• Daños a determinado tipo de hardware.• Alteración o pérdida de datos.• Denegación de Servicio.• Manipulación de Datos.• Pérdida de Productividad.
• Pérdida de Credibilidad.
• Vergüenza.
Daños que producen
•Los ataques producidos por virus, suelen estar ligados legalmente a lo que se conoce como “Leyes de Delitos Informáticos”.
•Hoy día, a la luz de las nuevas amenazas, debe trabajarse fuertemente en lo que se conoce como el modelo de “Prevención por Capas” :
• Instalación de actualizaciones de seguridad liberadas para sistemas operativos y de aplicación.• Implementación de software antivirus en estaciones de trabajo.• Implementación de software antivirus en servidores de archivos.• Implementación de software antivirus en servidores de correo corporativo.• Implementación de software antivirus sobre la navegación corporativa (proxies).• Implementación de software de administración de contenidos.• Implementación de políticas de filtrado en el perímetro externo.• Implementación de sistemas de búsqueda y actualización de vulnerabilidades.• Implementación de una política de control de instalación de software legal.
Medidas de Protección
•Un buen software de control antivirus debería cumplir, como mínimo, con los siguientes requisitos que a continuación se detallan:
• Debe estar certificado por la ICSA (International Computer Security Association)• Debe tener exploración en tiempo real o programado• Debe contar con una consola de administración y reportes central• Debe contar con las herramientas para proteger los diferentes focos de
infección (discos, mail, web, etc)• Debe cubrir la actualización de nuevas firmas antivirus en forma automática y
desatendida en servidores y clientes• No debe degradar la performance del dispositivo resguardado• Debe contar con herramientas de logueo de eventos, estadísticas y reporte
para el seguimiento de incidentes• Debe implementar un sistema de alarmas (e-mail, traps SNMP, pager. etc)
Medidas de Protección
En su definición más amplia, solemos referirnos a los Troyanos como todo programa que lleva oculta una funcionalidad determinada, que será usada con fines maliciosos y en contra del usuario que lo instala.
Una de las principales diferencias entre un virus y un troyano, es la inhabilidad de estos últimos para replicarse.
Otra de las grandes diferencias, es que generalmente, el troyano forma parte del código fuente del programa instalado y se compila junto con él, mientras que el virus simplemente se añade o suplanta el programa original.
Los troyanos, suelen llegar a nuestro sistema, como un programa aparentemente inofensivo, pretendiendo “ser algo que no son” o “hacer algo que no hacen”.
Troyanos
•A través del tiempo, gran cantidad de troyanos fueron liberados al público en general. Casi todos ellos, tienen su origen en grupos de hackers.
•La gran mayoría cuentan con algunas de las siguientes características principales:
• Edición remota del registro
• Capacidad para compartir archivos
• Apagado/Reinicio del sistema
• Recupero de contraseñas almacenadas en cache
• Captura de pantallas
• Keylogger
• Monitoreo del tráfico de red
• Funcionalidades de Proxy
Troyanos
• Redirección de puertos y aplicaciones• Funciones “Fun” o divertidas (Apertura y cierre del CD-DRIVE, intercambio
de botones del mouse, ejecución de archivos .WAV, Grabar sonidos desde
un micrófono, etc)• Presentación de imágenes (BMP/JPEG) y mensajes en pantalla• Ejecución de aplicaciones• Manipulación del sistema de archivos• Notificaciones del éxito del ataque a través de aplicaciones tales como ICQ,
IRC o correo electrónico
•Entre los más importantes, encontramos:• Back Orifice• Netbus• SubSeven• Optix, etc.
Troyanos
•Los troyanos requiere al menos de tres componentes fundamentales:
• Una parte “Servidor”, a ser instalada en forma subrepticia en la máquina del
usuario objetivo• Una parte “Cliente”, a ser instalada en el equipo del atacante, encargada de
comunicarse con la máquina infectada• Un protocolo de comunicación compartido entre ambos extremos.
Generalmente TCP/UDP.
•Existen al menos tres fases claramente identificadas respecto del funcionamiento de un troyano:
• Arribo al sistema víctima• Consolidación de la posición• Comunicación con el atacante
Funcionamiento de Troyanos
• Implementación de software antivirus
• Implementación de filtros de contenidos
• Implementación de Firewalls
• Implementación de IDS
• Implementación de controles de distribución e instalación de software
• Implementación de software Anti-Troyanos
Medidas de Protección
Originalmente, fueron diseñadas para ayudar a que un sitio web, reconociera el navegador de un usuario que repite su visita al mismo, y de esta forma ser capaz de guardar y recordar las preferencias que el usuario hubiera escogido durante su visita anterior.
Con el correr del tiempo, las cookies se fueron transformando, en potentes herramientas de marketing.
En esencia, una cookie no es más que un archivo de texto, que algunos servidores piden a nuestro navegador que escriba en nuestro disco duro.
Si bien es cierto que las “Cookies”, no son consideradas una amenaza a su PC, o a los datos que ésta alberga, sí lo es respecto de su privacidad y confidencialidad, puesto que habilitan a un Website a recordar detalles y mantener registros de su visita.
Cookies
Las cookies, suelen introducirse en nuestra computadora, cada vez que visitamos un Website programado para hacer uso de estas.
Los diferentes lenguajes de programación utilizados por los desarrolladores web (JavaScript, ASP, PHP, etc), incluyen instrucciones específicas respecto de la manipulación de estas características.
DoubleClick es una de las más célebres compañías de marketing en Internet que con sus tracking cookies monitorea la navegación de los usuarios en decenas de millones de computadoras en todo el mundo.
Cookies
Las cookies son enviadas desde el servidor al cliente (navegador) y almacenadas en este.
Posteriormente el navegador envía estas cookies al servidor permitiendo así la identificación del cliente.
Un dato importante, es que en todos los casos, no es el servidor quien escribe en nuestro disco duro, sino nuestro explorador.
Desde el punto de vista de la construcción de una Cookie, existen básicamente seis parámetros que pueden ser pasados a éstas.
Funcionamiento
• Nombre: Nombre de la “Cookie”
• Value: Valor de la “Cookie”
• Expire: Indica la hora en que se eliminará la cookie
• Path: Subdirectorio en donde tiene valor la cookie
• Dominio: Dominio en donde tiene valor la cookie
• Secure: Indica que la cookie sólo se transmitirá a través de una conexión
segura HTTPS
Composición de Cookies
En principio, tanto “Netscape” como “Microsoft Internet Explorer”, permiten ser configurados para rechazar los diferentes tipos de “Cookies”, en relación a las preferencias del usuario.
Por otra parte, existen aplicaciones de terceros, muchas veces referidas como “Cookie Monsters” o “Cookie Managers”.
Básicamente, los productos anti-cookies trabajan filtrándolas en tiempo real, incluso de sitios determinados y/o limpiándolas en cada oportunidad de los archivos generados en el disco..
Medidas de Protección
Un “Keylogger” no es ni más ni menos que una aplicación destinada a registrar en forma remota, el comportamiento de un usuario en una PC.
Su función principal, es la de grabar todo aquello que sea escrito por intermedio del teclado para luego enviar esta información al atacante, o almacenada en algún sitio del disco rígido del equipo víctima, esperando a ser recuperada.
Keyloggers
Una de las características básicas de todo “Keylogger”, es la de pasar desapercibido tanto al momento de la instalación como en el de su uso. Para ello cuentan con características de las denominadas “Stealth”.
En la actualidad, existen una gran cantidad de “virus, gusanos y troyanos” que los incluyen como parte de su carga maliciosa.
•Básicamente, el funcionamiento de un “Keylogger”, depende específicamente, de la configuración previa que se haya realizado sobre él y de la plataforma para la que haya sido desarrollado (Unix, Windows, etc).
•En líneas generales, la secuencia lógica al momento de trabajar con un “Keylogger”, consta de tres pasos principales:
• Configuración de los aspectos del “Keylogger”
• Instalación
• Obtención de la información registrada
Funcionamiento
Keylogging por hardware
Keylogging por software
El uso de “Keyloggers” ha desencadenado una gran polémica en la comunidad general.
Los profesionales en seguridad informática deben evaluar las circunstancias en las que estas herramientas pueden o deben ser implementadas.
Hay quienes alegan que al atentar contra la privacidad y la confidencialidad, el uso de este tipo de aplicaciones, no sólo es ilegal, sino que también inconstitucional.
Entre los usuarios legales de “Keyloggers” se encuentran aquellos padres que quieren vigilar a sus hijos menores de edad, o empresas que quieren saber exactamente que es lo que hacen los empleados cuando se encuentran conectados a Internet.
Medidas de protección
Existen en el mercado, aplicaciones específicamente pensadas para hacer frente a esta amenaza (Tal es el caso de “Advance Anti-Keylogger” ).
De todas formas, la combinación de estas últimas con el software antivirus, debería conformar una contramedida aceptable.
SpywareEn el sentido más amplio de su definición, el término “Spyware” se utiliza para describir toda tecnología que asista a la obtención de información acerca de una persona u organización sin su conocimiento.
En Internet, se conoce como “Spyware” a pequeños programas dedicados a llevar un control del comportamiento de los usuarios, con la intención de vender esta información a terceras partes interesadas, generalmente empresas relacionadas con las áreas de marketing y publicidad.
Si bien es cierto, que el “Spyware”, generalmente tiene como propósito obtener información del uso de Internet, por parte de los usuarios, existen algunas diferencias entre ellos:
• Adware: Por lo general, se trata de aplicaciones que incluyen como parte de su interfaz de usuario, ventanas de publicidad.
• Scumware: Tiene la habilidad de personalizar la publicidad mostrada en el explorador.
• Browser Hijackers: Como parte de su accionar, suelen interactuar generalmente con el registro de Windows, modificándolo con el objeto de alterar algunas características del Explorador.
• Server Side Spyware: Se diferencia del resto debido a que los componentes “espías”, se encuentran implementados del “lado del servidor”.
Tipos de Spyware
•En líneas generales, la mayoría del software “Spyware”, basa su funcionamiento en los siguientes pasos principales:
• Ingreso al sistema
• Obtención de información local
• Monitoreo del sistema
• Registro
• Acción
Funcionamiento
En la actualidad, existen varios productos tendientes a lidiar con el “Spyware”.
La mayoría, incluyen bases de datos actualizables a través de Internet, conteniendo los detalles o “firmas” correspondientes a cada uno de ellos.
Esto permite que puedan ser identificados mediante un “escaneo” similar al que suelen realizar los software antivirus, y eliminados en caso de que la concordancia sea positiva.
Medidas de Protección
Técnicas Anti-Virus
• Detección• Identificación• Desinfección
Técnicas Anti-Virus
• Detección• Métodos Estáticos
• Scanners• Por Demanda• Por Acceso
• Heurística Estática• Comprobadores de Integridad
• Métodos Dinámicos• Monitores/Bloqueadores de Conducta• Por Simulación
Técnicas Anti-Virus
• Identificación• Por Heurística• Por Firma• Por Comparación
de copias idénticas
Técnicas Anti-Virus
• Desinfección• Eliminación de trigger y payload• Cuarentena• Eliminación de archivo• Copia de archivo/sector/bloque nuevo
Técnicas Anti-Virus
• Bases de Datos de Virus• Técnicas Anti-Stealth• Detección de Macro Virus
Técnicas para contrarrestar Anti-Virus
• Ofuscación de Punto de Entrada• Anti-Simulación• Decoys• Anti-Debugging• Anti-Disassembly• Covert Channels y Tunneling• Ataques a Comprobadores de Integridad
Debilidades que se explotan
• Debilidades Técnicas• Fallas en la semántica• Buffer Overflow• Integer Overflows• Vulnerabilidades de strings
• Debilidades Humanas• Hoaxes• Phishing, Pharming, E-mails & Mensajería falsa.• Spam• Spyware Nocivo
Worms
• Historia• Xerox PARC – 1982• Internet Worm - 1988
• Propagación• Implantación Inicial• Búsqueda de Victimas
y Objetivos• Escaneos
Defensa de Worms (Deworming)
• Defensa• Concientizacion del usuario• Patcheo y actualización constante• Firewalls e IDS/IPS• Captura y Cautiverio (HoneyPots y
HoneyNets)• Firewalls Inversos
Conclusión
• Una amenaza que crece en vez de retrotraerse. La aparición de Wi-fi, Pen-Drives, Facebook, etc. Hace que nuevas amenazas se originen día a día.
• La situación no cambiará mientras los usuarios de PCs les interese mas los programas, archivos, mp3/4/5, videos o ringtones; que los riesgos que corren. El 1er paso es la concientizacion del usuario.
• La eliminación de privilegios y la actualización constante de firmas, hace que el antivirus menos prestigioso sea 900% mas efectivo que el promedio de los casos.
• En ambientes corporativos, siempre se debe comenzar por una política clara para continuar con los procedimientos y su respectivo control.
