evolución del malware

Malware Malware familiesfamilies… … “Lo mejor de cada casa”“Lo mejor de cada casa”

Sergio de los SantosConsultor de seguridad de [email protected]

Hispasec Sistemas S.L.Avda Juan López Peñalver, 17Edificio Centro de Empresas CEPTA, planta 3.Parque Tecnológico de Andalucía29590 Campanillas (Málaga)España

Telf: (+34) 902 161 025

Telf: (+34) 952 020 494

Fax: (+34) 952 02 86 94

¿Qué sabemos del malware?

El malware, antiguamente…

El malware, hoy…

El malware, motivaciones…

Qué hay que mejorar: Distribución


Qué hay que mejorar: Distribución en el tiempo


Qué hay que mejorar: Gestión de recursos


Qué hay que mejorar: Métodos de distribución


Qué hay que mejorar: Pasar inadvertidos


Qué hay que mejorar: Modularidad


Sinowal: 2007-2009…

El malware, lo mejor de cada casa…

Se basan sobre todo en el pharming y sus múltiples variantes

Pharming básicoPoco detectado por los antivirus (a veces en BAT)Dependen de una infraestructura frágilSencillos de programar

Pharming básico-avanzado

Centroamérica-Sudamérica (excepto brasil): Simples pero eficaces


Pharming básico-avanzadoSe basan en la descarga del archivo hostsLa infraestructura se vuelve más robusta.El punto débil es sitio web de descarga, pero el programa puede contener varios.

Pharming avanzadoSe basan en los dominios dinámicosLa infraestructura se vuelve mucho más robustaEl punto débil es el dominio de tercer nivel

Pharming súper-avanzadoTodo queda en casa…

Se basan en programación Delphi y en la superposición

Superposición parcialSe posicionan en el navegador justo en el punto en el que les interesaSuelen monitorizar los títulos de las barras del navegador. A veces las URLPasan desapercibidos para los antivirusLos datos robados suelen enviarse por email o por web

Brasil: Son muy pesados


Los datos robados suelen enviarse por email o por web

Superposición totalSimulan por completo el navegadorA veces, está muy conseguido, no depende de que el banco modifique su página

Ni superposición ni nadaUn programa te pide las claves.

Se basan en programación avanzada en C y en la persistencia de la

infraestructura. Los mejores.

Inventaron el beagle y el sinowal

Comenzaron a eludir teclados virtuales con fotografías y vídeo

Rusos: Técnicamente innovadores


Comenzaron a eludir teclados virtuales con fotografías y vídeo

Visionarios con respecto al negocio alrededor del malware

Trabajan con el soporte velado de ISPs rusos, por lo que la infraestructura está asegurada (RBN)

Reyes del software como servicio y de las botnets

Reyes del RoguewareAntivirusShow me the money!

Rusos: Técnicamente innovadores (pero no tan ingeniosos como los españoles)


Troyano “tradicional”Un puerto abierto esperando instrucciones en la máquina víctima. No permitía al atacante gestionar de forma cómoda a muchos infectados.

IRCLos infectados caen en una sala y se les mandan comandos. Gestión cómoda.

HTTP

BOTNETS: Evolución


HTTPEl mundo se mueve en torno a la web. Paneles de control cómodos y centralizados.Kits del tipo “Do it yourself”

Web 2.0P2PTwitter

Sólo funcionan si se entiende qué función desempeñan en un sistema.

• Su verdadero nombre debería ser: “detector de cierto tipo de malware”, pero queda “feo” a la hora de vender.

Antivirus


Los antivirus son UNA HERRAMIENTA MÁS

La protección contra el malware se consigue:

No administrador

Actualizar el sistema

Antivirus

Actualizar los programas

Mantenerse informado

Otras opciones de seguridad

Seguridad razonable

Sólo funcionan si se entiende qué función desempeñan en un sistema.

• Su verdadero nombre debería ser: “detector de cierto tipo de malware”, pero queda “feo” a la hora de vender.

Antivirus


Hispasec

evolución del malware

Technology