evolución del malware

AYER Y HOY DE AMENAZAS Y SOLUCIONES. LOS VIRUS MUTAN… EN COSAS MUCHO MÁS PELIGROSAS.

Etapas de la evolución de las amenazas

Lógica subyacente en esta evolución:


Lógica subyacente en esta evolución:

“Hegel introdujo un sistema para entender la historia de la filosofía y el mundo mismo, llamado a menudo “dialéctica”: una progresión en la que cada movimiento sucesivo surge como solución de las contradicciones inherentes al movimiento anterior “

Tesis-Antitesis-Síntesis.

http://es.wikipedia.org/wiki/Historia

http://es.wikipedia.org/wiki/Filosof%C3%ADa

http://es.wikipedia.org/wiki/Dial%C3%A9ctica


1 ª Etapa

• Un número “reducido” de amenazas.

• Capacidad de propagación “Lenta”.

• Motivaciones variopintas.

• Firmas de virus.


2 ª Etapa

• Número de amenazas en claro crecimiento.

• Capacidad de propagación se convierte en letal. Las Brechas de Oportunidad son críticas.

• Tecnologías Heurísticas


3 ª Etapa

• Siguen Creciendo el número de amenazas. Permutaciones de código.


3 ª Etapa


• Las limitaciones de las tecnologías Heurísticas en detección. Falsos Positivos.


3 ª Etapa



• El ruido.


3 ª Etapa



• El ruido.

• Las máquinas virtuales.


4 ª Etapa

• El limite de una tecnología. El rendimiento.

• El análisis de solo lo que puede ser peligroso.

• Cibercrimen.

• http://qscan.bitdefender.com

http://qscan.bitdefender.com/

Estadísticas de Malware

• El presente informe está basado en los datos recibidos mediante el módulo RTVR (Real Time Virus Reporting) de BitDefender y estadísticas Oficiales estatales.

• Se trata de un módulo integrado en nuestras soluciones para disminuir al máximo el tiempo de respuesta frente a nuevas amenazas

• BitDefender cuenta con unos 20 millones de sensores repartidos en 180 paises.

Malware : Definición

• Malware - hace referencia a virus, gusanos y troyanos que realizan tareas malintencionadas en un sistema

• No se considera malware:

1. Hoax

Malware : software malintencionado



1. Hoax

2. Jokes. Un virus Joke es un virus que trata de provocar un efecto molesto o humorístico como una broma




1. Hoax


3. Spam




1. Hoax


3. Spam

4. Spyware. Su función es recopilar información del usuario y venderlo a empresa publicitarias.




1. Hoax


3. Spam


5. Adware




1. Hoax


3. Spam


5. Adware

6. Cookies

Troyanos

a) Troyanos de acceso remoto: permiten al atacante o ladrón de datos hacerse con

el control de un sistema de forma remota

b) Rootkits: es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro y puertos.

Incidencias de seguridad en España

Más del 85% de los equipos analizados tenían amenazas activas

Medidas de seguridad

Solo el 70% utiliza un antivirus.

Ranking de países origen de ataque

POSICION PAIS % EN EL TOTAL NUMERO DE ATAQUES

1 CHINA 75,00%

2 EEUU 7,00%

3 HOLANDA 3,20%

4 ALEMANIA 1,90%

5 RUSIA 1,80%

6 LETONIA 1,50%

7 INGLATERA 1,10%

8 UCRAINA 1,00%

9 CANADA 0,60%

10 ISRAEL 0,50%

11 OTROS 6,20%

Top países atacados

POSICION PAIS % ATAQUES

1 CHINA 54,00%

2 EGIPTO 15,00%

3 TURQUIA 3,00%

4 INDIA 2,00%

5 EEUU 1,70%

6 VIETNAM 1,50%

7 RUSIA 1,40%

8 MEXICO 1,30%

9 ARABIA SAUDI 1,20%

10 ALEMANIA 1,00%

11 OTROS 17,90%

Evolución de las amenazas en la Red

COMO EVOLUCIONARON LAS AMENAZAS DURANTE EL 2008

A lo largo del pasado 2008, los usuarios de Internet tuvieron que enfrentarse a una cifra aproximada de 20.000 nuevos y mutados virus diarios, casi 50.000 intentos de phishing por mes y más de 1.000.000 de equipos infectados y utilizados para expandir bots, rootkits y troyanos, entre otro tipo de malware.

Más del 80% de malware distribuido por todos los países del mundo pertenece a la familia de los troyanos

Las 3/4 partes de estos troyanos continúan teniendo complejos mecanismos de actualización, son muy “sigilosos” a la hora de la carga y descarga de datos y, además, realizan funciones de spyware y rootkit

El nivel de amenazas basadas en Web se ha incrementado en un 460%

Se ha triplicado en volumen de vulnerabilidades JavaScript vía SQL

Top 10 Malware BitDefender


COMO EVOLUCIONARON LAS AMENAZAS DURANTE EL 2008

Los acontecimientos mundiales más utilizados como excusa para propagar malware han sido: la crisis financiera mundial, el conflicto entre Iran y Estados Unidos, Los Juegos Olímpicos y las elecciones norteamericanas.

El texto sin formato continúa siendo el preferido a la hora de enviar spam, llegando a ser el 80% de los casos a finales de 2008, mientras que el spam con imágenes se ha encontrado tan sólo en un 1,5%.

El spam con adjuntos infectados o links que redirigen a páginas donde se insta al usuario a descargarse programas maliciosos, se ha incrementado en un 400%

El 5% de spam con phishing incluye adjuntos HTML que sustrajeron datos críticos vía scripts PHP (en el primer semestre de 2008, representaba únicamente el 1%)

Los spammers centraron su atención en los mecanismos de confirmación de recepción de mensajes como método para incrementar la eficacia del spam


COMO ESTÁN EVOLUCIONANDO LAS AMENAZAS DURANTE EL 2009

Actualmente, casi el 45% del malware en activo se distribuye exclusivamente vía correo electrónicoLas vulnerabilidades cada vez más se utilizan en la distribución de malwareTop aplicaciones vulnerables:

Adobe Flash PlayerReal PlayerAdobe Acrobat ReaderMicrosoft Office



Actualmente, casi el 45% del malware en activo se distribuye exclusivamente vía correo electrónicoLas vulnerabilidades cada vez más se utilizan en la distribución de malwareTop aplicaciones vulnerables:

Adobe Flash PlayerReal PlayerAdobe Acrobat ReaderMicrosoft Office

La mayoría de las familias de amenazas están sufriendo mutaciones y actualizaciones, dirigidas a aumentar su sigilo y automatizar sus mecanismos de propagación

Está creciendo la utilización de aplicaciones cuyo objetivo es el de aprovecharse de Vulnerabilidades para el robo de contraseñas

Se incrementan el phishing.



Existe un gran crecimiento y evolución de las amenazas que están teniendo en cuenta la evolución de Web 2.0. La mayoría de las aplicaciones Web 2.0 seguirá orientándose a Redes Sociales.

Recientemente se diseñó un sitio falso para que fuese casi idéntico a Facebook y que contenía un falso vídeo de YouTube. Cuando el usuario quería acceder al vídeo se le requería descargar una aplicación llamada “Adobemedia11.exe” que no era más que un troyano cuyo objetivo era el de sustraer contraseñas. Esta amenaza monitorizaba los detalles de autentificación FTP, ICQ, POP3 (Correo) y robaba información de aplicaciones como Outlook Express, MSN Explorer y la función de autocompletado de Internet Explorer.


EJEMPLO NUEVAS AMENAZAS: GUSANO DOWNADUP / CONFICKER

HISTORIAL DOWNADUP

El gusano Downadup (también conocido con Conficker o Kido) fue detectado por primera vez en los laboratorios de BitDefender en noviembre de 2008 y en esos momentos utilizaba una vulnerabilidad de Microsoft para propagarse por la red e instalar un falso software de seguridad. Más tarde, a finales de diciembre del mismo año, se detectó otra versión con unos métodos de propagación mejorados y nuevas rutinas de actuación. Actualmente este gusano se propaga a través de medios de almacenamiento masivo USB y parchea funciones de TCP para bloquear el acceso a las páginas web de fabricantes antivirus y a las actualizaciones de Windows.


EJEMPLO NUEVAS AMENAZAS: DOWNADUP / CONFICKER

Los sistemas infectados con este gusano son propensos a infectarse con más malware e incluso este mismo gusano puede llegar a mutar en el sistema (y, de hecho, lo hace).

Al mismo tiempo se puede producir un incremento en el tráfico de red por los repetidos intentos de infección hacia los demás equipos de la red.

La pérdida de información no es preocupante en estos casos, pero sí lo es la posibilidad de robo, pues el gusano puede descargar módulos adicionales desde Internet y enviar datos confidenciales hacia sus creadores.

El gusano Downadup tiene la capacidad de convertir a los equipos infectados en zombies.

Su propagación es rápida y agresiva, con un alto impacto en usuarios finales y empresas



Vectores de ataque

Downadup es un gusano que utiliza más de un vector de ataque: Las unidades mapeadas contienen un archivo de configuración autorun.inf que ordena a los equipos visitantes ejecutar el gusano oculto Mediante discos extraíbles utilizando el mismo fichero autorun.infIntentando acceder a las cuentas de administrador en equipos de la misma red a la fuerza. Es decir, probando diferentes contraseñas con un bajo nivel de seguridad para la misma cuenta de administrador

Además procura bloquear intentos de desinfección de la siguiente manera: Desactiva las actualizaciones de WindowsBloquea las conexiones a los servidores antivirus (bloqueando así el acceso a las actualizaciones de firma y a las herramientas de desinfección disponibles en Internet)



Vectores de ataque

La API utilizada para evitar emulación pertenece a funciones matemáticas que están ubicadas dentro de una librería matemática de Windows. Por ejemplo, funciones de computación trigonométrica. Estas funciones son poco utilizadas por los programas habituales. Para bloquear los dominios de fabricantes de software de seguridad, el gusano utiliza unas palabras clave. En caso de que alguna de las palabras se detecte la conexión a la página fallará mostrando el mensaje “Tiempo de espera agotado”. La lista de palabras clave utilizadas es la siguiente:

* Virus* spyware* malware* rootkit* defender* Microsoft* symantec* norton* mcafee* trendmicro

* Panda* Etrust* Networkassociates* Computerassociates* f-secure* kaspersky* jotti* f-prot* nod32* eset

* Drweb* Centralcommand* Ahnlab* Esafe* Avast* Avira* quickheal* comodo* clamav* ewido

* gdata* hacksoft* hauri* ikarus* k7computing* norman* pctools* prevx* rising* securecomputing

* emsisoft* arcabit* cpsecure* spamhaus* castlecops* threatexpert* wilderssecurity* windowsupdate* nai.* ca.

•avg.* vet.* bit9.* sans.* cert.* avp. *Sunbelt* Fortinet* Grisoft* sophos



Vectores de ataque

El gusano genera una lista de 250 dominios diarios donde conectarse y buscar actualizaciones de sus rutinas. El algoritmo que utiliza para generar estos nombres de dominio se basa en la fecha y hora actual, conectándose primero a una página para recopilar estos datos. Ejemplos de nombres de dominio generados:

Se espera que algunos de estos dominios contengan otros programas maliciosos. Este gusano es esencialmente un downloader extremadamente viral, que, antes o después, comenzará a descargar lo que se convertirá en un bot. Por ejemplo, creando un botnet que comienza a obedecer comandos desde un controlador remoto.

* opphlfoak.info* mphtfrxs.net* hcweu.org* tpiesl.info* bmqyp.com* aqnjou.info* kxxprzab.net



COMO SOLVENTAR LA INFECCIÓN

Buscar el proceso y, si está en memoria, terminarlo

Obtener permisos de sistema para poder desinfectarlo

Eliminar el virus de su ubicación habitual

Realizar un escaneo en otras carpetas donde podría esconderse, y eliminarlo en caso de que se encuentre

Eliminar las claves de registro que el gusano añadió para ejecutarse con el inicio del sistema

Restaurar las actualizaciones de Windows

http://bdtools.net


Situación de las empresas frente al malware

Los fabricantes de seguridad nos encontramos con que pequeñas y medianas empresas están incrementando su riesgo debido a que muchas de ellas no tienen el nivel de seguridad necesario para hacer frente a los vectores que se están utilizando en la actualidad para infectar las redes.

Amenazas como el gusano Conficker pueden infectar a millones de equipos, muchos de ellos en las redes empresariales mediante múltiples vectores de infección.

Este tipo de amenazas no suelen tenerse en cuenta a la hora de configurar la red de pequeñas empresas.

Una empresa puede infectarse por el gusano Conficker sin necesidad de estar conectada a Internet. Un empleado que se haya conectado e infectado mediante un equipo externo a la empresa, puede traer el gusano consigo, sin saberlo, entre los documentos contenidos en un dispositivo USB que infectará la red.

Los cibercriminales pueden obtener datos críticos de forma rápida y sencilla una vez que se han infiltrado en la red. Troyanos y adware pueden recolectar números bancarios, detalles de las tarjetas de crédito u otro tipo de cuentas (mensajería instantánea, redes sociales o juegos online) cuando el usuario utiliza el teclado, o pueden reunir información del equipo como la versión del sistema operativo que utiliza, características del hadware o licencias de software.


Situación de las empresas frente al malware

Toda esta información es susceptible de ser vendida y utilizada con propósitos de monitorización a la hora de desarrollar nuevos métodos de ataques de phishing que creen estafas orientadas hacia un público determinado, utilizando internet como vía de propagación.

Los phishers crean web falsas, copias idénticas visuales de entidades legítimas, construidas con el único propósito de robar las credenciales de acceso del usuario o engañarle para que descargue aplicaciones en su equipo. Las víctimas son invitadas a dichas webs a través de mensajes de spam enviados vía equipo infectado.


Servicios en la nube

La nube aún tiene un largo camino por recorrer, sobre todo, en lo que se refiere a inversión necesaria para su implementación, así como en cuestiones tan delicadas como la confidencialidad y seguridad de los datos gestionados.

Los servicios en la nube (SaaS) son especialmente útiles para aquellas pymes que deseen confiar a terceros la infraestructura de su centro de datos, o en el caso de corporaciones que quieran ampliar su capacidad de procesamiento a un menor coste.

Un proveedor de servicio, una plataforma de hardware y una versión de software siendo utilizada por diferentes compañías puede suponer diferentes brechas y fallos en el servicio que ofrezca el proveedor.

Cuanta más popularidad e implementación tenga el concepto de la nube, las plataformas de servicios se convertirán cada vez más en el objetivo de los cibercriminales.

Cuanto más se rompa el perímetro de la red, más probabilidades hay de ser víctima de un ataque


Seguridad en la nube

Los factores más importantes de una solución de seguridad en la nube es su escalabilidad, el menor consumo de recursos que deja y la facilidad en su administración.

No necesita la descarga de ningún motor ni depende de actualizaciones Los motores de análisis están alojados en los servidores No consume gran cantidad de recursos ni ancho de banda

http://qscan.bitdefender.com.


CONCLUSIONES

EL MUNDO SE MUEVE POR AMOR

CONCLUSIONES

EL MUNDO SE MUEVE POR AMOR

POR AMOR AL DINERO

Más Información:

www.bitdefender.es

http://qscan.bitdefender.com

[email protected]

http://www.bitdefender.es/


mailto:[email protected]

evolución del malware

Technology