malware, malware y más malware ¿cómo me puedo proteger? “dijo el cliente web”

Malware, Malware y más Malware¿Cómo me puedo proteger? “Dijo el cliente web”.

Marc VilanovaConsultor de Seguridad TIC Independiente

Malware, Malware y más Malware¿Cómo me puedo proteger? “Dijo el cliente

web”.

21/04/23 2Marc Vilanova. Consultor de Seguridad TIC Independiente

• ¿Quién soy?– Consultor de seguridad TIC Independiente– 4 años de experiencia profesional– Miembro del FIRST (Forum of Incident Response and

Security Teams)– Miembro del APWG (Anti-Phishing Working Group)


web”.


• Evolución de los clientes Web• Panorama actual• Tecnologías y Funcionalidades• Riesgos. ¿Cuándo empeoran las cosas?• Consecuencias• Ataques comunes• Ataques reportados recientemente• ¿Quienes están detrás?


web”.


• ¿Porqué?• Configuración segura

– Internet Explorer– Mozilla Firefox– Apple Safari– Otros

• Recomendaciones Generales• Enlaces de Interés• ¿Preguntas?


web”.


Evolución de los clientes Web• Web Browser TimeLine• Des del 1991 a día de hoy han nacido muchos navegadores

– Algunos siguen en desarrollo: IE, Mozilla Firefox, Apple Safari, Opera, etc.– Otros se quedaron en el intento: Cello, WebRunner/HotJava, etc.

• Las tecnologías Client-Side también han ido evolucionando– HTML, DHTML, CSS, Cookies, ActiveX, JavaScript, VBScript, AJAX, Java, etc.– Mejora de la experiencia del usuario– Interfaces más atractivas

http://en.wikipedia.org/wiki/Browser_timeline


web”.


Panorama actual• Uso muy frecuente del cliente Web• Nadie se acuerda de él cuando se habla de seguridad. ¿Porqué?• Las configuraciones por defecto que proporciona el fabricante no son seguras

– Mejoran de la experiencia del usuario, pero….– Aumenta el riesgo y disminuye el tiempo de ser comprometido

• Es una pasarela perfecta para explotar vulnerabilidades del software– Navegador – Plug-ins (Realplayer, Quicktime, Adobe Flash, ...)– Sistema Operativo

• Los atacantes ya se han dado cuenta hace tiempo. ¿Porqué seguimos sin hacer nada?


web”.


Tecnologías y Funcionalidades: ActiveX• Microsoft Internet Explorer• Permite que las aplicaciones, en parte o su totalidad, sean utilizadas des del

navegador– Aumenta la superficie de ataque

• Componentes que residen en el Sistema Operativo o se pueden descargar on-line– Funcionalidad extra– Pueden reducir la seguridad del sistema si no existe una buena

implementación• Se pueden explorar aunque no hayan sido diseñados para ser usados en el

navegador– Ver http://www.kb.cert.org/vuls/id/680526

• CERT/CC ActiveX WorkShop Report• ActiveX Vulnerabilities DB

http://www.kb.cert.org/vuls/id/680526

http://www.cert.org/reports/activeX_report.pdf

http://www.kb.cert.org/vuls/byid?searchview&query=activex


web”.


Tecnologías y Funcionalidades: Java• Lenguaje que permite el desarrollo de contenido activo para páginas web

– Independiente del sistema operativo– Usa la JVM para la ejecución del código Java o Applet en un entorno

"controlado" (sandbox)• Algunas implementaciones contienen vulnerabilidades no corregidas a día de hoy• Aunque el código esté signado, es posible saltarse las restricciones• Java Vulnerabilities DB

http://www.kb.cert.org/vuls/byid?searchview&query=java


web”.


Tecnologías y Funcionalidades: JavaScript y VBScript• JavaScript

– Lenguaje de scripting que permite hacer que las páginas web sean más interactivas y mas cosas…

– Muy extendido y usado• VBScript

– Lenguaje de scripting para Microsoft Internet Explorer– Similar a JavaScript– Incompatibilidad = Menos usado


web”.


Tecnologías y Funcionalidades: Cookies• Ficheros almacenados en la parte cliente que contienen información sensible

– Páginas Web visitadas– Credenciales de acceso– Etc.

• El programador Web decide QUE información se almacenará en ellas• Tipos:

– Sesión. Se destruyen cuando se cierra el navegador– Persistentes. Se destruyen cuando caducan (Más riesgo)

• Los atacantes intentaran hacerse con ellas con el fin de robar información


web”.


Tecnologías y Funcionalidades: Plug-ins• Aplicaciones diseñadas para ampliar la funcionalidad del navegador• Parecidos a ActiveX, pero no se pueden ejecutar fuera del navegador• Realplayer, Quicktime, Adobe Flash, etc.• Pueden contener Buffer Overflows o provocar violaciones de Cross-domain


web”.


Riesgos. ¿Cuándo empeoran las cosas?• Cuando el usuario no evalúa el riesgo asociado al “click” del ratón

– Riesgo = Ir a sitios inesperados• Cuando aparecen nuevas vulnerabilidades en actualizaciones de software• Cuando los ordenadores vienen con software pre-instalado

– Revisar siempre– Eliminar si no es necesario

• Cuando el software de terceros no dispone de actualizaciones automáticas• Páginas web que requieren de la instalación de software adicional

– Plug-ins, Codecs, etc.• Cuando el usuario no tiene los conocimientos para una correcta configuración

– Educar al usuario. Proporcionarles el conocimiento• Cuando los usuarios no están dispuestos a activar/desactivar funcionalidades a cambio de

seguridad


web”.


Consecuencias• Toma de control• Robo de información

– Credenciales de acceso– Documentos– Etc.

• Destrucción de ficheros• Extorsión CryptoViral• Pasar a formar parte de una Botnet o Fast-Flux Service Network

http://en.wikipedia.org/wiki/Cryptovirology

http://en.wikipedia.org/wiki/Botnet

http://en.wikipedia.org/wiki/Fast_flux


web”.


Botnets“A botnet is a collection of computers, connected to the internet, that interact to

accomplish some distributed task.” (http://www.shadowserver.org/)• Típicamente usadas para realizar actos ilegales

– Spam, DoS, DDoS (Estonia), Robo de Identidad (Phishing, Keyloggers), [Ad|Spy]ware, Scaneos de Red, Ataques massivos RFI (RemoteFileInclusion) (recientemente), etc...

• Controladas por una o más personas (BotMaster o BotHerder)– Estructura de Command & Control (C&C)– Mecanismos de control basados en HTTP (NetHell/Limbo), IRC, P2P (StormWorm. + de

un año).• + de 10.000 bots en una botnet es no es nada raro

http://www.shadowserver.org/


web”.


Ataques Comunes• XSS (Cross-side Scripting)

– Se aprovecha de la confianza que el cliente Web tiene con la página Web– Robo de información, bypass de autenticación, etc.– XSS Vulerabilities DB

• CSRF (Cross-side Request Forgery)– Se aprovecha de la confianza que la página Web tiene con el cliente Web– Modificar la configuración de un cortafuegos que se administra via Web

• Cross-Zone y Cross-Domain– Acceso a datos de otro domino

• Acceso a ficheros locales– Cross-zone and cross-domain vulnerabilities DB

http://www.cert.org/archive/pdf/cross_site_scripting.pdf

http://www.kb.cert.org/vuls/byid?searchview&query=cross-site+scripting

http://en.wikipedia.org/wiki/CSRF

http://www.kb.cert.org/vuls/byid?searchview&query=cross-domain


web”.


Ataques reportados recientemente• Massive Malicious JS Injection Campain

– "xprmn4u.info/f.js" contained in about 83,000 sites– “free.hostpinoy.info/f.js” contained in about 177,000 sites.– Otros casos relacionados

• uc8010.com• 2117966.net

– ¿Cuál es el objetivo final? Comprometer nuestro sistema• Massive SQL Injection Attack

– Modificación de las variables VARCHAR de las BBDD para inyectar tags HTML Script• hxxp://www.2117966.net/fuckjp0.js

– http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20080320)

http://www.shadowserver.org/wiki/pmwiki.php?n=Calendar.20080320


web”.


Código JavaScript Malicioso Ofuscado

• Evasión de los sistemas– AntiVirus– IDSs– IPSs

• Gracias a la naturaleza dinámica de JavaScript


web”.


• CyberCrime Executives (Data Brokers / Carders)

• Spammers (Pump-and-Dump Stocks, Products, Phishing, Malware)

• Web Site Hackers and Malware Writers• Bot Herders• Criminal ISPs (RBN. Russian Business

Network)– Bullet-proof services– St. Petesburg -> Panama -> Asia

• ¡¡¡ YOU !!!– Spam through botnets – Malware through infected websites

¿Quiénes están detrás?


web”.


• ¡¡¡DINERO!!!• Software requerido

– MPack (Web Attack Toolkit): $300-500– Dream Downloader: $200-300– Limbo/NetHell (Banking Trojan,

keylogger, etc.): $1000• Inversión Total de $1500-$1800• ¿Beneficios? Millones de dólares• Capacidad para atacar, al mismo tiempo,

más de 500 bancos a nivel mundial

¿Porqué?


web”.


• Totalmente integrado en MS Windows• ¿Donde? Herramientas -> Opciones de

Internet -> Seguridad• Zonas de Seguridad

– Internet (High)• No ActiveX• No Active scripting• No Java

– Local Intranet– Trusted Sites (Medium-High)– Restricted Sites– Nivel personalizado por zona

Configuración Segura: Internet Explorer 7

http://www.microsoft.com/windows/ie/ie6/using/howto/security/setup.mspx


web”.


• Privacidad– Cookies

• Advanced -> Override automatic cookie handling

• Prompt for first and third party cookies

• Allow session (not persistent) cookies enabled, if there is a lot of prompts

– Sitios• Gestionar las cookies por URL



web”.


• Disable third-party browser extensions

– Tool Bars– BHOs (Browser Helper Objects)

• Usados por los Troyanos para:– Monitorizar el tráfico– Man-in-the-Middle Attacks



web”.


• IDN spoofing of web page addresses– Enable the "Always show encoded

addresses" option (http://www.kb.cert.org/vuls/id/273262)

• Disable the Play sounds in webpages– No provoca interferéncias con otros

softwares, cómo Adobe Flash or Apple QuickTime



web”.


• Programas– Especificar cuales van a ser los

programas asociados a los diferentes eventos

– Deshabilitar que se nos pregunte si IE es el navegador por defecto



web”.


• No dispone de soporte para ActiveX• No dispone del modelo de Zonas de

Seguridad• CAPS

– Políticas de seguridad– No gràfico

Configuración Segura: Mozilla Firefox

http://www.mozilla.org/projects/security/components/ConfigPolicy.html


web”.


• Tools -> Options– General

• Always ask me where to save files– Privacidad (History & Cookies)

• Entornos compartidos• Disable the option “Remember

what I enter in forms and the search bar”

• Control granular (Deny, Allow for Session, or Allow the cookie)

• Use my choice for all cookies from this site

• Keep until I close Firefox option. (Si hay muchas peticiones)



web”.


• Security– Passwords

• Master Password to encrypt sensitive data

• Warn me when sites try to install add-ons (Show a top bar when a site tries to take an action)



web”.


• Content– Enable/Disable Java. Revisar primero

la web– Advanced

• JavaScript. Todo desabilitado• File Types (Manage)

– Asociacion de tipo de fichero con programas

– Para todos los ficheros asociados -> save to disk

– Previene la explotación automàtica

– Aumenta el número de acciones al usuario



web”.


• Firefox 1.5 i posteriores– Herramientas -> Limpiar información

privada• Extensiones interesantes

– NoScript• Zonas de Seguridad

– FireKeeper (Web IDS)• Known infected sites (

http://malware.com.br/)• Scanning of HTTP(S) URL

requests, Headers and Body.• Fast Pattern matching algorithm

(SNORT)


http://malware.com.br/


web”.


• Safari -> Preferencias– General

• Save downloaded files to…• Disable Open “safe” files after

downloading– AutoFill tab

• Filesystem encryption software such as OS X FileVault along with the use secure virtual memory

Configuración Segura: Apple Safari


web”.


• Security– Web Content (Scripting and active content)– Disable Plug-ins, Java and JavaScript

• Activar el bloqueo de ventanas pop-up• Cookies

– Sólo de sitios que estoy navegando, no de terceras partes (Ads)

– Activar "Ask before sending a non-secure form to a secure website“

• Activar el aviso antes de mandar datos no cifrados de un formulario cuando se visita un site securizado con HTTPS

Configuración Segura: Apple Safari


web”.


• Opera• Mozilla SeaMonkey• Konqueror• Netscape

Configuración Segura: Otros

http://www.opera.com/support/tutorials/security

http://www.mozilla.org/projects/seamonkey

http://www.konqueror.org/

http://browser.netscape.comratar/


web”.


Recomendaciones Generales• Activar SIEMPRE las actualizaciones automáticas cuando el software lo permite• Mantenerse informado sobre los cambios del software

– Página Web Oficial del fabricante– Listas de correo

• Instalar y usar software AntiVirus (No protege contra todo el código malicioso)• Seguir el principio de: “No lo habilites sino lo necesitas”• Usar cuentas con privilegios limitados

– Administrador para la gestión y el mantenimiento del SO y software– Usuario sin privilegios para el uso diario– Usar DropMyRights

• Educar al usuario para evitar comportamientos inseguros• Seguridad a nivel DNS – Proyecto OpenDNS

http://nonadmin.editme.com/DropMyRights


web”.


Enlaces de interés (I)• CERT/CC References (http://www.cert.org/) • US-CERT Browser Security (http://www.us-cert.gov/reading_room/securing_browser)• NSA (National Security Agency) Security Guides• OWASP Top Ten• SANS Top 20• Microsoft Windows XP References

– Improve the safety of your browsing and e-mail activities (http://www.microsoft.com/athome/security/online/browsing_safety.mspx)

– Microsoft's Protect Your PC (http://www.microsoft.com/protect/)– Microsoft Windows XP Baseline Security Checklist

(http://www.microsoft.com/technet/archive/security/chklist/xpcl.mspx)– Setting Up Security Zones

(http://www.microsoft.com/windows/ie/using/howto/security/setup.mspx)

http://www.cert.org/

http://www.us-cert.gov/reading_room/securing_browser

http://www.owasp.org/index.php/OWASP_Top_Ten_Project

http://www.sans.org/top20/

http://www.microsoft.com/athome/security/online/browsing_safety.mspx

http://www.microsoft.com/protect/


web”.


Enlaces de interés (II)• Apple Macintosh OSX References

– Apple Product Security (http://www.apple.com/support/security/)– OSX Security Features Overview (http://www.apple.com/macosx/features/security/)– Apple Security Updates (http://docs.info.apple.com/article.html?artnum=61798)– MacOSX Security Configuration

(http://images.apple.com/server/pdfs/Tiger_Security_Config.pdf)• Linux References

– Ubuntu Security notices (http://www.ubuntu.com/usn/)– Mandriva Security Advisories (http://www.mandriva.com/security/advisories)– SUSE Security (US/Canada) (http://www.novell.com/linux/security/securitysupport.html)– RedHat Security and Errata (http://www.redhat.com/apps/support/errata/)– Debian Security Information (http://www.debian.org/security/)– Gentoo Security Handbook (http://www.gentoo.org/doc/en/security/)– Slackware Security Advisories (http://www.slackware.com/security/)


web”.


Enlaces de interés (III)• System Administrator References

– Description of Internet Explorer security zones registry entries (http://support.microsoft.com/?kbid=182569)

– How To Set Advanced Settings In Internet Explorer by Using Group Policy Objects (http://support.microsoft.com/?kbid=274846)

– Internet Explorer Administration Kit (http://www.microsoft.com/technet/prodtechnol/ie/ieak)

¿Preguntas?

Marc Vilanovamarc.vilanova [at] gmail.com

Consultor de Seguridad TIC Independiente

¡¡¡ MUCHAS GRACIAS !!!

Marc Vilanovamarc.vilanova [at] gmail.com

Consultor de Seguridad TIC Independiente

malware, malware y más malware ¿cómo me puedo proteger? “dijo el cliente web”

Documents