Download Introducción al malware Contenido
Document related concepts
no text concepts found
Transcript
Seguridad Informática Roberto Gómez Cárdenas Introducción al malware Dr. Roberto Gómez Cárdenas rogomez@itesm.mx http://homepage.cem.itesm.mx/rogomez Lámina 1 Roberto Gómez Cárdenas Contenido • • • • • Definición Virus Gusanos Caballos de troya Backdoor Lámina 2 Introducción al Malware Roberto Gómez Cárdenas 1 Seguridad Informática Roberto Gómez Cárdenas ¿Malware? • Los códigos maliciosos o malware son capaces de ocasionar algún daño en una computadora o en la información, eliminando archivos o provocando que la computadora reiniciara sin consentimiento del usuario. Lámina 3 Roberto Gómez Cárdenas Características básicas del malware • • • • • Replicación Métodos de ocultamiento Activación Manifestación Explotación y escalamiento de privilegios Lámina 4 Introducción al Malware Roberto Gómez Cárdenas 2 Seguridad Informática Roberto Gómez Cárdenas Replicación • La capacidad para duplicarse a si mismo. • Si un programa cuenta con esta característica se le considera virus, sin importar que tenga alguna otra característica. • Al principio, estos programas se difundían mediante dispositivos de almacenamiento externo como disquetes, CDROMs, cintas magnéticas, etcétera y debían ser activados con la ayuda del usuario. • Sin embargo, los atacantes han aprovechado las ventajas de la tecnología para que sus códigos puedan expandirse y se autopropaguen a través de todo Internet, al aprovechar principalmente fallas en los sistemas operativos, malas configuraciones y la ingenuidad de los usuarios. Lámina 5 Roberto Gómez Cárdenas Ocultamiento • Es la capacidad que tiene el código malicioso para evadir las protecciones comunes de los sistemas operativos, detectores de intrusos y sistemas antivirus – – – – Cifrado (Polimorfismo Básico) Polimorfismo Avanzado o Metamorfismo Cambio de extensiones Companion/Hidra o Multi-infector Lámina 6 Introducción al Malware Roberto Gómez Cárdenas 3 Seguridad Informática Roberto Gómez Cárdenas Activación • Es la capacidad del código malicioso para activarse, comúnmente: – – – – – Contador Doble Click Encender la computadora Ejecutar un programa Etc. Lámina 7 Roberto Gómez Cárdenas Manifestación • Comúnmente es la capacidad que nos hará notar que tenemos código malicioso en nuestro ordenador. – – – – – – – Enviar un mensaje Formatear el disco rígido Borrar información Modificar información Robar Información Deteriorar el rendimiento de la infraestructura de red Etc. Lámina 8 Introducción al Malware Roberto Gómez Cárdenas 4 Seguridad Informática Roberto Gómez Cárdenas Daños que puede provoca • Trivial – Solo replicarse • Moderado – Destrucción de la Información • Mayor – Corrupción de Archivos o Información • Severo – Alteración o Modificación de la Información • Ilimitado – Robo de Información Lámina 9 Roberto Gómez Cárdenas Tipo de malware • • • • • • • • • • Virus Bombas lógicas Macrovirus Troyanos Backdoors Polimorfismo/metamorfismo Bootsector Gusanos Multipartitas Virus script Lámina 10 Introducción al Malware Roberto Gómez Cárdenas 5 Seguridad Informática Roberto Gómez Cárdenas Virus • Un virus se define como una porción de código de programación cuyo objetivo es implementarse a si mismo en un archivo ejecutable y multiplicarse sistemáticamente de un archivo a otro. • Además de esta función primaria de "invasión" o "reproducción", los virus están diseñados para realizar una acción concreta en los sistemas informáticos Lámina 11 Roberto Gómez Cárdenas Ejemplos de virus • El caballo de Troya • El pakistaní • • • • El cascada El Alabama El Jerusalén El Miguel Angel • El ping pong • El Viena Lámina 12 Introducción al Malware • El natas • • • • • • • El dos piernas El stoned noit El Dark Aveger El ping pong El I love you El trojan El killer Roberto Gómez Cárdenas 6 Seguridad Informática Roberto Gómez Cárdenas Variantes relacionadas con virus • En ocasiones de habla de estas variantes como si de virus se tratara, cuando en realidad son conceptualmente diferentes. • Algunos antivirus pueden detectarlos. • Estas variantes son: – Troyanos – Gusanos – Bomba lógica Lámina 13 Roberto Gómez Cárdenas Los gusanos Es un programa que produce copias de sí mismo de un sistema a otro a través de la red; en las máquinas que se instala, produce enormes sobre-cargas de procesamiento que reducen la disponiblidad de los sistemas afectados. Lámina 14 Introducción al Malware Roberto Gómez Cárdenas 7 Seguridad Informática Roberto Gómez Cárdenas El gusano navidad.exe (1) Lámina 15 Roberto Gómez Cárdenas El gusano navidad.exe (2) Lámina 16 Introducción al Malware Roberto Gómez Cárdenas 8 Seguridad Informática Roberto Gómez Cárdenas El gusano navidad.exe (3) Lámina 17 Roberto Gómez Cárdenas El Caballo de Troya • Objetivo principal: recuperación información confidencial de un organismo o un usuario. • Se basa en substituir un programa de servicio común por uno alterado por el intruso para recuperar información. Lámina 18 Introducción al Malware Roberto Gómez Cárdenas 9 Seguridad Informática Roberto Gómez Cárdenas Un ejemplo de caballo de Troya • El Caballo de Troya por login es uno de los más comunes. • En este ataque, el usuario encuentra su estación de trabajo con una pantalla solicitándole su login. • El usuario inadvertido teclea su login y su password como de costumbre; esta vez recibiendo un mensaje de error. login: mbui Password: Login incorrect Lámina 19 Roberto Gómez Cárdenas Continuación del ejemplo • En el segundo intento, el usuario logrará acceder al sistema. • El no sabe que su password fue almacenado en algún archivo donde, más tarde, el creador del Caballo de Troya lo recuperará. • El falso programa de login, después de almacenar el password robado, invoca el verdadero programa de login, dejando al usuario actuar con una nueva sesión de login. Lámina 20 Introducción al Malware Roberto Gómez Cárdenas 10 Seguridad Informática Roberto Gómez Cárdenas Trapdoors, backdoors o puertas traseras • Es frecuentemente creado por el diseñador del sistema; sin embargo, en ocasiones existe por accidente. • Algunas veces es creado durante las pruebas de implementación de un sistema y después es olvidado. • Otras veces, es usado por el proveedor para “atar” al cliente que compro dicho sistema. Lámina 21 Roberto Gómez Cárdenas Ejemplo puerta trasera • Programa buscaminas de Windows 2000 • Correr Minesweeper, teclear “xyzzy” y presionar Shift + Enter. • Buscar un pixel blanco en la parte superior izquierda de la pantalla – si no se ve configurar pantalla – conforme se mueve el raton por las celdas del buscaminas el pixel desaparece y aparece: desaparece cuando hay una mina en la celda y viceversa Lámina 22 Introducción al Malware Roberto Gómez Cárdenas 11 Seguridad Informática Roberto Gómez Cárdenas Precauciones a tomar en cuenta • Estar seguros de que en realidad se necesita el software • No pueden proporcionarmelo en el área de sistemas. • Preguntar si alguien más lo ha usado y si ha tenido problemas. • De preferencia que sea software recomendado por la misma marca del browser. Lámina 23 Roberto Gómez Cárdenas Virus, backdoors y caballos troya • Diferencias que hay que tomar en cuenta para protegernos mejor • Virus – el programa por sí solo se ejecuta – vive dentro de otro programa – escala en memoria • Backdoor – después de que alguien “entró” al sistema lo deja para seguir con el control sobre el sistema. • Caballo de troya – se le envía al usuario para que lo ejecute Lámina 24 Introducción al Malware Roberto Gómez Cárdenas 12 Seguridad Informática Roberto Gómez Cárdenas Bombas lógicas • Una bomba lógica es una modificación en un programa que lo obliga a ejecutarse de manera diferente bajo ciertas circunstancias • Bajo condiciones normales, el programa se comporta como previsto y, la bomba no puede ser detectada. • Un ejemplo de pseudocódigo es: IF Profesor = jvazquez THEN salario == Horas * Rango * 1.1 ELSE salario == Horas * Rango Lámina 25 Roberto Gómez Cárdenas Atacando a los usuarios • • • • Malware Spyware Adware Phishing Lámina 26 Introducción al Malware Roberto Gómez Cárdenas 13 Seguridad Informática Roberto Gómez Cárdenas Hoax (engaño, burla, petardo) • Tipicamente son alertas de peligro, o peticiones de ayuda, empezadas por gente maliciosa - y divulgadas por usuarios inocentes que piensan que estan ayudando a la comunidad al espacir la advertencia. • El incremento de virus y programas troyanos muchos usuarios han usado Internet como un medio para alertar a amigos y colegas de trabajo acerca de estos menesteres. Lámina 27 Roberto Gómez Cárdenas Algunos ejemplos de hoax • • • • • • • • • • • A Virtual Card For You A.I.D.S. Virus Hoax ANTHRAX Virus Hoax Anticristo Virus Hoax AOL4FREE ASPARTAME HOAX Big Brother Hoax BLOAT VIRUS HOAX BUDSAVER.EXE SULFNBK Hoax Win A Holiday Lámina 28 Introducción al Malware • • • • • • Celulares Hoax D@fit Hoax Dangerous HIV Hoax Death Ray Deeyenda Virus Hoax NEW YORK BIG DIRT HOAX • Perrin Hoax • PIKACHUS BALL HOAX • PKZ300 Warning Roberto Gómez Cárdenas 14 Seguridad Informática Roberto Gómez Cárdenas 1er. ejemplo Hoax Mr. Xxxxx wrote: Unanse a esta buena causa: SE TRATA DE LA PEQUEDA LLAMADA JESSICA MYDEK TIENE SIETE ANOS DE EDAD Y SUFRE DE UN AGUDO Y MUY RARO CASO DE CARCINOMA CEREBRAL ESTA ENFEREMEDAD TERMINAL PROVOCA LA APARICION DE DIVERSOS TUMORES MALIGNOS EN EL CEREBRO. LOS DOCTORES LE HAN PRONOSTICADO A JESSICA SEIS MESES DE VIDA, Y COMO PARTE DE SUS ULTIMOS DESEOS ELLA QUIZO INICIAR UNA CADENA DE E-MAILS INFORMANDO DE SU CONDICION Y ENVIAR EL MENSAJE A LA GENTE PARA QUE VIVA AL MAXIMO Y DISFRUTEN DE CADA MOMENTO DE SU VIDA, UNA OPORTUNIDAD QUE ELLA NUNCA TENDRA. ADICIONALMENTE, LA SOCIEDAD AMERICANA DE LUCHA CONTRA EL CANCER, JUNTO CON OTRAS EMPRESAS PATROCINADORAS, ACORDARON DONAR TRES CENTAVOS QUE SERAN DESTINADOS A LA INVESTIGACION DEL CANCER POR CADA PERSONA QUE ENVIE ESTE MENSAJE. POR FAVOR, DENLE A JESSICA Y A TODAS LAS VICTIMAS DEL CANCER UNA OPORTUNIDAD. Lámina 29 Roberto Gómez Cárdenas 1er. ejemplo Hoax (cont) Lo unico que tienen que hacer para incrementar el numero de personas en esta cadena es: Primero: dirija este e-mail a ACS@aol.com Segundo: en la parte donde dice CC agregue los e-mails de todos los amigos y colegas que conozca Saludos cordiales, Alfonso Lámina 30 Introducción al Malware Roberto Gómez Cárdenas 15 Seguridad Informática Roberto Gómez Cárdenas ¿Y para qué quiero direcciones electrónicas? Lámina 31 Roberto Gómez Cárdenas ¿Y cuánto cuesta? Lámina 32 Introducción al Malware Roberto Gómez Cárdenas 16 Seguridad Informática Roberto Gómez Cárdenas 2do. ejemplo hoax Este reenvio lo recibí de un amigo hoy y es verdad lo busqué con estas instrucciones y lo encontré,lo tenía sin saberlo. No lo detecta el Norton 2001 ni McAfee, los tengo instalados y pasó igual. Un virus está llegando a través de los mails de modo oculto. Gracias a un aviso pude detectarlo (lo tenía sin saberlo) y eliminarlo. Buscarlo del siguiente modo: 1.Ir a Inicio 2.Luego: Buscar 3.Archivo o carpeta 4.Tipear el archivo: sulfnbk.exe 5.Eliminar (NO ABRIRLO) 6.Eliminar de la papelera de reciclaje Gracias a estas instruciones lo eliminé.. suerte.. Lámina 33 Roberto Gómez Cárdenas Spam • Intento de entregar un mensaje, a través de Internet, a una persona que de otra forma no hubiera elegido recibirlo. • Cada vez recibimos más correos no deseados: – – – – – Lámina 34 Introducción al Malware Ventas. Insultos. Bombardeos. Pornografía Hoax Roberto Gómez Cárdenas 17 Seguridad Informática Roberto Gómez Cárdenas Ejemplo spam Lámina 35 Roberto Gómez Cárdenas Aclaración sobre SPAM Lámina 36 Introducción al Malware Roberto Gómez Cárdenas 18 Seguridad Informática Roberto Gómez Cárdenas El spim • La versión del spam para mensajería instantánea • Se presenta interrumpiendo conversaciones en MSN Messenger o AIM, en forma de información no solicitada o mensajes publicitarios • La mayoría de los mensajes spim, son – publicidad de sitios pornográficos, o – tros hacen publicidad de formulas para hacerse rico rápidamente, – el resto se refieren a productos o créditos financieros Lámina 37 Roberto Gómez Cárdenas Consecuencias del spim • Se considera que el spim es más intrusivo que el spam – pues se abren en forma de pop up justo después de que el usuario se haya autentificado, por lo que, es imposible cerrarlos sin verlos • Causas crecimiento spim – enorme crecimiento de la utilización de los sistemas de mensajería instantánea, que han pasado de 10 millones de usuarios en 2.002 a una estimación de 182 millones en 2.007. – la proliferación de filtros y sistemas antivirus se esta convirtiendo en un problema para los ""spammers" profesionales, que tienen que buscar otros campos de actividad Lámina 38 Introducción al Malware Roberto Gómez Cárdenas 19 Seguridad Informática Roberto Gómez Cárdenas ¿Qué hacer con los hoaxes/spams? • No redireccionar mensajes de este tipo. – sistema correo puede colapsar debido al redireccionamiento de este tipo de mensajes • Los corporativos pueden confrontar este tipo de problemas, con un politicas del estilo: – usuarios finales no deben difundir alertas de viurs – cualquier informe de virus se debe enviar al departamento de sistemas de información Lámina 39 Roberto Gómez Cárdenas Ingeniería Social. • Es una de las formas más comunes para penetrar sistemas de “alta seguridad”. • Uso de trucos psicologicos, por parte de un atacante externo, sobre usuarios legitimos de un sistema para obtener información (usenames y passwords) necesaria para acceder a un sistema. • Se basa en ataques como: usurpación de identidad, pepena, inocencia de la gente, relaciones humanas, etc. Lámina 40 Introducción al Malware Roberto Gómez Cárdenas 20 Seguridad Informática Roberto Gómez Cárdenas Ejemplo ingeniería social "Hi Bev, this is Sam from the IS Department. We just got in a new corporate screensaver and since you’re the VP’s secretary you will get it first. It’s really cool wait ‘till you see it. All I need is your password so I can log on to your PC from the computer center and install it. Oh Great!!!!!! My password is rover. I can’t wait to see that new screen saver!!!!!" Lámina 41 Roberto Gómez Cárdenas Otro ejemplo Lámina 42 Introducción al Malware Roberto Gómez Cárdenas 21 Seguridad Informática Roberto Gómez Cárdenas Malware, spyware y adware (i) • Malware – consistente en un pequeño programa alojado dentro de otra aplicación (imagen, archivo de música,…), que se instala en el sistema al ejecutar el archivo que lo contiene y que puede llegar a un ordenador por diversos medios (correo, redes P2P, paginas web, spyware, etc). • Spyware – espiar las acciones del usuario legítimo de la computadora hace – también conocido como spybot o tracking software Lámina 43 Roberto Gómez Cárdenas Malware, spyware y adware (ii) • Spyware – tecnología de recolección de información acerca de una persona u organización sin su conocimiento – a nivel usuario la información se usa para los publicistas • Adware – aplicación en la que banners de publicidad son desplegados mientras el programa se ejecuta – empieza en programas tipo shareware – autores aplicaciones incluyen código adicional que entrega la publicidad que puede ser vista a través de ventanas popup o través de una barra que se despliega en pantalla Lámina 44 Introducción al Malware Roberto Gómez Cárdenas 22 Seguridad Informática Roberto Gómez Cárdenas El phishing • Suplantación de páginas y/o sitios de Internet, que permite al estafador, mediante el engaño, conocer los datos privados y personales que usted utiliza para la realización de operaciones económicas. • Habitualmente usa correo electrónico para enviar mensajes supuestamente originados en una entidad de confianza • Pedir datos necesarios para poder realizar operaciones en las cuentas de la entidad: – usuario, Clave de acceso, ClavePersonal, Firma, etc. • Correo electrónico, Ingeniería Social y el Spam son los grandes aliados del “phishing” Lámina 45 Roberto Gómez Cárdenas El inicio Estimado cliente de Banamex Durante nuestro programado mantenimiento regular y procesos de verificación, hemos detectado un error en la información que tenemos registrada de su cuenta. Esto se debe a algunos de estos factores: 1. Un cambio reciente en su información personal 2. Que se haya proporcionado información invalida durante su proceso inicial de registro con bancanet o que usted aun no haya realizado dicho registro. 3. La inhabilidad de verificar con exactitud la opción de su elección concerniente a su forma preferente de pago y manejo de cuenta debido a un error técnico interno dentro de nuestros servidores al momento del registro. Favor de actualizar y verificar la información de su cuenta haciendo clic en la siguiente liga. Será redirigido a la pagina principal de nuestro sitio en Internet donde podrá actualizar su información personal. http://banamex.com.mx/eng/personal/login.html Si la información en su cuenta no se actualiza en las siguientes 48 horas algunos servicios en el uso y acceso de su cuenta serán restringidos hasta que esta infamación sea verificada y actualizada. De antemano agradezco su pronta atención este asunto Departamento de Validación “D.R. © Copyright 2005, Derechos Reservados. Banco Nacional de México, S.A., integrante de Grupo Financiero Banamex. Isabel la Católica 44. Col. Centro Histórico. Del. Cuauhtémoc. C.P. 06000, México, Distrito Federal, México Lámina 46 Introducción al Malware Roberto Gómez Cárdenas 23 Seguridad Informática Roberto Gómez Cárdenas Página redireccionada Lámina 47 Roberto Gómez Cárdenas Página original Lámina 48 Introducción al Malware Roberto Gómez Cárdenas 24 Seguridad Informática Roberto Gómez Cárdenas Actores y elementos • El usuario – computadora personal • El atacante – montar un sitio web – enviar los correos electrónicos • El banco – notificación del aviso. • Mulas – son los intermediarios mas o menos inocentes que facilitan el blanqueo de los fondos estafados. – si conocen cual es su papel están participando en un delito. Lámina 49 Roberto Gómez Cárdenas El pharming • Modalidad de fraude en línea que consiste en suplantar, mediante la introducción de un troyano, el sistema de resolución de nombres de dominio (DNS) de la maquina infectada para conducir al usuario a una página web falsa. • Se cambia el contenido tabla DNS de forma que asocia el nombre del banco a una dirección falsa, la del estafador, en vez de la dirección real. – cuando vícitima teclea el nombre su banco y aparentemente le aparece la pagina del mismo, realmente esta viendo una página falsa y cualquier dato sensible que introduzca cae en manos del estafador. Lámina 50 Introducción al Malware Roberto Gómez Cárdenas 25 Seguridad Informática Roberto Gómez Cárdenas El scam • Puede considerarse como la segunda parte del 'phishing‘y se orienta a la captación de intermediarios, “mulas”en el argot, para blanquear el dinero obtenido con el phishing. • La estafa se desarrolla en tres fases • Fase 1: – se oferta, a través de chats, correos electrónicos o anuncios difundidos por Internet, trabajo fácil desde el domicilio con el que se pueden obtener grandes beneficios. – las condiciones para optar a este "trabajo" son: • una conexión a Internet de 24 horas, • una cuenta corriente propia y conocimiento de los sistemas internacionales de envío de dinero (Paypal, Western Union, etc. Lámina 51 Roberto Gómez Cárdenas Las otras dos fases • Fase 2: – La segunda fase es el phishing. • Fase 3: – en la tercera fase, después que la víctima facilita las claves de su cuenta on line, los delincuentes efectúan transferencias de fondos de esas cuentas hacia las de los intermediarios. – efectuado el ingreso, contactan con ellos por correo electrónico indicándoles las directrices sobre cómo y dónde remitir el dinero que consistente en remitirlo a terceras personas mediante transferencias que efectúan por medio de los sistemas de envío rápido de dinero. Lámina 52 Introducción al Malware Roberto Gómez Cárdenas 26 Seguridad Informática Roberto Gómez Cárdenas APWG (www.antiphishing.org) Fuente: Websense, Inc. Lámina 53 Roberto Gómez Cárdenas Más datos Lámina 54 Introducción al Malware Roberto Gómez Cárdenas 27 Seguridad Informática Roberto Gómez Cárdenas Nombramiento malware • Desde 1991, los miembros de CARO (Computer Antivirus Researchers Organization) designaron un nombramiento (COMPUTER MALWARE NAMING SCHEME) para su uso en antivirus. <tipo de malware>://<plataforma>/<nombredefamilia>.<nombredegrupo>. <tamañodeinfector>.<variante><devolución><modificadores> Lámina 55 Roberto Gómez Cárdenas Introducción al malware Dr. Roberto Gómez Cárdenas rogomez@itesm.mx http://homepage.cem.itesm.mx/rogomez Lámina 56 Introducción al Malware Roberto Gómez Cárdenas 28