1 / 59

Defensa en profundidad contra software malintencionado (Virus)

Defensa en profundidad contra software malintencionado (Virus). Jose Parada (Evangelista T é cnico Microsoft) Antonio Ropero (Hispasec) Bernardo Quintero (Hispasec). Requisitos previos para la sesión. Conocimientos básicos de los fundamentos de la seguridad de las redes

ailish
Télécharger la présentation

Defensa en profundidad contra software malintencionado (Virus)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Defensa en profundidad contra software malintencionado (Virus) Jose Parada (Evangelista Técnico Microsoft) Antonio Ropero (Hispasec) Bernardo Quintero (Hispasec)

  2. Requisitos previos para la sesión • Conocimientos básicos de los fundamentos de la seguridad de las redes • Conocimientos básicos de los conceptos relativos a software malintencionado • Conocimientos básicos sobre soluciones antivirus Nivel300

  3. Información general de la sesión • Tipos y características del software malintencionado • Nomenclatura en la identificación del software malintencionado • Técnicas comunes empleadas por las soluciones antivirus • Limitaciones de las soluciones antivirus • Elección de la solución antivirus • Defensa en clientes contra el software malintencionado • Defensa en entornos corporativos contra el software malintencionado

  4. Tipos y características del software malintencionado • Tipos y características del software malintencionado • Nomenclatura en la identificación del software malintencionado • Técnicas comunes empleadas por las soluciones antivirus • Limitaciones de las soluciones antivirus • Elección de la solución antivirus • Defensa en clientes contra el software malintencionado • Defensa en entornos corporativos contra el software malintencionado

  5. Software malintencionado: la familia del malware Softwaremalintencionado o “malware” (malicious software):término para designar un programa informático que provoca de forma intencionada una acción dañina para el sistema y/o usuario. Tipos de malware ampliación • Spyware • Backdoors • Keyloggers • Dialers • RootKits • Exploits • … definición clásica • Virus • Gusanos • Troyanos • Bombas lógicas evolución

  6. Tipos de malware: Virus Virus:programa informático que puede infectar a otros programas modificándolos para incluir una copia de sí mismo. Ejemplo Virus CIH (alias Chernobil) • desarrollado en 1998, en ensamblador, tamaño 1Kb • afecta a plataforma Windows 9x • infecta archivos Windows PE (Portable Executable) • residente en memoria • día 26 sobreescribe disco duro y flash-BIOS • más de 30 variantes

  7. Tipos de malware: Gusano Gusano:programa informático que tiene como fin replicarse, a diferencia de los virus no modifica otros programas. Ejemplos Gusano Netsky • distribuye por e-mail, redes P2P, y redes locales • falsea dirección remitente • doble extensión, terminando en .com, .exe, .pif o .scr Gusano Sasser • no necesita la acción del usuario para infectar • desbordamiento de buffer en LSSAS (Win 2000/XP) • explotación automática a través del puerto TCP/445

  8. Tipos de malware: Troyano Troyano:aplicación aparentemente legítima y útil que en realidad realiza acciones dañinas. A diferencia de los virus y los gusanos, no puede autorreplicarse ni infectar archivos. Troyano AIDS (1989) • distribución por correo postal en un disquete • programa con información sobre SIDA • tras varios inicios de sistema, aparecía el troyano • cifraba el disco duro e impedía al usuario acceder • solicitaba pago al usuario para llave de descifrado Ejemplo Con el tiempo el término troyano se convirtió en un comodín utilizado para todo tipo de malware que no podía ser catalogado como virus o gusano.

  9. Tipos de malware: Backdoor Backdoor:o puerta trasera, permite acceso y control remoto del sistema sin una autentificación legítima. Ejemplo Backdoor BackOrifice • módulo cliente (atacante) y módulo servidor (víctima) • servidor .exe por defecto abre puerto TCP/31337 • atacante obtiene control total sobre la víctima • lectura y escritura de archivos, ejecutar aplicaciones, reiniciar el sistema, visualizar la pantalla, manejar el ratón y teclado de la víctima, robar contraseñas, etc.

  10. Tipos de malware: Spyware, Dialer, Keylogger,... Spyware:recolecta y envía información privada sin el consentimiento y/o conocimiento del usuario. Dialer:realiza una llamada a través de módem o RDSI para conectar a Internet utilizando números de tarificación adicional sin conocimiento del usuario, provocando el aumento en la factura telefónica. Keylogger:captura las teclas pulsadas por el usuario, permitiendo obtener datos sensibles como contraseñas.. Adware:muestra anuncios o abre páginas webs no solicitadas. Exploit:programas que aprovecha una vulnerabilidad.

  11. Tipos de malware: combinados Muchos especímenes de malware actual pueden combinar varias de las características atribuibles a las distintas categorías. Ejemplo Lamin.B • virus polimórfico infecta ejecutables Windows PE • gusano que se distribuye por redes locales • incluye función keylogger • backdoor permite control remoto Aunque las líneas están difusas, se suele utilizar como denominación principal la característica más importante. Así, por ejemplo, se habla de un virus con capacidades de backdoor.

  12. Nomenclatura en la identificación del software malintencionado • Tipos y características del software malintencionado • Nomenclatura en la identificación del software malintencionado • Técnicas comunes empleadas por las soluciones antivirus • Limitaciones de las soluciones antivirus • Elección de la solución antivirus • Defensa en clientes contra el software malintencionado • Defensa en entornos corporativos contra el software malintencionado

  13. Nomenclatura en la identificación del software malintencionado Prefijo + Nombre + Variante + sufijo Ejemplo W32/Klez.H@MM • Prefijo W32 afecta a plataformas Windows 32bits • Nombre Klez nombre dado al espécimen • Variante h existen al menos 7 versiones anteriores (a, b,c d,…) • Sufijo @MM gusano de propagación masiva por correo electrónico

  14. Nomenclatura en la identificación del software malintencionado Prefijos y sufijos más comunes W32 afecta a plataformas Windows 32bits W95 afecta a plataformas Windows 9X/Me WM virus de macro para Word XM virus de macro para Excel Worm gusano Troj troyano Bck backdoor VBS escrito en Visual Basic Script JS escrito en Java Script Joke broma @mm se propaga por e-mail de forma masiva

  15. Nomenclatura en la identificación del software malintencionado

  16. Nomenclatura en la identificación del software malintencionado

  17. Nomenclatura en la identificación del software malintencionado

  18. Técnicas comunes empleadas por las soluciones antivirus • Tipos y características del software malintencionado • Nomenclatura en la identificación del software malintencionado • Técnicas comunes empleadas por las soluciones antivirus • Limitaciones de las soluciones antivirus • Elección de la solución antivirus • Defensa en clientes contra el software malintencionado • Defensa en entornos corporativos contra el software malintencionado

  19. Técnicas comunes empleadas por las soluciones antivirus Detección por cadena o firma: tras analizar el código del malware, se selecciona una porción del mismo o cadena representativa que lo permita diferenciar de cualquier otro programa. Si el antivirus detecta esa cadena en algún archivo, determinará que está infectado por ese malware. 20 E0 06 84 20 F4 06 D4 20 08 07 4B 34 00 AD 0C 21 1C 07 F7 21 1D 07 4D 22 30 07 CB 22 44 07 1A 23 45 07 74 23 46 07 B6 23 47 07 32 24 48 07 CE 24 49 07 31 25 4A 07 98 25 58 07 F0 25 59 07 81 Es la técnica más extendida entre los antivirus Permite identificar el malware de forma concreta No detecta nuevos virus ni modificaciones Filosofía reactiva, requiere actualización continua

  20. Técnicas comunes empleadas por las soluciones antivirus Detección por localización y nombre de archivo

  21. DEMO

  22. Técnicas comunes empleadas por las soluciones antivirus Detección por heurística: análisis de código para identificar conjunto de instrucciones y estrategias genéricas utilizadas por el malware. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Penalización en el rendimiento en los análisis No detecta malware con características nuevas

  23. Técnicas comunes empleadas por las soluciones antivirus Detección por heurística

  24. Técnicas comunes empleadas por las soluciones antivirus Detección por emulación: las aplicaciones se ejecutan en un entorno informático simulado (sandbox), para evaluar el grado de peligrosidad. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Especial penalización en el rendimiento en los análisis (mayor que en el caso del análisis heurístico de código). No detecta malware con características nuevas

  25. Técnicas comunes empleadas por las soluciones antivirus Detección por emulación

  26. Técnicas comunes empleadas por las soluciones antivirus Detección por monitorización comportamiento: en vez de analizar el código, comprueba las acciones que intentan llevar a acbo las aplicaciones, e identifican las que puedan ser potencialmente peligrosas. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Penalización en el rendimiento del sistema No detecta malware con características nuevas

  27. Técnicas comunes empleadas por las soluciones antivirus Detección por monitorización comportamiento

  28. DEMO

  29. Técnicas comunes empleadas por las soluciones antivirus Otros enfoques Chequeo integridad Comprobar la integridad de los archivos contra una base de datos (checksums, hash, …) Debe de partir de un archivo limpio Fáciles de burlar (spoofing) Control de acceso Sólo se pueden ejecutar las aplicaciones permitidas por el administrador, con determinados privilegios y según perfil. Difíciles de administrar, sobre todo en ambientes heterogéneos, y poco práctico para usuarios particulares.

  30. Limitaciones de las soluciones antivirus • Tipos y características del software malintencionado • Nomenclatura en la identificación del software malintencionado • Técnicas comunes empleadas por las soluciones antivirus • Limitaciones de las soluciones antivirus • Elección de la solución antivirus • Defensa en clientes contra el software malintencionado • Defensa en entornos corporativos contra el software malintencionado

  31. Limitaciones de las soluciones antivirus Facilidad de burlar los métodos de detección Esquema reactivo, solución a posteriori Ventana vulnerable, no protegen a tiempo Creación del malware Distribución Infección de las primeras víctimas Reporte a los laboratorios AV Actualización del AV del usuario Publicación actualización Desarrollo firma y pruebas Análisis del malware

  32. Limitaciones de las soluciones antivirus Falsa sensación de seguridad AV (perimetrales, locales) Protocolos que no pueden ser analizados (https, …) Limitaciones de análisis en el perímetro Formatos de empaquetado y compresión Evolución y diversificación del malware

  33. DEMO

  34. Elección de la solución antivirus • Tipos y características del software malintencionado • Nomenclatura en la identificación del software malintencionado • Técnicas comunes empleadas por las soluciones antivirus • Limitaciones de las soluciones antivirus • Elección de la solución antivirus • Defensa en clientes contra el software malintencionado • Defensa en entornos corporativos contra el software malintencionado

  35. Elección de las soluciones antivirus Elementos que distorsionan (a ignorar) Marketing AV en general (protección 100%, detecta todos los virus conocidos y desconocidos, número 1, tecnología “supermegapotente”,…) Número de malware que dicen detectar (guerra de números, no es un dato cualitativo y no corresponde con la realidad) “Consultores” (¿consultores o distribuidores?) Premios y certificaciones (adulterados, requisitos mínimos) Comparativas (evaluación crítica, lectura de resultados)

  36. DEMO

  37. Elección de las soluciones antivirus Elementos a tener en cuenta Recursos que consume, rendimiento y estabilidad Facilidad de uso y posibilidades de configuración Malware que cubre (spyware, riskware, dialers,…) Funciones proactivas Actualizaciones y tiempos de respuesta Soporte Puesto destacado en comparativas (no de los últimos) Casuística de nuestros sistemas (probar y evaluar) Gestión centralizada, funciones corporativas

  38. Elección de las soluciones antivirus

  39. Defensa contra software malintencionado • Tipos y características del software malintencionado • Nomenclatura en la identificación del software malintencionado • Técnicas comunes empleadas por las soluciones antivirus • Limitaciones de las soluciones antivirus • Elección de la solución antivirus • Defensa en clientes contra el software malintencionado • Defensa en entornos corporativos contra el software malintencionado

  40. Defensa contra el software malintencionado Origen de infecciones Abrir archivos legítimos (virus) Abrir archivos no solicitados, adjuntos de correo, P2P, descargas (gusanos, troyanos) Abrir archivos enviados por terceros intencionadamente (Ingeniería social) (troyanos, backdoors) Configuración débil de nuestro sistema operativo (gusanos, virus, backdoors,…) Configuración débil de aplicaciones Internet (navegador, cliente de correo) (spyware, gusanos) Vulnerabilidades del sistema operativo y aplicaciones Internet (gusanos, spyware, backdoors)

  41. Defensa contra el software malintencionado Visión actual en la prevención

  42. Defensa contra el software malintencionado Agente fundamental en la prevención real Abrir archivos legítimos Abrir archivos no solicitados Ingenieria social Configuración débil del sistema operativo Configuración débil de aplicaciones Internet Vulnerabilidades del S.O. y aplicaciones

  43. Defensa en clientes contra el software malintencionado Se debe tender a un equilibrio

  44. Defensa contra el software malintencionado Factor humano • Educar / formar al usuario. Cultura de seguridad. • Formatos potencialmente peligrosos • No abrir archivos no solicitados • No utilizar fuentes no confiables • Navegación segura • Política de passwords • Copias de seguridad

  45. Defensa contra el software malintencionado Factor S.O. y aplicaciones Desactivar todos los servicios no necesarios Aplicar actualizaciones automáticas (SUS, SMS) Configuración segura navegador y correo Políticas de uso de portátiles, PDAs, memorias USB, acceso externo Segmentación lógica redes Políticas de privilegios según usuario y aplicaciones Políticas de seguridad recursos compartidos Políticas de backup

  46. Defensa contra el software malintencionado Soluciones de seguridad y antimalware Uso de soluciones antivirus distintas y complementarias por capas (perímetro, servidor de archivos, host). Firewall perimetrales y basados en hosts (XP SP2) Política de filtrado por contenidos Política de acceso a la red (interna, externa) Gestión centralizada seguridad Auditorías y planes de contingencia/continuidad

  47. DEMO

  48. Preguntas y respuestas

  49. Elección de una solución de administración de actualizaciones para la defensa contra software malintencionado

  50. Descripción de las ventajas de Software Update Services (SUS) • Permitequelosadministradorestenganuncontrolbásicodelaadministracióndelasactualizaciones • Los administradores pueden revisar, probar y aprobar las actualizaciones antes de implementarlas • Simplifica y automatiza aspectos clave del proceso de administración de actualizaciones • Se puede usar con directivas de grupo, aunque no son imprescindibles para utilizar SUS • Fácil de implementar • Herramienta gratuita de Microsoft

More Related