Defensa en profundidad contra software malintencionado Virus

1
Defensa en profundidad contra software
malintencionado (Virus)

• Jose Parada (Evangelista Técnico Microsoft)
• Antonio Ropero (Hispasec)
• Bernardo Quintero (Hispasec)

2
Requisitos previos para la sesión

• Conocimientos básicos de los fundamentos de la
  seguridad de las redes
• Conocimientos básicos de los conceptos relativos
  a software malintencionado
• Conocimientos básicos sobre soluciones antivirus

Nivel 300
3
Información general de la sesión

• Tipos y características del software
  malintencionado
• Nomenclatura en la identificación del software
  malintencionado
• Técnicas comunes empleadas por las soluciones
  antivirus
• Limitaciones de las soluciones antivirus
• Elección de la solución antivirus
• Defensa en clientes contra el software
  malintencionado
• Defensa en entornos corporativos contra el
  software malintencionado

4
Tipos y características del software
malintencionado

• Tipos y características del software
  malintencionado
• Nomenclatura en la identificación del software
  malintencionado
• Técnicas comunes empleadas por las soluciones
  antivirus
• Limitaciones de las soluciones antivirus
• Elección de la solución antivirus
• Defensa en clientes contra el software
  malintencionado
• Defensa en entornos corporativos contra el
  software malintencionado

5
Software malintencionado la familia del malware
Software malintencionado o malware (malicious
software) término para designar un programa
informático que provoca de forma intencionada una
acción dañina para el sistema y/o usuario.
Tipos de malware

• ampliación
• Spyware
• Backdoors
• Keyloggers
• Dialers
• RootKits
• Exploits

• definición clásica
• Virus
• Gusanos
• Troyanos
• Bombas lógicas

evolución
6
Tipos de malware Virus
Virus programa informático que puede infectar a
otros programas modificándolos para incluir una
copia de sí mismo.
Ejemplo

• Virus CIH (alias Chernobil)
• desarrollado en 1998, en ensamblador, tamaño 1Kb
• afecta a plataforma Windows 9x
• infecta archivos Windows PE (Portable Executable)
• residente en memoria
• día 26 sobreescribe disco duro y flash-BIOS
• más de 30 variantes

7
Tipos de malware Gusano
Gusano programa informático que tiene como fin
replicarse, a diferencia de los virus no modifica
otros programas.
Ejemplos

• Gusano Netsky
• distribuye por e-mail, redes P2P, y redes locales
• falsea dirección remitente
• doble extensión, terminando en .com, .exe, .pif o
  .scr

• Gusano Sasser
• no necesita la acción del usuario para infectar
• desbordamiento de buffer en LSSAS (Win 2000/XP)
• explotación automática a través del puerto TCP/445

8
Tipos de malware Troyano
Troyano aplicación aparentemente legítima y útil
que en realidad realiza acciones dañinas. A
diferencia de los virus y los gusanos, no puede
autorreplicarse ni infectar archivos.

• Troyano AIDS (1989)
• distribución por correo postal en un disquete
• programa con información sobre SIDA
• tras varios inicios de sistema, aparecía el
  troyano
• cifraba el disco duro e impedía al usuario
  acceder
• solicitaba pago al usuario para llave de
  descifrado

Ejemplo
Con el tiempo el término troyano se convirtió en
un comodín utilizado para todo tipo de malware
que no podía ser catalogado como virus o gusano.
9
Tipos de malware Backdoor
Backdoor o puerta trasera, permite acceso y
control remoto del sistema sin una
autentificación legítima.
Ejemplo

• Backdoor BackOrifice
• módulo cliente (atacante) y módulo servidor
  (víctima)
• servidor .exe por defecto abre puerto TCP/31337
• atacante obtiene control total sobre la víctima
• lectura y escritura de archivos, ejecutar
  aplicaciones, reiniciar el sistema, visualizar la
  pantalla, manejar el ratón y teclado de la
  víctima, robar contraseñas, etc.

10
Tipos de malware Spyware, Dialer, Keylogger,...
Spyware recolecta y envía información privada
sin el consentimiento y/o conocimiento del
usuario.
Dialer realiza una llamada a través de módem o
RDSI para conectar a Internet utilizando números
de tarificación adicional sin conocimiento del
usuario, provocando el aumento en la factura
telefónica.
Keylogger captura las teclas pulsadas por el
usuario, permitiendo obtener datos sensibles como
contraseñas..
Adware muestra anuncios o abre páginas webs no
solicitadas.
Exploit programas que aprovecha una
vulnerabilidad.
11
Tipos de malware combinados
Muchos especímenes de malware actual pueden
combinar varias de las características
atribuibles a las distintas categorías.
Ejemplo

• Lamin.B
• virus polimórfico infecta ejecutables Windows PE
• gusano que se distribuye por redes locales
• incluye función keylogger
• backdoor permite control remoto

Aunque las líneas están difusas, se suele
utilizar como denominación principal la
característica más importante. Así, por ejemplo,
se habla de un virus con capacidades de backdoor.
12
Nomenclatura en la identificación del software
malintencionado

• Tipos y características del software
  malintencionado
• Nomenclatura en la identificación del software
  malintencionado
• Técnicas comunes empleadas por las soluciones
  antivirus
• Limitaciones de las soluciones antivirus
• Elección de la solución antivirus
• Defensa en clientes contra el software
  malintencionado
• Defensa en entornos corporativos contra el
  software malintencionado

13
Nomenclatura en la identificación del software
malintencionado
Prefijo Nombre Variante sufijo
Ejemplo

• W32/Klez.H_at_MM
• Prefijo W32 afecta a plataformas Windows 32bits
• Nombre Klez nombre dado al espécimen
• Variante h existen al menos 7 versiones
  anteriores (a, b,c d,)
• Sufijo _at_MM gusano de propagación masiva por
  correo electrónico

14
Nomenclatura en la identificación del software
malintencionado
Prefijos y sufijos más comunes

• W32 afecta a plataformas Windows 32bits
• W95 afecta a plataformas Windows 9X/Me
• WM virus de macro para Word
• XM virus de macro para Excel
• Worm gusano
• Troj troyano
• Bck backdoor
• VBS escrito en Visual Basic Script
• JS escrito en Java Script
• Joke broma
• _at_mm se propaga por e-mail de forma masiva

15
Nomenclatura en la identificación del software
malintencionado
16
Nomenclatura en la identificación del software
malintencionado
17
Nomenclatura en la identificación del software
malintencionado
18
Técnicas comunes empleadas por las soluciones
antivirus

• Tipos y características del software
  malintencionado
• Nomenclatura en la identificación del software
  malintencionado
• Técnicas comunes empleadas por las soluciones
  antivirus
• Limitaciones de las soluciones antivirus
• Elección de la solución antivirus
• Defensa en clientes contra el software
  malintencionado
• Defensa en entornos corporativos contra el
  software malintencionado

19
Técnicas comunes empleadas por las soluciones
antivirus
Detección por cadena o firma tras analizar el
código del malware, se selecciona una porción del
mismo o cadena representativa que lo permita
diferenciar de cualquier otro programa. Si el
antivirus detecta esa cadena en algún archivo,
determinará que está infectado por ese malware.
20 E0 06 84 20 F4 06 D4 20 08 07 4B 34 00 AD
0C 21 1C 07 F7 21 1D 07 4D 22 30 07 CB 22 44 07
1A 23 45 07 74 23 46 07 B6 23 47 07 32 24 48 07
CE 24 49 07 31 25 4A 07 98 25 58 07 F0 25 59 07 81

• Es la técnica más extendida entre los antivirus
• Permite identificar el malware de forma concreta
• No detecta nuevos virus ni modificaciones
• Filosofía reactiva, requiere actualización
  continua

20
Técnicas comunes empleadas por las soluciones
antivirus
Detección por localización y nombre de archivo
21
DEMO
22
Técnicas comunes empleadas por las soluciones
antivirus
Detección por heurística análisis de código para
identificar conjunto de instrucciones y
estrategias genéricas utilizadas por el malware.

• No necesita de actualizaciones tan constantes
• Capacidad para detectar malware nuevo
• Más propenso a falsos positivos
• Penalización en el rendimiento en los análisis
• No detecta malware con características nuevas

23
Técnicas comunes empleadas por las soluciones
antivirus
Detección por heurística
24
Técnicas comunes empleadas por las soluciones
antivirus
Detección por emulación las aplicaciones se
ejecutan en un entorno informático simulado
(sandbox), para evaluar el grado de peligrosidad.

• No necesita de actualizaciones tan constantes
• Capacidad para detectar malware nuevo
• Más propenso a falsos positivos
• Especial penalización en el rendimiento en los
  análisis (mayor que en el caso del análisis
  heurístico de código).
• No detecta malware con características nuevas

25
Técnicas comunes empleadas por las soluciones
antivirus
Detección por emulación
26
Técnicas comunes empleadas por las soluciones
antivirus
Detección por monitorización comportamiento en
vez de analizar el código, comprueba las acciones
que intentan llevar a acbo las aplicaciones, e
identifican las que puedan ser potencialmente
peligrosas.

• No necesita de actualizaciones tan constantes
• Capacidad para detectar malware nuevo
• Más propenso a falsos positivos
• Penalización en el rendimiento del sistema
• No detecta malware con características nuevas

27
Técnicas comunes empleadas por las soluciones
antivirus
Detección por monitorización comportamiento
28
DEMO
29
Técnicas comunes empleadas por las soluciones
antivirus
Otros enfoques

• Chequeo integridad
• Comprobar la integridad de los archivos contra
  una base de datos (checksums, hash, )
• Debe de partir de un archivo limpio
• Fáciles de burlar (spoofing)

• Control de acceso
• Sólo se pueden ejecutar las aplicaciones
  permitidas por el administrador, con determinados
  privilegios y según perfil.
• Difíciles de administrar, sobre todo en ambientes
  heterogéneos, y poco práctico para usuarios
  particulares.

30
Limitaciones de las soluciones antivirus

• Tipos y características del software
  malintencionado
• Nomenclatura en la identificación del software
  malintencionado
• Técnicas comunes empleadas por las soluciones
  antivirus
• Limitaciones de las soluciones antivirus
• Elección de la solución antivirus
• Defensa en clientes contra el software
  malintencionado
• Defensa en entornos corporativos contra el
  software malintencionado

31
Limitaciones de las soluciones antivirus

• Facilidad de burlar los métodos de detección
• Esquema reactivo, solución a posteriori
• Ventana vulnerable, no protegen a tiempo

Creación del malware Distribución Infección de
las primeras víctimas Reporte a los laboratorios
AV
Actualización del AV del usuario Publicación
actualización Desarrollo firma y
pruebas Análisis del malware
32
Limitaciones de las soluciones antivirus

• Falsa sensación de seguridad AV (perimetrales,
  locales)
• Protocolos que no pueden ser analizados (https,
  )
• Limitaciones de análisis en el perímetro
• Formatos de empaquetado y compresión
• Evolución y diversificación del malware

33
DEMO
34
Elección de la solución antivirus

• Tipos y características del software
  malintencionado
• Nomenclatura en la identificación del software
  malintencionado
• Técnicas comunes empleadas por las soluciones
  antivirus
• Limitaciones de las soluciones antivirus
• Elección de la solución antivirus
• Defensa en clientes contra el software
  malintencionado
• Defensa en entornos corporativos contra el
  software malintencionado

35
Elección de las soluciones antivirus
Elementos que distorsionan (a ignorar)

• Marketing AV en general (protección 100, detecta
  todos los virus conocidos y desconocidos, número
  1, tecnología supermegapotente,)
• Número de malware que dicen detectar (guerra de
  números, no es un dato cualitativo y no
  corresponde con la realidad)
• Consultores (consultores o distribuidores?)
• Premios y certificaciones (adulterados,
  requisitos mínimos)
• Comparativas (evaluación crítica, lectura de
  resultados)

36
DEMO
37
Elección de las soluciones antivirus
Elementos a tener en cuenta

• Recursos que consume, rendimiento y estabilidad
• Facilidad de uso y posibilidades de configuración
• Malware que cubre (spyware, riskware, dialers,)
• Funciones proactivas
• Actualizaciones y tiempos de respuesta
• Soporte
• Puesto destacado en comparativas (no de los
  últimos)
• Casuística de nuestros sistemas (probar y
  evaluar)
• Gestión centralizada, funciones corporativas

38
Elección de las soluciones antivirus
39
Defensa contra software malintencionado

• Tipos y características del software
  malintencionado
• Nomenclatura en la identificación del software
  malintencionado
• Técnicas comunes empleadas por las soluciones
  antivirus
• Limitaciones de las soluciones antivirus
• Elección de la solución antivirus
• Defensa en clientes contra el software
  malintencionado
• Defensa en entornos corporativos contra el
  software malintencionado

40
Defensa contra el software malintencionado
Origen de infecciones

• Abrir archivos legítimos (virus)
• Abrir archivos no solicitados, adjuntos de
  correo, P2P, descargas (gusanos, troyanos)
• Abrir archivos enviados por terceros
  intencionadamente (Ingeniería social) (troyanos,
  backdoors)
• Configuración débil de nuestro sistema operativo
  (gusanos, virus, backdoors,)
• Configuración débil de aplicaciones Internet
  (navegador, cliente de correo) (spyware, gusanos)
• Vulnerabilidades del sistema operativo y
  aplicaciones Internet (gusanos, spyware,
  backdoors)

41
Defensa contra el software malintencionado
Visión actual en la prevención
42
Defensa contra el software malintencionado
Agente fundamental en la prevención real

• Abrir archivos legítimos
• Abrir archivos no solicitados
• Ingenieria social
• Configuración débil del sistema operativo
• Configuración débil de aplicaciones Internet
• Vulnerabilidades del S.O. y aplicaciones

43
Defensa en clientes contra el software
malintencionado
Se debe tender a un equilibrio
44
Defensa contra el software malintencionado
Factor humano

• Educar / formar al usuario. Cultura de seguridad.
• Formatos potencialmente peligrosos
• No abrir archivos no solicitados
• No utilizar fuentes no confiables
• Navegación segura
• Política de passwords
• Copias de seguridad

45
Defensa contra el software malintencionado
Factor S.O. y aplicaciones

• Desactivar todos los servicios no necesarios
• Aplicar actualizaciones automáticas (SUS, SMS)
• Configuración segura navegador y correo
• Políticas de uso de portátiles, PDAs, memorias
  USB, acceso externo
• Segmentación lógica redes
• Políticas de privilegios según usuario y
  aplicaciones
• Políticas de seguridad recursos compartidos
• Políticas de backup

46
Defensa contra el software malintencionado
Soluciones de seguridad y antimalware

• Uso de soluciones antivirus distintas y
  complementarias por capas (perímetro, servidor de
  archivos, host).
• Firewall perimetrales y basados en hosts (XP SP2)
• Política de filtrado por contenidos
• Política de acceso a la red (interna, externa)
• Gestión centralizada seguridad
• Auditorías y planes de contingencia/continuidad

47
DEMO
48
Preguntas y respuestas
49
Elección de una solución de administración de
actualizaciones para la defensa contra software
malintencionado
50
Descripción de las ventajas de Software Update
Services (SUS)

• Permite que los administradores tengan un control
  básico de la administración de las
  actualizaciones
• Los administradores pueden revisar, probar y
  aprobar las actualizaciones antes de
  implementarlas
• Simplifica y automatiza aspectos clave del
  proceso de administración de actualizaciones
• Se puede usar con directivas de grupo, aunque no
  son imprescindibles para utilizar SUS
• Fácil de implementar
• Herramienta gratuita de Microsoft

51
Funcionamiento de SUS
Internet
Windows Update
Servidor SUS secundario
Equipos cliente
Servidor SUSprimario
Equipos cliente
52
Demostración 1 Configuración de Software Update
Services para implementar actualizaciones de
seguridad

• Configurar Software Update Services para
  implementar actualizaciones de seguridad

53
Configuración de aplicaciones para proteger los
equipos cliente
Algunas aplicaciones que pueden ser objetivos de
ataques de software malintencionado son

• Aplicaciones de clientes de correo electrónico

• Aplicaciones de escritorio

• Aplicaciones de mensajería instantánea

• Exploradores Web

• Aplicaciones de igual a igual

54
Administración de la seguridad de Internet
Explorer
55
Demostración 2 Configuración de aplicaciones
basadas en el cliente

• Configurar las aplicaciones cliente para la
  defensa contra software malintencionado

56
Bloqueo de aplicaciones no autorizadas con
directivas de restricción de software
Las directivas de restricción de software

• Se pueden utilizar para
• Combatir virus
• Controlar las descargas de ActiveX
• Ejecutar sólo secuencias de comandos firmadas
• Asegurarse de que se instalan las aplicaciones
  autorizadas
• Bloquear equipos

• Se pueden aplicar a las siguientes reglas
• Hash
• Certificado
• Ruta de acceso
• Zona

• Se pueden establecer como
• Ilimitado
• No permitido

57
Demostración 3 Uso de directivas de restricción
de software

• Crear y probar una directiva de restricción de
  software

58
Nuevas características de seguridad de Firewall
de Windows
Activado de forma predeterminada
Activado sin excepciones
ü
ü
Lista de excepciones de Firewall de Windows
ü
Seguridad en tiempo de inicio del sistema
ü
Perfiles múltiples
ü
Configuración global y restauración de la
configuración predeterminada
ü
Compatibilidad con RPC
ü
Se puede realizar una instalación desatendida
ü
Restricciones de subred local
ü
Posibilidad de usar la línea de comandos
ü
59
Configuración de Firewall de Windows para la
defensa de los programas antivirus