Y la nueva vía de distribución de malware?

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Y la nueva vía de distribución de malware?"

Dolores Fernández Medina
hace 8 años
Vistas:

1 Y la nueva vía de distribución de malware? Autor: Álvaro Del Hoyo Fecha: 22/10/2013

2 * // ÍNDICE Escenario actual Nueva vía de distribución malware La solución: WebMalware Safe WebMalware, parte de un todo Efecto de la Innovación

3 // 01 Escenario actual *

4 Industrialización y profesionalización

5 Objetivos diversos

6 Malware avanzado Vulnerabilidades Técnicas ocultación malware Zero Day Malware Polimórfico Exploits

7 Vías de distribución

8 Insuficiencia Firewalls/Gateways Incremento relevante de amenazas, retrasos importantes en el blacklisting y uso de tráficos autorizados Intrusion Detection System Incremento relevante de amenazas, retrasos en firmas, técnicas de ofuscación e inadecuada implantación, mantenimiento y gestión Web Application Firewall Incremento relevante de amenazas, aumento de whitelisting, retrasos en reglas, identificación presencia, http parameter pollution y custom XSS Antivirus Incremento producción malware, retrasos importantes en firmas, zero days, técnicas de ofuscación, malware polimórfico y malware on-demand

9 Picardía

10 Críticas y críticas a las críticas Antivirus? Ratio detección virus: <5% Hasta más 4 semanas para detectar nuevos virus Inversión antivirus no es acorde a tasa detección

11 Exagerado? Recommendations 1. Assume all PCs are infected. The attacks used Zeus, which is a Do-It-Yourself virus kit available for around a thousand EUROs. Zeus has been an off the shelf virus around since 2007 and the detection rate is low. For a bank, in the current situation it is safer to assume that all of its customers PCs are infected and the banks should therefore take protection measures to deal with this.

12 Puede que no

13 // 02 * Y la nueva vía de distribución de malware?

14 Nueva? Apareció ya en septiembre 2007 Runald said that in the case of the Bank of India's hacked Web site, RBN used an iframe to launch another window which then pushed victims to a Web page containing malicious code.

15 iframe redirigiendo

16 El proceso El atacante compromete una web y le inyecta un iframe Atacante iframe El troyano se conecta con su master Panel Control de Botnets Servidor Web de Exploits Servidor Web legítimo ( El usuario es redirigido a una web que tiene un exploit para navegadores Panel Control de Exploits El usuario se conecta a una página web normal (con el iframe) Pág. 16 Usuario Elexploit hace que se conecte a otra web para descargar el troyano y contabilizar estadísticas

17 Exploits y/o ingeniería social

18 Vector de infección

19 O ingeniería social

20 Servidores hackeados Hacking Compraventa credenciales administración

21 SQLi en widget

22 Comments

23 Foros

24 Ads

25 Adware y malvertising

26 Apps maliciosas con ingeniería social

27 Sitios con mucho tráfico

28 Water Holing Attack

29 Five Eagles According to the slides in the GCHQ presentation, the attack was directed at several Belgacom employees and involved the planting of a highly developed attack technology referred to as a "Quantum Insert" ("QI"). It appears to be a method with which the person being targeted, without their knowledge, is redirected to websites that then plant malware on their computers that can then manipulate them. Some of the employees whose computers were infiltrated had "good access" to important parts of Belgacom's infrastructure, and this seemed to please the British spies, according to the slides.

30 Desanonimizando

31 No sorprende Drive-by-exploits: There is a shift from Botnets to malicious URLs as the preferred means to distribute malware. An advantage of URLs as a distribution mechanism lies in the fact that URLs are not such an easy target for law enforcement takedowns. It has been reported that there is an increase in the rate of suspicious URLs compared with Concluding, one can say that browser-based attacks still remain the most reported threats, whereas Java remains the most exploited software for the materialization of this threat.

32 Tranquilidad?

33 20 días detección por antivirus? PaloAlto vs Antivirus WebMalware = 90% malware desconocido 52% malware usa técnicas de ofuscación Ventana de detección por antivirus 5 días Web: 20 días

34 Veamos un ejemplo

35 Timeline Caso Foro = 39 días

36 Entonces?

37 Nuevas tecnologías de seguridad

38 Ya, pero qué hay de mis webs?

39 A ver si

40 y entonces

41 e incluso

42 // 03 * La solución: WebMalware Safe

43 Ágil reacción en 2007

44 WebMalware Safe SaaS: Sin necesidad de instalar nada, a través de Internet Análisis dominios web Webs propias o de terceros Enlaces internos y enlaces externos Nivel de profundidad configurable Localización de redireccionamientos Chequeo de posible distribución activa de malware Analistas S21sec CERT Opcional: En su caso, análisis automático de malware Retroalimentación con información sobre malware analizado

45 Solución especialmente dirigida

46 La nube Analizadores INTERNET Crawler IDS Google Safe Browsing LookWise Device Manager Análisis Malware Analistas S21sec CERT Virus Box

47 Advanced Threat Defense Crawler Sistema de navegación web de los webs objeto de análisis hasta la profundidad y con la frecuencia acordada Analizadores Conjunto de máquinas virtuales que corren sistemas vulnerables navegando por los webs objeto de análisis LookWise Device Manager Sistema que monitoriza la ejecución de procesos, registro de sistema operativo, para identificar malware en ejecución

48 Old School Defense Intrusión Detection System Sistema de detección de intrusos que analiza el tráfico entre las webs navegadas y los analizadores al objeto de identificar la ejecución de malware Virus Box Batería de casi 20 antivirus para análisis múltiple de las ficheros descargados Google Safe Search, urlquery y otras listas de reputación Correlación de URLs externas contra la base de datos de Google Safe Search S21sec CERT Analistas para evitar falsos positivos, identificación del código inyectado y su ubicación, todo ello incluido en las alertas

49 Alerta automática

50 Enlace externo

51 Código modificado

52 Detalles

53 Exploit

54 Informe previo sobre malware detectado

55 Comparativa WebMalware vs Antivirus

56 Comparativa WebMalware vs Google Safe Browsing Recordáis el caso

57 La pesca del WebMalware

58 // 04 WebMalware, parte de un todo *

59 Plataforma de análisis

60 Familias analizadas automáticamente

61 Domain Generation Algorithm (DGA)

62 Entidades en el punto de mira

63 Esos otros bancos

64 Últimas y recientes alertas tempranas

65 Últimas y recientes alertas tempranas

66 // 05 Efecto de la Innovación *

67 La pesca de la plataforma

68 Incremento muestras

69 Incremento detecciones en clientes

70 Alcance

71 Sectores afectados

72 Mejora ratio detección malware

73 Incremento incidentes mensual

74 Incremento incidentes mensuales por tipo

75 Incidentes año y tipo

76 GRACIAS SPAIN MEXICO BRASIL UK USA

Documentos relacionados

WebMalware: Una nueva evolución del cibercrimen

WebMalware: Una nueva evolución del cibercrimen Autor: Álvaro Del Hoyo Fecha: 12/02/2013 * // ÍNDICE Introducción El problema: Drive-by Downloads La solución: WebMalware Safe Algún ejemplo Sello WebMalware