Detección de amenazas

Transcripción

1

2 Detección de amenazas El presente modulo tiene como objetivo primordial hacer del conocimiento del usuario el involucrarse o acrecentar su cultura general en el ámbito de la seguridad, conocer conceptos sobre las diferentes amenazas, como lo que hoy en día se engloba en una sola palabra Malware y lo que no es.

3 Cronologia de los Virius

4 Cronologia de los Virius

5 Cronologia de los Virius

6 Cronologia de los Virius

7 Cronologia de los Virius

8 Características del Malware Ambientes Objetivo Objetos Portadores Mecanismos de Transporte Payloads Mecanismos Disparadores Mecanismos de Defensa

9 Ambiente Objetivo Mientras que el malware procura atacar un sistema huésped, puede haber un número específico de componentes requeridos antes de que el ataque pueda tener éxito. Los siguientes son ejemplos típicos de lo que puede requerir el malware para atacar el anfitrión: Dispositivos Sistemas Operativos Dispositivos: PC s, Apple, PDA, Celular Sistemas Operativos: Windows 95, 98, NT 4.0, 2000, 2003, XP Linux, Solaris, AIX, Apple OS. Aplicaciones Aplicaciones: Office, Flash, etc.

10 Objetos Portadores Si el malware es un virus, procurará apuntar a un objeto portador (también conocido como un anfitrión) para infectarlo. El número y el tipo de objetos apuntados al portador varía extensamente entre malware, estos son algunos ejemplos: Archivos Ejecutables Exe, Pif, Scr, Bat, Com, Inf, etc. Scripts vbs,.js,.wsh, y.pl. entre otras Macros Lenguaje scripting macro particular Sector de Arranque Discos duros Unidades removibles de arranque

11 Mecanismos de Transporte Medios Removibles Recursos Compartidos en Red Escaneos de Red Redes Peer to Peer Correo Electrónico Remote Exploit Navegación Web USB, Floppy, CD-ROM Carpetas de red Rangos de IP s, Puertos Vulnerables Kazaa, Limewire, Imesh, Gnutella, etc. Worms, Mailers, Mass Mailers. Explotación de Vulnerabilidades de Aplicaciones y dispositivos. Navegación web no segura

12 Tipos de Payload Payload; es el o los efectos nocivos o hasta irreparables, que ocasionan cualquier malware a los sistemas de los equipos que infectan. Existen siete tipos de Payload aceptados comúnmente, aunque el desarrollo e implementación de nuevas tecnologías posibilitan la existencia de nuevos tipos. A continuación se mencionan los más relevantes.

13 Tipos de Payload Distributed Denial Of Service (DDoS) Denial Of Service (DoS) Ataque de DoS de Red Robo de Información Payload Bandwith Flood (Inundación de Ancho de Banda) Interrupción del Servicio Apagado del Sistema

14 Mecanismos Disparadores Los mecanismos disparadores es una característica del malware que el software malicioso utiliza para iniciar la replicación del Payload. Ejecución Manual Ingeniería Social Ejecución Semiautomática Mecanismos Disparadores Ejecución Automática Bomba de Tiempo Condicional

15 Mecanismos de Defensa Muchos malwares utilizan algún tipo de mecanismo de defensa para ayudar a reducir la probabilidad de ser detectados y removidos. Armor (Armadura) Stealth Mecanismos de Defensa Encrypting (Cifrado) Oligomórfico Polimórfico

16 Que no es Malware Programas Broma (Jokes) Hoaxes Scams Spam Internet Cookies

17 Análisis de Malware Análisis de malware es el arte de la disección de software malicioso para entender cómo funciona, cómo identificarlo y cómo derrotarlo o eliminarlo. Para efectuar un análisis de malware no es necesario ser un super-hackers.

18 Tipos de análisis Análisis Estático Básico: consiste en examinar el archivo ejecutable sin ver las instrucciones reales, es decir sin ejecutarlo. Este tipo de análisis puede confirmar si un archivo es malicioso, proporciona información sobre su funcionamiento, y a veces ofrece información que permitirá producir firmas simples. El análisis estático básico es sencillo y rápido, pero es en gran medida ineficaz contra el malware sofisticado, y se puede pasar por alto funciones importantes. Análisis Dinámico Básico: las técnicas dinámicas implican que ejecutar el malware y la observación de su comportamiento en el sistema con el fin de eliminar la infección, producir firmas eficaces, o ambos. Sin embargo, antes de poder ejecutar el malware de forma segura, se debe contar con un entorno que le permitirá estudiar el malware sin riesgo de daño a un sistema o red.

19 Antivirus Scanning

20 Hashing MD5

21 Strings

22 Como ejecutar Strings Para ejecutar strings es necesario ubicar el archivo a analizar y el ejecutable de strings en el mismo directorio y ejecutarlo de la siguiente manera: C:>strings.exe bp6.exe >resultado.txt Donde bp6.exe es el archivo a analizar y resultado.txt es el log de este análisis

23 Resultados de Strings

24 Herramientas de Windows

25 MS CONFIG

26 RegEdit

27 Task Manager

28 Referencias F-Secure Practical Malware Analysis Sikorski, Honig Virustotal ESET