MALWARE, UNA AMENAZA DE INTERNET



Documentos relacionados
MALWARE, UNA AMENAZA DE INTERNET

Introducción. Objetivo. Implementar un detector de malware con software libre empleando el protocolo Netflow.

Qué son y cómo combatirlas

Reputació n Web. Actualmente la forma por la que se infectan los equipos puede ocurrir, como norma general, de tres formas distintas:

Control de Acceso: Detección de Intrusiones, Virus, Gusanos, Spyware y Phishing

TEMA 3. SEGURIDAD INFORMÁTICA

IPEC SANTA BÁRBARA DE HEREDIA MANTENIMIENTO PREVENTIVO DE COMPUTADORAS. Seguridad de los datos - Virus / Malware / Antivirus

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

Lo más habitual es que los virus permanezcan ocultos en archivos del tipo ejecutable (.exe y.com), pero pueden existir en otros formatos.

Resumen del trabajo sobre DNSSEC

WORKSHOP PATAGONIA 2009

FALSOS ANTIVIRUS Y ANTIESPÍAS

Hostaliawhitepapers. Qué amenazas nos podemos encontrar por la red

CAPÍTULO I. FORMULACIÓN DEL PROBLEMA

EL SOFTWARE MALICIOSO MALWARE

Qué es un antivirus? Son programas cuya función es detectar y eliminar Virus informáticos y otros programas maliciosos (a veces denominados malware).

Preguntas y respuestas sobre el cifrado de la información personal. La guía para aprender a cifrar tu información

Lo que usted necesita saber sobre routers y switches. Conceptos generales.

Seguridad en Windows 7

Seguridad de la información: ARP Spoofing

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Test de intrusión (Penetration Test) Introducción


Seguridad en un Proveedor de Servicios de Internet (ISP) Ing. Carlos Martínez - Ing. Leonardo Vidal Anteldata.

CAPÍTULO 3 3 DISEÑO DE UN MECANISMO DE DETECCIÓN DE TRÁFICO MALICIOSO PARA REDUNAM

Spyware y su impacto en los sistemas de información

Los mayores cambios se dieron en las décadas de los setenta, atribuidos principalmente a dos causas:

Amenazas y riesgos de seguridad en el mundo empresarial


ING. YURI RODRIGUEZ ALVA

BYOD - Retos de seguridad

El 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas

El estado del arte de la Seguridad Informática

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Redes sociales utilizadas para propagar malware

UNIVERSIDAD NACIONAL DE INGENIERÍA

We Care For Your Business Security

Proceso de resolución de un nombre de dominio. Javier Rodríguez Granados

Teléfono: Telefax:

Guía de doble autenticación

EL MERCADO NEGRO DE INTERNET

ECBTI/Sur/Herramientas Teleinformáticas Malware. Hernando Arbey Robles Puentes. Neiva, 8 de Septiembre de 2014

CAPITULO I FORMULACION DEL PROBLEMA

TECNOLÓGICO NACIONAL DE MÉXICO Instituto Tecnológico De Tijuana SEMESTRE 1 ENERO-JUNIO TI1A. UNIDAD 5.

El vínculo entre el software pirata y las violaciones a la seguridad cibernética

Evolución de los bankers

TERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad

Capítulo 5. Cliente-Servidor.

CAPITULO IV. HERRAMIENTAS DE CÓDIGO ABIERTO

Un sistema adecuadamente refrigerado debe mantener una temperatura de grados.

Malware en América Latina y el Caribe durante el primer trimestre del 2011

Portal de Compras del Gobierno del Estado de Baja California ( A. Antecedentes

Rogue: Falsos antivirus gratis

F-Secure Anti-Virus for Mac 2015

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

Mac, de nuevo atacado por programas maliciosos

G Data Informe técnico. Behaviour Blocking. (Escudo de comportamiento) Go safe. Go safer. G Data. Marco Lauerwald Marketing

LA RED INTERNET Conceptos básicos.

Beneficios de los productos de Faronics

SEGURIDAD INFORMATICA. 1. Investiga el significado de los siguientes términos relacionados con la seguridad informática:

Kaspersky Anti-Virus 2012 Kaspersky Internet Security 2012

RECETA ELECTRÓNICA Informe de Seguridad

MINISTERIO DE COMERCIO EXTERIOR Y TURISMO LEY LEY QUE NORMA LA ADQUISION Y ADECUACION DEL SOFTWARE EN LA ADMINISTRACION PUBLICA

Estrategia de Cómputo en la Nube. Servicios en la Nube

INFORME TÉCNICO ADQUISICIÓN DE SOFTWARE ANTIVIRUS APLICACIÓN DE REGLAMENTO DE LA LEY N SOBRE USO Y ADQUISICIÓN DE SOFTWARE EN EL ESTADO

Informe de Amenazas CCN-CERT IA-02/14. Riesgos de uso de Windows XP tras el fin de soporte

Infraestructura Tecnológica. Sesión 5: Arquitectura cliente-servidor

Guía de Instalación. Antivirus PC Tools Internet Security

Bloquean el tráfico basándose en un esquema de aplicaciones fiables - no fiables.

Infraestructura Tecnológica. Sesión 2: Mejoras adicionales al servidor de archivos

Lorena Ceballos Jesenia Gómez 10 I2


Taller Regional sobre Ciberseguridad y Protección de la Infraestructura Crítica. Sesión 4: Supervisión, alerta y respuesta en caso de incidente.

Traslado de Data Center

PROPUESTA DE INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE ADQUISICIÓN DE LJCENCIAS DE SOFTWARE ANTIVIRUS

Plan de Estudios. Diploma de Especialización en Seguridad Informática

Windows Server 2012: Infraestructura de Escritorio Virtual

SEGURIDAD Y PROTECCION DE FICHEROS

FRAUDE FINANCIERO. El fraude financiero se puede concebir como la distorsión de la información

Factores en el mercado de seguridad TI en la protección de la información y los accesos remotos

Infraestructura Tecnológica. Sesión 1: Infraestructura de servidores

REGISTRO DE EMPRESAS Y PERSONAS BASE DE INFORMACIÓN DE CLIENTES & CONTACTOS

Elementos requeridos para crearlos (ejemplo: el compilador)

Guía del empleado seguro

infinitum Guía de Instalación Antivirus Pc Tools Internet Security

Procedimiento de Gestión de Incidentes de Seguridad de la Información

Análisis de un ataque de malware basado en web. Autor: Jorge Mieres jorge.mieres.ef#gmail.com (febrero de 2009)

Qué es el pharming? Cómo se lleva a cabo un ataque de pharming? Pharming

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS

e-commerce, es hacer comercio utilizando la red. Es el acto de comprar y vender en y por medio de la red.

Procedimiento de desconexión de equipos de la red de datos por motivos de seguridad UC3M

Semana 12. Instalación de antivirus. Semana 12. Empecemos! Qué sabes de...? El reto es... Instalación de antivirus

Lección 6: Malware. Bernardo Quintero Hispasec VirusTotal Founder

GUÍA TÉCNICA PARA LA DEFINICIÓN DE COMPROMISOS DE CALIDAD Y SUS INDICADORES

PUA o Aplicaciones potencialmente peligrosas

CAPÍTULO VI CONCLUSIONES Y RECOMENDACIONES

Servicios Administrados de Infraestructura

Manual Online Gestión de Incidentes y Antivirus

1. Que es un nombre de dominio? Es un conjunto de caracteres alfanuméricos utilizados para identificar una computadora determinada en Internet.

Transcripción:

Revista Digital Universitaria MALWARE, UNA AMENAZA DE INTERNET Luis Fernando Fuentes UNAM-CERT Universidad Nacional Autónoma de México lfuentes@seguridad.unam.mx

Resumen Revista Digital Universitaria La cantidad de malware y la evolución de sus técnicas de infección y propagación se han incrementado de manera considerable a través de los últimos años, lo cual se convierte en un problema que debemos enfrentar y al que están expuestos todos los usuarios de Internet. 3-xx

Inicio MALWARE, UNA AMENAZA DE INTERNET http://www.revista.unam.mx/vol.9/num4/art22/int22.htm El malware es un término general, proveniente de la contracción malicious software, que se le ha adjudicado a todo aquel software que perjudica a la computadora. Actualmente, es una de las principales amenazas que afectan a los sistemas de cómputo. Puede tratarse de un virus, un caballo de Troya, una puerta trasera (backdoor), un programa espía (spyware), hasta un devastador gusano que puede echar abajo toda una infraestructura de red, aun redes nacionales y corporativas. A causa del malware, derivan otros ataques como: DDoS (Distributed Denial Of Service), distribución de correo spam, propagación de virus y gusanos hacia otras redes, sitios phishing, expansión de botnets (redes de equipos comprometidos), fraudes de banca electrónica, pharming y su variante de pharming by driving, entre otros. El malware es cada vez más sofisticado, muchas soluciones de prevención, como el software antivirus y antispyware, se están viendo superadas, en el tiempo de respuesta, por estas amenazas, lo cual se debe a que el virus aprovecha las ventajas de la tecnología para ser nocivo, rápido y sutil en la forma de engañar a sus víctimas. La propagación de este conflicto tiene su origen en aspectos como: la escasa atención a las actualizaciones del sistema operativo; el no adoptar esquemas de actualización centralizadas; la falta de mecanismos de prevención en los equipos, como implementar buenas prácticas de seguridad: firewalls personales, actualizaciones en el software antivirus, etc. El análisis de malware Para investigar acerca de los códigos maliciosos es necesario contar con mecanismos que permitan estudiar la manera en que opera el malware, uno de éstos consiste en la realización de un análisis bajo ambiente controlado que permita generar información para mitigar el impacto, alertando a los involucrados. El análisis de malware se compone principalmente de dos técnicas. La primera consiste en el examen de comportamiento (análisis dinámico), y el estudio de su código (análisis estático). La segunda técnica es más compleja que la primera, puesto que se requiere de aplicar técnicas como la ingeniería inversa y depuradores para desensamblar el código, debido a que la mayoría de las ocasiones se parte de un archivo binario y no se cuenta con el código fuente. Es necesario tener un conocimiento técnico avanzado para interpretar el código desensamblado o código máquina. Además, en algunas ocasiones esta técnica es muy laboriosa y exige una fuerte inversión de tiempo sin arrojar resultados concretos o datos que trasciendan en el análisis. La otra parte con la que se complementa el análisis de malware, el análisis de comportamiento, no resulta tedioso y monótono y es un proceso mucho más atractivo para los investigadores y por el cual prefieren comenzar. El objetivo del análisis de comportamiento (behaviour analysis), es investigar la actividad del malware en el sistema comprometido. El comportamiento se puede observar a través de un ambiente controlado, ya sea virtual o bien, por medio de una red donde esté limitado el tráfico con el propósito de evitar la propagación e infección hacia otros equipos de la organización. En este punto, se monitorea la actividad de los procesos maliciosos que ejecuta el malware, los puertos que abre, su actividad en la red (es decir, si se comunica a un servidor remoto o a algún dominio), el tipo de protocolo que utiliza para comunicarse con él (HTTP, IRC, etc.) y la manera en que se activa en el sistema comprometido (que puede ser mediante la activación de un servicio o iniciándolo directamente desde los archivos de inicio). Para este proceso, resulta más sencillo utilizar equipos virtuales, pues permiten regresar al escenario original de manera más sencilla, aunque algunos binarios maliciosos ya son capaces de detectar este tipo de ambientes para evitar su ejecución y de esta forma dificultar su análisis. 4 -xx

Revista Digital Universitaria La importancia del análisis de Malware surge por la clara evolución y tendencia de esta amenaza, así como de la necesidad de alertar a la comunidad acerca de los nuevos códigos maliciosos que se alojan dentro de sus redes, y pueden presentar nuevas técnicas y métodos de propagación, lo cual los hace más difíciles de identificar y de erradicar por parte de las firmas antivirus. Técnicas de propagación La ventaja que tiene el malware, en comparación con otras sofisticadas técnicas de intrusión, es que aprovecha, la mayoría de las ocasiones, la inocencia de los usuarios; es decir, los desarrolladores de malware utilizan técnicas como ingeniería social para engañar y abusar de sus víctimas, aunque no debemos dejar de lado el hecho de que las técnicas evolucionan de manera permanente. Anteriormente, los intrusos desarrollaban códigos maliciosos para poner a prueba sus conocimientos en cómputo y era común propagarlos a través de dispositivos de almacenamiento como diskettes y CD-ROM. Generalmente estos códigos informáticos infectaban los sectores de arranque o renombraban algún archivo válido del sistema para evitar su adecuado funcionamiento. El malware de aquella época requería de la intervención del usuario para infectar el equipo. Hoy en día, estas técnicas de infección y de propagación son obsoletas. El malware de esta generación es capaz de autoreplicarse aprovechando alguna vulnerabilidad o simplemente con incrustar código a través de alguna aplicación, aunado a que los intereses de los atacantes también han cambiado: ahora enfocan el desarrollo de sus códigos para robar información sensible, modificar registros DNS (Domain Name Services), explotar vulnerabilidades, usurpar sitios Web, etc., buscando con ello algún beneficio económico. Un ejemplo palpable de esta evolución es que a partir de Julio del 2007, se comenzó a identificar malware dirigido a las redes mexicanas, dicho malware es indiscutiblemente desarrollado por bandas mexicanas dedicadas al ciber crimen. Los primeros indicios de estos códigos empleaban técnicas de pharming (modalidad utilizada por los intrusos que consiste en suplantar el Sistema de Resolución de Nombres de Dominio DNS, Domain Name System, con el propósito de conducir al usuario a una página Web falsa), esto lo realizaban modificando la información del archivo hosts del sistema comprometido, principalmente dirigiendo a los usuarios hacia sitios bancarios falsos. Después, comenzaron a explotar vulnerabilidades utilizando estas técnicas de modificación de tablas DNS con dispositivos routers, con ello no solamente pueden redireccionar un equipo al destino falso sino todos aquellos que tengan acceso a red mediante este dispositivo. Seguido de esta evolución, los atacantes comenzaron a combinar la modificación del archivo hosts con la usurpación del sitio bancario en el propio equipo infectado con la intención de que su víctima realice sus transacciones bancarias ahí mismo y los datos confidenciales sean enviados hacia otro servidor remoto. Desde el nacimiento del proyecto Malware de la UNAM, se ha identificado claramente la evolución de los códigos maliciosos, algunos otros ejemplos que demuestran esto son: el impacto que han tenido las botnets, los códigos maliciosos empaquetados para evitar ser analizados; el surgimiento de códigos híbridos que combinan características de gusanos con bots y troyanos y la manera en que el malware de esta época utiliza técnicas de polimorfismo y metamorfismo para evitar ser detectado por las firmas Antivirus. Sin embargo, esta evolución se puede resumir con mencionar que estamos ante una nueva generación de malware que está incrementando de manera vertiginosa sus habilidades para propagarse y causar daño. Estamos ante códigos maliciosos con características destructivas más variadas, incluyendo multiplataforma, multiexploit, que aprovechan vulnerabilidades de día cero, con una rápida capacidad de propagación, y el empleo de nuevas estrategias de ofuscamiento para cambiar su apariencia y su comportamiento (polimorfismo y metamorfismo respectivamente). 5-xx

Conclusiones MALWARE, UNA AMENAZA DE INTERNET http://www.revista.unam.mx/vol.9/num4/art22/int22.htm No cabe duda, las nuevas vulnerabilidades de Internet se hacen tangibles con la presencia de códigos maliciosos que ponen en riesgo la seguridad de los datos de los usuarios, provocando un número considerable de delitos que derivan en pérdidas económicas personales o para toda una organización, a tal grado, que no hace falta contar con algún tipo de armamento para realizar históricos asaltos bancarios o dejar sin funcionamiento una corporación, sino basta con propagar un malware a través de Internet y esperar a que la actividad maliciosa surja efecto. Los intrusos van perfeccionando sus técnicas. Se trata de individuos que trabajan en conjuntos bien organizados por lo que resulta de mucha utilidad seguir sus pasos, analizar sus herramientas y códigos para tener la capacidad de contrarrestar su impacto, además de conocer sus tendencias. Si no se conoce como actúa un intruso, no se tendrá la habilidad para enfrentarlo. Paralelo a esto, se debe inculcar una cultura de seguridad en las organizaciones y utilizar métodos preventivos que difundan el uso de herramientas para la protección de los sistemas de cómputo, así como el empleo de buenas prácticas de seguridad en las dependencias. 6 -xx

Bibliografía Revista Digital Universitaria Roger A. Grimes Malicious Mobile Code: Virus Protection for Windows O Reilly Computer Security. Ed Skoudis Malware: Fighting Malicious Code. Luis Fernando Fuentes Códigos Maliciosos, Propiedad intelectual UNAM-CERT. Mesografía Usuario Casero - http://www.seguridad.unam.mx/doc/?ap=prf&id=194 Malware UNAM - http://www.malware.unam.mx/ Blog Malware - http://www.malware.unam.mx/blog.dsc?semana=10&anio=2008 Casos Pharming - http://www.seguridad.unam.mx/pharming.dsc#julio 7-xx

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback