seguridad informática

Seguridad informáticaSeguridad informática

Virus y otras amenazasVirus y otras amenazas

Alejandro Silvestri2008

Presentación basada en el libro de W. Stallings, Cryptography and Network Security, 4º ed.

Terminología deprogramas maliciosos

Fases del virus• Fase dormida

– El virus está inactivo, a la espera de un evento que lo despierte. No todos los virus pasan por esta fase

• Fase de propagación– El virus realiza copias de sí mismo en otros

programas• Fase de disparo

– Un evento activa el virus para realizar su propósito

• Fase de ejecución– Lleva a cabo su propósito, que puede ser

inofensivo o dañino

Estructura• Un virus se inserta en un programa

– Normalmente al final del archivo ejecutable• El virus puede comprimir el programa para no

aumentar la longitud del archivo infectado

– Altera la primera instrucción del ejecutable para que salte al código del virus

• Ejecución– El virus se activa en un thread o se cuelga de

un evento– Luego ejecutva el programa anfitrión

Tipos de virus• Parasitario

– En el momento de ejecutar el programa infectado, el virus se activa, se replica, verifica si debe dispararse y si no se desactiva

• Residente en memoria– Al activarse el virus se cuelga de algún evento para

ejecutarse cada vez que ocurre el evento• Eventos de reloj: el virus se ejecuta periódicamente• Eventos de disco: el virus intenta infectar medios de

almacenamiento removibles• Eventos de mail

• Virus de boot– El virus desplaza el código del sector de boot– Se activa solamente cuando se bootea de un disco

infectado

Adaptación de los virus• Virus camuflado

– Diseñado para pasar desapercibido y no detectado por los antivirus

• Virus polimórfico– Muta con cada infección

• Suele encriptarse con distinta clave para evitar patrones

• Virus metamórfico– Muta reescribiendo su código, y a veces

alterando su comportamiento

Virus de alto nivel• Virus de macro

– No infectan programas, sino documentos– Son independientes de la plataforma

• Pero dependiente de la máquina virtual

– Office ofrece protección contra estos virus, restando funcionalidad a las macros

• Virus de e-mail– Son un tipo de virus de macro, que se disparan

con eventos de mail– No requieren infectar otros mails, sino que

propagan automáticamente el “mail virus” original

Worms• Son un tipo de virus que se propagan

por la red en vez de infectar programas

• Logran hacerse ejecutar de forma remota, a través de– Capacidades de ejecución remota– Login remoto– Facilidades de mail

Worms: Estado del arte• Multiplataforma• Vulnerabilidades múltiples

(multiexploits)• Diseminación ultrarrápida• Polimorfismo• Metamorfismo

• Vehículo de transporte• Vulnerabilidad del día cero

Antivirus• Detección• Identificación• Remoción

Generaciones de antivirus• 1ª generación

– Scanners: barrido simple buscando patrones

• 2ª generación– Scanners heurísticos

• Chequeo de integridad• Desencripción de virus• Patrones de comportamiento generales

Generaciones de antivirus• 3ª generación

– Trampas de virus• Programas residentes en memoria que

interceptan acciones comunes de los virus, e incluso pueden detener la infección

• 4ª generación– Paquetes de software que combinan

todas las modalidades anteriores

Técnicas avanzadas de antivirus

• Descripción genérica (GD)– Busca comportamientos genéricos

• Emulador de CPU• Scanner de firmas

• Sistema digital inmune– Expande la emulación anterior, emulando el

mundo entero alrededor del virus, para poder analizarlo sin riesgo

– El analizador automáticamente reconoce las capacidades del virus y propone (e implementa) contramedidas

DDOS• Distributed Denial of Servie Attacks

– Muchas máquinas simultáneamente atacan a través de Internet a un servidor

• Ataque de recursos internos– Colmar el servidor con requerimientos que

rebasan su capacidad

• Ataque de recursos externos– Consume los recursos de transmisión de datos,

inundando el acceso de paquetes

DDOS• Ataque directo

– Una máquina zombie es una máquina de terceros controlada por el atacante de forma remota vía Internet

• El atacante puede usar máquinas zombies que controlen otras máquinas zombies, complicando el rastreo

– Todas las máquinas zombies envían peticiones al servidor atacado

• Ataque reflector– Se envía una enorme cantidad de peticiones falaces a

una gran cantidad de máquinas, falsificando la dirección IP origen, reemplazándola por la IP del servidor atacado

– La gran cantidad de máquinas responderá al servidor que el pedido no puede ser cursado