Download - Seguridad informática
Seguridad informáticaSeguridad informática
Virus y otras amenazasVirus y otras amenazas
Alejandro Silvestri2008
Presentación basada en el libro de W. Stallings, Cryptography and Network Security, 4º ed.
Terminología deprogramas maliciosos
Fases del virus• Fase dormida
– El virus está inactivo, a la espera de un evento que lo despierte. No todos los virus pasan por esta fase
• Fase de propagación– El virus realiza copias de sí mismo en otros
programas• Fase de disparo
– Un evento activa el virus para realizar su propósito
• Fase de ejecución– Lleva a cabo su propósito, que puede ser
inofensivo o dañino
Estructura• Un virus se inserta en un programa
– Normalmente al final del archivo ejecutable• El virus puede comprimir el programa para no
aumentar la longitud del archivo infectado
– Altera la primera instrucción del ejecutable para que salte al código del virus
• Ejecución– El virus se activa en un thread o se cuelga de
un evento– Luego ejecutva el programa anfitrión
Tipos de virus• Parasitario
– En el momento de ejecutar el programa infectado, el virus se activa, se replica, verifica si debe dispararse y si no se desactiva
• Residente en memoria– Al activarse el virus se cuelga de algún evento para
ejecutarse cada vez que ocurre el evento• Eventos de reloj: el virus se ejecuta periódicamente• Eventos de disco: el virus intenta infectar medios de
almacenamiento removibles• Eventos de mail
• Virus de boot– El virus desplaza el código del sector de boot– Se activa solamente cuando se bootea de un disco
infectado
Adaptación de los virus• Virus camuflado
– Diseñado para pasar desapercibido y no detectado por los antivirus
• Virus polimórfico– Muta con cada infección
• Suele encriptarse con distinta clave para evitar patrones
• Virus metamórfico– Muta reescribiendo su código, y a veces
alterando su comportamiento
Virus de alto nivel• Virus de macro
– No infectan programas, sino documentos– Son independientes de la plataforma
• Pero dependiente de la máquina virtual
– Office ofrece protección contra estos virus, restando funcionalidad a las macros
• Virus de e-mail– Son un tipo de virus de macro, que se disparan
con eventos de mail– No requieren infectar otros mails, sino que
propagan automáticamente el “mail virus” original
Worms• Son un tipo de virus que se propagan
por la red en vez de infectar programas
• Logran hacerse ejecutar de forma remota, a través de– Capacidades de ejecución remota– Login remoto– Facilidades de mail
Worms: Estado del arte• Multiplataforma• Vulnerabilidades múltiples
(multiexploits)• Diseminación ultrarrápida• Polimorfismo• Metamorfismo
• Vehículo de transporte• Vulnerabilidad del día cero
Antivirus• Detección• Identificación• Remoción
Generaciones de antivirus• 1ª generación
– Scanners: barrido simple buscando patrones
• 2ª generación– Scanners heurísticos
• Chequeo de integridad• Desencripción de virus• Patrones de comportamiento generales
Generaciones de antivirus• 3ª generación
– Trampas de virus• Programas residentes en memoria que
interceptan acciones comunes de los virus, e incluso pueden detener la infección
• 4ª generación– Paquetes de software que combinan
todas las modalidades anteriores
Técnicas avanzadas de antivirus
• Descripción genérica (GD)– Busca comportamientos genéricos
• Emulador de CPU• Scanner de firmas
• Sistema digital inmune– Expande la emulación anterior, emulando el
mundo entero alrededor del virus, para poder analizarlo sin riesgo
– El analizador automáticamente reconoce las capacidades del virus y propone (e implementa) contramedidas
DDOS• Distributed Denial of Servie Attacks
– Muchas máquinas simultáneamente atacan a través de Internet a un servidor
• Ataque de recursos internos– Colmar el servidor con requerimientos que
rebasan su capacidad
• Ataque de recursos externos– Consume los recursos de transmisión de datos,
inundando el acceso de paquetes
DDOS• Ataque directo
– Una máquina zombie es una máquina de terceros controlada por el atacante de forma remota vía Internet
• El atacante puede usar máquinas zombies que controlen otras máquinas zombies, complicando el rastreo
– Todas las máquinas zombies envían peticiones al servidor atacado
• Ataque reflector– Se envía una enorme cantidad de peticiones falaces a
una gran cantidad de máquinas, falsificando la dirección IP origen, reemplazándola por la IP del servidor atacado
– La gran cantidad de máquinas responderá al servidor que el pedido no puede ser cursado