el malware en mac os x no es un juego de niños

BitDefenderMAXIMUM SECURITY. MAXIMUM SPEED.

El Malware en Mac OS X no es un juego

de niños

Whoami

● He trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5) y diversas metodologías de seguridad. También colaboro sobre seguridad y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guadia Civil y la Brigada de Investigación Tecnológica de la policia nacional.

También he participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación nato secret.

Actualmente soy miembro de la Spanish Honeynet Project y trabajo como Information Security and Forensics Consultant para dos grandes compañías como Bitdefender y Google inc.

http://conexioninversa.blogspot.com

Agenda:

Bitdefender

Escenario actual del malware

Malware & Mac OSX

Casos reales

Conclusiones

• Fundada en 2001

• Un Líder de Soluciones Anti-Malware Proactivas

• La Tecnología Utilizada por los Partners OEM y 10 Millones de Clientes en

Todo el Mundo

• Distribución en más de 100 países

• Nueve Oficinas Internacionales de

Ventas

- Sede de Marketing Mundial en Silicon

Valley

- Sede Mundial OEM en Silicon Valley

• Producto Disponible en 18 Idiomas

BitDefender de un Vistazo


Escenario actual del malware

Escenario de Amenazas - El Pasado

Virus

Gusanos de correo

Gusanos exploit

Rootkits

Troyanos de puerta

trasera

Fuentes de ataque

DispositivoExtraíble

Clientes de

Mensajería

Instantánea

Tipos de amenazas Medios de Proliferación

Adjuntos de

correoScript Kiddies

Escenario de Amenazas de Internet - Presente

Virus

Gusanos de correo

Gusanos exploit

Gusanos P2P

Gusanos IM

Rootkits

Troyanos de puerta

trasera

Spyware

Adware

Greyware

Fuentes de ataque

Sitios Web Multimedia Legítimos

Comprometidos

Dispositivos

extraíbles

Dispositivos

Móviles

Redes Públicas

Wi-Fi

Clientes de Mensajería Instantánea

Hackers

Aplicaciones Web 2.0

Tipos de amenazas Medios de Proliferación

Adjuntos de

Correo SPAM

Empresas Legítimas

Redes P2PPhishingCrimen organizado

Gobiernos extranjeros

Malware & Mac OSX


Malware y otros

monstruos en

Mac OSX

Trojan.OSX.Jahlav.A: El troyano Jahlav fue descubierto a final de 2008, cuando comenzó a ser distribuido como un códec de vídeo falso, con el fin de atraer a los usuarios para descargar e instalar el malintencionado DMG de archivos, los creadores de este malware crearon una página con un "supuesto" vídeo. Si el usuario instalaba este falso codec, comenzaban a descargarse troyanos maliciosos desde un servidor web remoto.

Trojan.OSX.RSPlug.A: El troyano RSPlug es uno de los más peligrosos para sistemas Mac OS X. También con la escusa de un codec engaña al usuario a descargar e instalar el DMG infectado. RSPlug está presente en sitios web con contenido pornográfico. Una vez instalado, el troyano suplanta los servidores DNS para redirigir el tráfico a páginas de phishing, para así recoger información sensible como datos bancarios, correo electrónico......

Tool Trojan.OSX.HellRTS.A: Se trata de un kit de desarrollo de software malicioso complejo que permite a un atacante desarrollar su propia pieza de malware para Mac OS X a partir de una aplicación cliente-servidor, donde el servidor es el servicio de puerta trasera que se ejecuta en la máquina infectada y la aplicación cliente es usada por el atacante para ejecutar comandos. Este troyano diversas acciones contra nuestro equipo que van desde operaciones extremadamente dañinas hasta visionar el trabajo del usuario sin su conocimiento a través del módulo de Vista del escritorio.

Trojan.OSX.OpinionSpy.A: Este malware se instala normalmente a través de aplicaciones de libre distribución como salvapantallas. El troyano OpinionSpy permite controlar la actividad del usuario y envía información sensible del mismo fuera de su ordenador. Esta amenaza supone un importante riesgo para la privacidad del usuario y para la seguridad de los datos almacenados.

Trojan.OSX.Boonana.A: Boonana es un malware multiplataforma basado en Java que se puede ejecutar en Windows, Mac OS X o Linux y que utiliza las redes sociales como medio de propagación para descargar software malicioso. Entre sus acciones está la de alojar un par de archivos maliciosos en una carpeta invisible llamada “. Jñana“. A continuación, instala un servidor de IRC local y uno web, entre otros. El malware Boonana intenta cambiar la configuración del servidor DNS con el fin de realizar ataques phishing.

R.A.T. (Remote Administration Tool):

Hellraiser

-Shell remota

- Acceso sistema

ficheros

- Petición autenticación

- Spotlight remoto

- Keylogger SMTP

Referencia:

http://ithreats.net/2010/04/20/rat-for-mac/

El más divertido

MACDEFENDER

Rogue AV que llamaron MacDefender y lo distribuyeron con técnicas de BlackSEO por Internet.

Cuando las casas de antivirus empezaron a firmarlo los creadores de de MacDefender lo mutaron para sacar MacSecurity y MacProtector, hasta llegar a saturar los servicios profesionales de soporte de Apple

A raíz de este punto se emitió un artículo en la knowledge base reconociendo que existía el problema, cómo quitarlo y que sacarían una Security Update para su solución.

Los origenes

Se remontan a ChronoPay por la dirección de correo electrónico

de ChronoPay a nombre de Alexandra Volkov. La dirección de

correo electrónico aparece en el registro de dominio para mac-

defence.com y macbookprotection.com, dos sitios web de los

usuarios de Mac están dirigidas a fin de comprar el software de

seguridad.

ChronoPay es el procesador de pagos ‘on-line’ más grande de

Rusia. Los sitios web fueron acogidos en Alemania y fueron

suspendidos por Webpoint.com.

ChronoPay anteriormente había sido vinculado a otra estafa en

la que los usuarios que participan en el intercambio de archivos

se les pidió pagar una multa por desbloquear el software

VIDEO DEMO

Un malware

en la oficina

CASO 1:

Problema:

Entidad financiera deja de operar en todos sus cajeros y

servicios web debidos a un mal funcionamiento de servicios

centrales.

Impacto:

Mala imagen. Perdida de reputación, la duración del problema se

traslado durante horas

Análisis

Red nativa en Windows, Active Directory, Exchange y…

CASO 1:

10:20 h del 17 de Agosto de 2010.

Los usuarios de la LAN se quejan de que la red empieza a ser lenta

Servicios de directorio empiezan a fallar

12:30 h

Las unidades de red se desconectan cada cierto tiempo

Los servidores funcionan correctamente pero la red no da servicio

Se piensa y se comprueba:

Un mal fallo en los Routers de la instalación

Un nuevo especimen de malware se ha instalado y los AV no son capaces

de detectarlo

Un reciente actualización del aplicativo financiero ha provocado la

inestabilidad

Monitorizar ancho de banda

Grabar ficheros de tráfico de red .PCAP

Pasarlos por SNORT y Ooopsss!!! Sorpresa!!

Tenemos una IP de origen y precioso mac ¡¡Hora del análisis!!

Análisis

Obtención del disco duro de forma integra (con sus huellas) por

medio tradicional :

(orden dependiente de cómo se encuentra el sistema)

Clonado del disco(s)

Volcado de la memoria

Análisis manual o semiautomático

VOLAFOX

VIDEO DEMO

Hora del análisis…

Verificamos lo último que se ha descargado y nos encontramos con un

paquete llamado IWORK 09

Analizando el paquete vemos que hay un fichero

Este se encuentra en:

/System/Library/StartupItems/iWorkServices

con atributos de read+write+execute

Despues de la ejecución la puerta trasera verifica si eresadministrador (sudo mode) utilizando "_geteuid" y"_getpwuid"

Si no se ejecuta como administrador sale de la instalación


Crea los siguientes ficheros:

/System/Library/StartupItems/iWorkServices/iWorkServices

/System/Library/StartupItems/iWorkServices/StartupParameters.plist

/usr/bin/iWorkServices

Y el fichero "StartupParameters.plist" contiene los siguientes datos:

{Description = "iWorkServices";Provides = ("iWorkServices");Requires = ("Network");OrderPreference = "None";}

e intenta conectarse a:

69.92.177.146:59201

qwfojzlk.freehostia.com:1024


p2punlock

platform

rand

rshell

script

sendlogs

set

shell

sleep

socks

system

uid

unknowns

uptime

banclear

clear

get

httpget

httpgeted

leafs

nodes

p2pihist

p2pihistsize

p2plock

p2pmode

p2ppeer

p2ppeerport

p2ppeertype

p2pport

Botnets en Mac OS X: iBotnet

-Desplegada en Abril 2009.Ya existe una versión. F enel 2011

-Infección mediante copias piratas de:

- iWork 09’

- Photoshop CS4.

-Usando redes P2P

http://www.securitybydefault.com/2009/04/ibotnet-red-basada-en-macs-zombies.html

El Malware en Mac OS X ¡Existe!

Keylogger

Rootkits

BotnetsVirus

Spyware

Troyanos

Conclusiones ConclusionesHola Frank,

¿que haces

por aquí?

Me encontre un

Mac, sin

insecticida

El Malware en Mac OS X ¡Existe!

Keylogger

Rootkits

BotnetsVirus

Spyware

Troyanos

Conclusiones

Pero lo peor de todo

SON LOS TROYANOS…

Troyanos humanos

Pedimos ayuda a Bitdefender

Enviamos las firmas y en menos de cuatro horas

disponiamos de una herramienta para su limpieza

Características a día de hoy:

– Protección en tiempo real

– Detección ampliada

– Fácil de usar

– Análisis inteligente de virus

• Firmas

• Análisis Heurístico estático

• Análisis Heurístico dinámico B-Have

Bitdefender 2011 for Mac

Administración

Centralizada

Protección

Proactiva

Protección y Administración del Cliente

Administración del Servidor y de Puntos Finales

• Capacidades de Administración de Red Integradas

– Versión de Microsoft del Lenguaje Script de Web-Based Enterprise

Management (WBEM) para Puntos Finales y Servidores

• Se incluyen más de 30 plantillas WMI Script Predefinidas– Cientos de Scripts Disponibles de forma Pública, Administración Remota

Automatizada:

• Termina aplicaciones y procesos

• Instala y desinstala software (incluyendo otras soluciones AV)

• Reiniciar o apagar las estaciones de trabajo

• Activar/desactivar autoejecutables y unidades extraíbles USB

• Paquetes de Instalación Cliente / Servidor Personalizables

– Seleccionar características de la instalación y desactivar funciones no deseadas

– Analizar el sistema antes de la Instalación

Referencias…

http://www.seguridadapple.com

http://www.malwarecity.com

http://conexioninversa.blogspot.com

http://www.bitdefender.es

[email protected]

http://twitter.com/#!/ConexionInversa

¿Preguntas?

el malware en mac os x no es un juego de niños

Technology