introducción al malware - cryptomex.org · características básicas del malware • replicación...

Seguridad Informática Roberto Gómez Cárdenas

Introducción al Malware 1

Roberto Gómez CárdenasLámina 1

Introducción al malware

Dr. Roberto Gómez Cá[email protected]

http://homepage.cem.itesm.mx/rogomez


Contenido

• Definición• Virus• Gusanos• Caballos de troya• Backdoor




¿Malware?

• Los códigos maliciosos o malware son capaces de ocasionar algún daño en una computadora o en la información, eliminando archivos o provocando que la computadora reiniciara sin consentimiento del usuario.


Características básicas del malware

• Replicación• Métodos de ocultamiento• Activación• Manifestación• Explotación y escalamiento de privilegios




Replicación

• La capacidad para duplicarse a si mismo.• Si un programa cuenta con esta característica se le considera

virus, sin importar que tenga alguna otra característica.• Al principio, estos programas se difundían mediante dispositivos

de almacenamiento externo como disquetes, CDROMs, cintas magnéticas, etcétera y debían ser activados con la ayuda del usuario.

• Sin embargo, los atacantes han aprovechado las ventajas de la tecnología para que sus códigos puedan expandirse y se auto-propaguen a través de todo Internet, al aprovechar principalmente fallas en los sistemas operativos, malas configuraciones y la ingenuidad de los usuarios.


Ocultamiento

• Es la capacidad que tiene el código malicioso para evadir las protecciones comunes de los sistemas operativos, detectores de intrusos y sistemas antivirus– Cifrado (Polimorfismo Básico)– Polimorfismo Avanzado o Metamorfismo– Cambio de extensiones– Companion/Hidra o Multi-infector




Activación

• Es la capacidad del código malicioso para activarse, comúnmente:– Contador– Doble Click– Encender la computadora– Ejecutar un programa– Etc.


Manifestación

• Comúnmente es la capacidad que nos hará notar que tenemos código malicioso en nuestro ordenador.– Enviar un mensaje– Formatear el disco rígido– Borrar información– Modificar información– Robar Información– Deteriorar el rendimiento de la infraestructura de red– Etc.




Daños que puede provoca

• Trivial– Solo replicarse

• Moderado– Destrucción de la Información

• Mayor– Corrupción de Archivos o Información

• Severo– Alteración o Modificación de la Información

• Ilimitado– Robo de Información


Tipo de malware

• Virus• Bombas lógicas• Macrovirus• Troyanos• Backdoors• Polimorfismo/metamorfismo• Bootsector• Gusanos• Multipartitas• Virus script




Virus

• Un virus se define como una porción de código de programación cuyo objetivo es implementarse a si mismo en un archivo ejecutable y multiplicarse sistemáticamente de un archivo a otro.

• Además de esta función primaria de "invasión" o "reproducción", los virus están diseñados para realizar una acción concreta en los sistemas informáticos


Ejemplos de virus

• El caballo de Troya • El pakistaní• El cascada • El Alabama • El Jerusalén• El Miguel Angel• El ping pong • El Viena

• El natas • El dos piernas • El stoned noit• El Dark Aveger• El ping pong • El I love you• El trojan• El killer




Variantes relacionadas con virus

• En ocasiones de habla de estas variantes como si de virus se tratara, cuando en realidad son conceptualmente diferentes.

• Algunos antivirus pueden detectarlos.• Estas variantes son:

– Troyanos– Gusanos– Bomba lógica


Es un programa que produce copias de símismo de un sistema a otro a través de la red; en las máquinas que se instala, produce enormes sobre-cargas de procesamiento que reducen la disponiblidad de los sistemas afectados.

Los gusanos




El gusano navidad.exe (1)








El Caballo de Troya

• Objetivo principal: recuperación información confidencial de un organismo o un usuario.

• Se basa en substituir un programa de servicio común por uno alterado por el intruso para recuperar información.




Un ejemplo de caballo de Troya

• El Caballo de Troya por login es uno de los más comunes.

• En este ataque, el usuario encuentra su estación de trabajo con una pantalla solicitándole su login.

• El usuario inadvertido teclea su login y su passwordcomo de costumbre; esta vez recibiendo un mensaje de error.

login: mbuiPassword:Login incorrect


Continuación del ejemplo

• En el segundo intento, el usuario logrará acceder al sistema.

• El no sabe que su password fue almacenado en algún archivo donde, más tarde, el creador del Caballo de Troya lo recuperará.

• El falso programa de login, después de almacenar el password robado, invoca el verdadero programa de login, dejando al usuario actuar con una nueva sesión de login.




Trapdoors, backdoors o puertas traseras

• Es frecuentemente creado por el diseñador del sistema; sin embargo, en ocasiones existe por accidente.

• Algunas veces es creado durante las pruebas de implementación de un sistema y después es olvidado.

• Otras veces, es usado por el proveedor para “atar” al cliente que compro dicho sistema.


Ejemplo puerta trasera

• Programa buscaminas de Windows 2000• Correr Minesweeper, teclear “xyzzy” y presionar

Shift + Enter.• Buscar un pixel blanco en la parte superior

izquierda de la pantalla– si no se ve configurar pantalla– conforme se mueve el raton por las celdas del

buscaminas el pixel desaparece y aparece: desaparece cuando hay una mina en la celda y viceversa




Precauciones a tomar en cuenta

• Estar seguros de que en realidad se necesita el software

• No pueden proporcionarmelo en el área de sistemas.

• Preguntar si alguien más lo ha usado y si ha tenido problemas.

• De preferencia que sea software recomendadopor la misma marca del browser.


Virus, backdoors y caballos troya

• Diferencias que hay que tomar en cuenta para protegernos mejor

• Virus– el programa por sí solo se ejecuta– vive dentro de otro programa– escala en memoria

• Backdoor– después de que alguien “entró” al sistema lo deja para seguir

con el control sobre el sistema.• Caballo de troya

– se le envía al usuario para que lo ejecute




Bombas lógicas

• Una bomba lógica es una modificación en un programa que lo obliga a ejecutarse de manera diferente bajo ciertas circunstancias

• Bajo condiciones normales, el programa se comporta como previsto y, la bomba no puede ser detectada.

• Un ejemplo de pseudocódigo es:IF Profesor = jvazquez THEN salario == Horas * Rango * 1.1

ELSE salario == Horas * Rango


Atacando a los usuarios

• Malware• Spyware• Adware• Phishing




Hoax (engaño, burla, petardo)

• Tipicamente son alertas de peligro, o peticiones de ayuda, empezadas por gente maliciosa - y divulgadas por usuarios inocentes que piensan que estan ayudando a la comunidad al espacir la advertencia.

• El incremento de virus y programas troyanos muchos usuarios han usado Internet como un medio para alertar a amigos y colegas de trabajo acerca de estos menesteres.


Algunos ejemplos de hoax

• A Virtual Card For You• A.I.D.S. Virus Hoax• ANTHRAX Virus Hoax• Anticristo Virus Hoax• AOL4FREE• ASPARTAME HOAX• Big Brother Hoax• BLOAT VIRUS HOAX• BUDSAVER.EXE• SULFNBK Hoax• Win A Holiday

• Celulares Hoax• D@fit Hoax• Dangerous HIV Hoax• Death Ray• Deeyenda Virus Hoax• NEW YORK BIG DIRT

HOAX• Perrin Hoax• PIKACHUS BALL

HOAX• PKZ300 Warning




1er. ejemplo Hoax

Mr. Xxxxx wrote:Unanse a esta buena causa:

SE TRATA DE LA PEQUEDA LLAMADA JESSICA MYDEK TIENE SIETE ANOS DE EDAD Y SUFRE DE UN AGUDO Y MUY RARO CASO DE CARCINOMA CEREBRAL ESTA ENFEREMEDAD TERMINAL PROVOCA LA APARICION DE DIVERSOS TUMORES MALIGNOS EN EL CEREBRO.

LOS DOCTORES LE HAN PRONOSTICADO A JESSICA SEIS MESES DE VIDA, YCOMO PARTE DE SUS ULTIMOS DESEOS ELLA QUIZO INICIAR UNA CADENA DE E-MAILS INFORMANDO DE SU CONDICION Y ENVIAR EL MENSAJE A LA GENTE PARA QUE VIVA AL MAXIMO Y DISFRUTEN DE CADA MOMENTO DE SU VIDA, UNA OPORTUNIDAD QUE ELLA NUNCA TENDRA.

ADICIONALMENTE, LA SOCIEDAD AMERICANA DE LUCHA CONTRA EL CANCER, JUNTO CON OTRAS EMPRESAS PATROCINADORAS, ACORDARON DONAR TRES CENTAVOS QUE SERAN DESTINADOS A LA INVESTIGACION DEL CANCER POR CADA PERSONA QUE ENVIE ESTE MENSAJE. POR FAVOR, DENLE A JESSICA Y A TODAS LAS VICTIMAS DEL CANCER UNA OPORTUNIDAD.


1er. ejemplo Hoax (cont)

Lo unico que tienen que hacer para incrementar el numero de personas en esta cadena es:

Primero: dirija este e-mail a [email protected]: en la parte donde dice CC agregue los e-mails de todos los amigos y colegas que

conozca

Saludos cordiales,Alfonso




¿Y para qué quiero direccioneselectrónicas?


¿Y cuánto cuesta?




Este reenvio lo recibí de un amigo hoy y es verdad lo busqué con estas instrucciones y lo encontré,lo tenía sin saberlo.No lo detecta el Norton 2001 ni McAfee, los tengo instalados y pasóigual. Un virus está llegando a través de los mails de modo oculto.Gracias a un aviso pude detectarlo (lo tenía sin saberlo) y eliminarlo.Buscarlo del siguiente modo:

1.Ir a Inicio 2.Luego: Buscar 3.Archivo o carpeta 4.Tipear el archivo: sulfnbk.exe5.Eliminar (NO ABRIRLO)6.Eliminar de la papelera de reciclaje

Gracias a estas instruciones lo eliminé..suerte..

2do. ejemplo hoax


Spam

• Intento de entregar un mensaje, a través de Internet, a una persona que de otra forma no hubiera elegido recibirlo.

• Cada vez recibimos más correos no deseados:– Ventas.– Insultos.– Bombardeos.– Pornografía– Hoax




Ejemplo spam


Aclaración sobre SPAM




El spim

• La versión del spam para mensajería instantánea• Se presenta interrumpiendo conversaciones en MSN

Messenger o AIM, en forma de información no solicitada o mensajes publicitarios

• La mayoría de los mensajes spim, son – publicidad de sitios pornográficos, o– tros hacen publicidad de formulas para hacerse rico

rápidamente, – el resto se refieren a productos o créditos financieros


Consecuencias del spim

• Se considera que el spim es más intrusivo que el spam– pues se abren en forma de pop up justo después de que el

usuario se haya autentificado, por lo que, es imposible cerrarlos sin verlos

• Causas crecimiento spim– enorme crecimiento de la utilización de los sistemas de

mensajería instantánea, que han pasado de 10 millones de usuarios en 2.002 a una estimación de 182 millones en 2.007.

– la proliferación de filtros y sistemas antivirus se esta convirtiendo en un problema para los ""spammers" profesionales, que tienen que buscar otros campos de actividad




¿Qué hacer con los hoaxes/spams?

• No redireccionar mensajes de este tipo.– sistema correo puede colapsar debido al redireccionamiento de

este tipo de mensajes

• Los corporativos pueden confrontar este tipo de problemas, con un politicas del estilo:– usuarios finales no deben difundir alertas de viurs– cualquier informe de virus se debe enviar al departamento de

sistemas de información


Ingeniería Social.

• Es una de las formas más comunes para penetrar sistemas de “alta seguridad”.

• Uso de trucos psicologicos, por parte de un atacante externo, sobre usuarios legitimos de un sistema para obtener información (usenames y passwords) necesaria para acceder a un sistema.

• Se basa en ataques como: usurpación de identidad, pepena, inocencia de la gente, relaciones humanas, etc.




Ejemplo ingeniería social

"Hi Bev, this is Sam from the IS Department. We just got in a new corporate screensaver and since you’re the VP’s secretary you will get it first. It’s really cool wait ‘till you see it. All I need is your password so I can log on to your PC from the computer center and install it.

Oh Great!!!!!! My password is rover. I can’t wait to see that new screen saver!!!!!"


Otro ejemplo




Malware, spyware y adware (i)

• Malware – consistente en un pequeño programa alojado dentro de otra

aplicación (imagen, archivo de música,…), que se instala en el sistema al ejecutar el archivo que lo contiene y que puede llegar a un ordenador por diversos medios (correo, redes P2P, paginas web, spyware, etc).

• Spyware– espiar las acciones del usuario legítimo de la computadora

hace– también conocido como spybot o tracking software


Malware, spyware y adware (ii)

• Spyware– tecnología de recolección de información acerca de una

persona u organización sin su conocimiento– a nivel usuario la información se usa para los publicistas

• Adware– aplicación en la que banners de publicidad son

desplegados mientras el programa se ejecuta– empieza en programas tipo shareware– autores aplicaciones incluyen código adicional que entrega

la publicidad que puede ser vista a través de ventanas pop-up o través de una barra que se despliega en pantalla




El phishing

• Suplantación de páginas y/o sitios de Internet, que permite al estafador, mediante el engaño, conocer los datos privados y personales que usted utiliza para la realización de operaciones económicas.

• Habitualmente usa correo electrónico para enviar mensajes supuestamente originados en una entidad de confianza

• Pedir datos necesarios para poder realizar operaciones en las cuentas de la entidad: – usuario, Clave de acceso, ClavePersonal, Firma, etc.

• Correo electrónico, Ingeniería Social y el Spam son los grandes aliados del “phishing”


El inicioEstimado cliente de Banamex

Durante nuestro programado mantenimiento regular y procesos de verificación, hemosdetectado un error en la información que tenemos registrada de su cuenta.Esto se debe a algunos de estos factores:

1. Un cambio reciente en su información personal2. Que se haya proporcionado información invalida durante su proceso inicial de registro con bancanet o queusted aun no haya realizado dicho registro.3. La inhabilidad de verificar con exactitud la opción de su elección concerniente a su forma preferente de pagoy manejo de cuenta debido a un error técnico interno dentro de nuestros servidores al momento del registro.

Favor de actualizar y verificar la información de su cuenta haciendo clic en la siguiente liga. Será redirigido a la pagina principal de nuestro sitio en Internet donde podrá actualizar su información personal.http://banamex.com.mx/eng/personal/login.html

Si la información en su cuenta no se actualiza en las siguientes 48 horas algunos servicios en el uso y accesode su cuenta serán restringidos hasta que esta infamación sea verificada y actualizada.De antemano agradezco su pronta atención este asunto

Departamento de Validación

“D.R. © Copyright 2005, Derechos Reservados. Banco Nacional de México, S.A., integrante de Grupo Financiero Banamex. Isabel la Católica 44. Col. Centro Histórico. Del. Cuauhtémoc. C.P. 06000, México, Distrito Federal, México




Página redireccionada


Página original




Actores y elementos

• El usuario– computadora personal

• El atacante– montar un sitio web– enviar los correos electrónicos

• El banco– notificación del aviso.

• Mulas – son los intermediarios mas o menos inocentes que facilitan el

blanqueo de los fondos estafados. – si conocen cual es su papel están participando en un delito.


El pharming

• Modalidad de fraude en línea que consiste en suplantar, mediante la introducción de un troyano, el sistema de resolución de nombres de dominio (DNS) de la maquina infectada para conducir al usuario a una página web falsa.

• Se cambia el contenido tabla DNS de forma que asocia el nombre del banco a una dirección falsa, la del estafador, en vez de la dirección real.– cuando vícitima teclea el nombre su banco y aparentemente

le aparece la pagina del mismo, realmente esta viendo una página falsa y cualquier dato sensible que introduzca cae en manos del estafador.




El scam

• Puede considerarse como la segunda parte del 'phishing‘y se orienta a la captación de intermediarios, “mulas”en el argot, para blanquear el dinero obtenido con el phishing.

• La estafa se desarrolla en tres fases• Fase 1:

– se oferta, a través de chats, correos electrónicos o anuncios difundidos por Internet, trabajo fácil desde el domicilio con el que se pueden obtener grandes beneficios.

– las condiciones para optar a este "trabajo" son: • una conexión a Internet de 24 horas, • una cuenta corriente propia y conocimiento de los sistemas

internacionales de envío de dinero (Paypal, Western Union, etc.


Las otras dos fases

• Fase 2:– La segunda fase es el phishing.

• Fase 3:– en la tercera fase, después que la víctima facilita las claves de

su cuenta on line, los delincuentes efectúan transferencias de fondos de esas cuentas hacia las de los intermediarios.

– efectuado el ingreso, contactan con ellos por correo electrónico indicándoles las directrices sobre cómo y dónde remitir el dinero que consistente en remitirlo a terceras personas mediante transferencias que efectúan por medio de los sistemas de envío rápido de dinero.




APWG (www.antiphishing.org)

Fuente: Websense, Inc.


Más datos




Nombramiento malware

• Desde 1991, los miembros de CARO (ComputerAntivirus Researchers Organization) designaron un nombramiento (COMPUTER MALWARE NAMING SCHEME) para su uso en antivirus.

<tipo de malware>://<plataforma>/<nombredefamilia>.<nombredegrupo>.<tamañodeinfector>.<variante><devolución><modificadores>


Introducción al malware

Dr. Roberto Gómez Cá[email protected]

http://homepage.cem.itesm.mx/rogomez

introducción al malware - cryptomex.org · características básicas del malware • replicación...

Documents