Sergio de los SantosConsultor de SeguridadHispasec Sistemasssantos@hispasec.com

Últimas Tendencias en el Malware

“Enséñame la pasta” Chema AlonsoMicrosoft MVPWindows SecurityInformática64chema@informatica64.com

Un poco de Historia

Sicilia, Noviembre de 19831986: PC Brain. Disquetes 5 ¼. Se introdujo en una tienda de software pirata.

1988: Ping Pong.

Viernes 13.

¡Cuidado!, el 13 de julio es viernes. 1992: Michelangelo. Hace perder mucho dinero a miles de empresas.

Motivación:Alto nivel técnico

Ego o demostración de conocimiento

La época POP de los virus

El siglo que vivimos peligrosamente

2000: Love

2001: Klez

2001: Code Red

2003: SQL Slammer

2003: Blaster

2004: Sasser

2004: Netsky-A, Netsky-B, …. Netsky-*

Malware Tradicional

Spam

Phising “Tradicional”

Troyanos “tradicionales”Netbus

Netdevil

Subseven

Back Orifice

Poisson Ivy

RootkitsHackerdefender

¿Realmente hoy en día conocemos el

malware?

Nuestros “amigos”

Spam: Es un fin: Venta

Es un medio:

Para infectar máquinas con troyanos adjuntos

Para inducir a visitar páginas de ataque

Troyanos:Es un fin: Controlar la máquina

Es un medio:

Para hacer phishing

Para enviar más spam

Para reclutar zombies para botnets

Nuestros “amigos”

BotnetsEs un fin: Hacer DDOS

Es un medio:

Alojar phishing

Enviar spam

Enviar malware

Alojar warez

Tecnología RootkitSe usa en troyanos y en “clientes” botnet

Envía SpamEnvía Malware Aloja Phishing

Ataque DDOSAloja Warez

Algunas formas de Infección “curiosas”

Se acabó el romanticismo

Industria

Modelo de Negocio:

Clientes Objetivos:Microsoft > 90 % cuota de mercado

Navegadores:

1. Microsoft IE 75,89%

2. Mozilla Firefox 20,68%

3. Apple Safari 1,99%

4. Opera 1,23%

5. Netscape 0,07%

Modelo de Negocio:

Aparición estratégica:2001: Nimda y Code Red -> 250 días después parche

2003: Blaster -> 30 días después de parche

2004: Sasser -> 5 días después de parche

HOY:

Al día siguiente de los parches están los exploits

Algunos meses, 2 días después de la publicación de los parches empiezan a explotar vulnerabilidades no conocidas

Modelo de Negocio:

Proveedores:Vulnerabilidad en Windows Vista: 38.100 €

Troyanos que generan Spam: 3.800 €

Números de tarjetas de crédito y PIN: 380 €

Cuentas eBay o PayPal: 3 €

Modelo de Negocio

Competencia:iDefense: 10.000 dólares vulnerabilidad Windows

TrippingPoint: 50.000 dólares vulnerabilidades en software popular

Modelo de Negocio

Cobro “a clientes”:Se esparcen troyanos

Se roban credenciales

Se busca un mulero con ofertas de trabajo a través de spam

Mulero abre cuenta

Se manda pasta de cuentas robadas a cuenta del mulero

Mulero saca pasta y envía dinero (quedándose su comisión)

Mulero es trincado y va al “trullo”.

Búsqueda de nuevo mulero

http://elladodelmal.blogspot.com/2007/01/fraude-en-internet-por-daniel-guzman-el.html

Balance: Cuenta de ResultadosFiesta en Praga compañía Adware

Modelo de Negocio:

Expansión:2003: aproximadamente 60.000 ejemplares

2007: aproximadamente 400.000 ejemplares

Mínima molestia para el usuario, menor infección masiva, detección tardía.

Crimen organizado y alianzas estratégicas

Durante 2006 una media de 200 keyloggers distintos por mes

40.000 sitios phising detectados por el APWG en Octubre 2006

Año 2000: 300 keyloggers conocidos.

Año 2006: 8.500 keyloggers conocidos.

Modelo de Negocio:

Producto:

Demo 1: Ejemplo de producto “escuela brasileña”

Demo 2: Ejemplo de producto “escuela rusa”

Soluciones:

Antivirus:

Técnicas de Evasión

Demo:

Jugando con la minishell

Morphing “Superman”

¿Solución?

Defensa en profundidad

Políticas de seguridad

Protección en el perímetro

Protección en los servidores

Protección en los desktops

Mínimo privilegio posible

Mínimo punto de exposición

Contacto

Sergio de los SantosConsultor de Seguridad: ssantos@hispasec.com

Hispasec Sistemas: http://www.hispasec.com

Una Al día: http://www.hispasec.com/

Virus Total: http://www.virustotal.com

Chema AlonsoMicrosoft MVP Windows Security

chema@informatica64.com

Informática64: http://www.informatica64.com

Technews: http://www.informatica64.com/boletines.html

Hands On Lab

http://www.microsoft.es/HOLSistemas