Imagen abstracta de una mujer sentada en libros y estudiando en una computadora portátil

ESR II - Modulo 1 - Codigo Malicioso

Descargar como PPT, PDF
F
foalonso

El documento introduce los conceptos de malware y virus informáticos, describiendo sus características, clasificaciones, formas de propagación y daños. Explica los tipos de virus como boot sector, file, macro y encriptados, así como sus síntomas y etapas de contaminación. Finalmente, recomienda medidas de protección como software antivirus, firewalls e implementación de políticas de seguridad.

Tecnología
1 de 52
Descargado 118 veces
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
Modulo 1 - Malware ESR II Lic. Fernando Alonso, CISSP, CCNA, GSEC
Introducción Ya sea que usted administre una red corporativa de computadoras, o bien su propio sistema hogareño, probablemente haya sido víctima de algún tipo de virus informático , al menos una vez. Podemos definir el término “Código Malicioso” , como “Todo programa o fragmento de código, que genera en su accionar, algún tipo de problema en el sistema de cómputo en el cual se ejecuta, interfiriendo de esta forma con el normal funcionamiento del mismo”. Los distintos tipos de “Código Malicioso” comparten algunos aspectos en común: Generalmente se trata de componentes de software, desarrollados con un fin específico En algún punto interfieren con la operación normal del sistema de cómputo Suelen instalarse y ejecutarse sin el consentimiento “expreso” del usuario Requieren de un sistema de cómputo anfitrión para cumplir su cometido
Introducción Muchas cosas han cambiado desde la aparición de las primeras formas de “Código Malicioso” , aunque sin lugar a dudas la capacidad de distribución es el factor de mayor evolución, aquí encontramos: Memoria compartida Sector de arranque de los discos Recursos compartidos en una red Internet Hoy en día, no sólo los programadores expertos en desarrollo de virus representan una amenaza, también puede resultar sencillo conseguir a través de Internet , herramientas que permiten a una persona sin muchos recursos intelectuales generar su propio virus .
Introducción Código Malicioso o Malware : Pieza de software intencionada con producir daño o al menos generar efectos distintos para los que su objetivo se encuentran programados. Los costos del Malware: Costos reales : Costos directos y visible de impacto. Costos ocultos : Costos encadenados por el incidente, costos intangibles como imagen y prestigio comercial, desconfianza de clientes, perdida de carteras comerciales, etc.
Introducción Propagación del Malware
Introducción Clasificación del Malware – Características de la clasificación Auto-reproducción : Capacidad de auto-replicarse Crecimiento : Cantidad de instancias en las que puede reproducirse y/o auto clonarse Parasitismo : Si necesita de otro código para ejecutarse o se ejecuta por si solo.
Clasificación Al margen de las características comunes que comparten los distintos tipos de “Código Malicioso” , existen diferencias fundamentales que hacen necesaria su clasificación de acuerdo a : Origen Forma Daños que provocan Función para la cual se desarrollaron Siguiendo este criterio, encontramos: Virus Troyanos Cookies Keyloggers Spyware
Virus Los virus informáticos , son quizás el tipo de “Código Malicioso” más extendido. Su historia y evolución han hecho de ellos una de las amenazas más temidas para los administradores de sistemas de información y usuarios en general. Un virus es una pieza de software diseñada para infectar un sistema de cómputo. En esencia, no son más que pequeños componentes de software, desarrollados generalmente en lenguajes de alto nivel, bajo nivel e híbridos ( C, C++, Assembler , etc .). Generalmente suelen acarrear problemas mayores que van desde la simple eliminación de archivos claves del sistema, pasando por la completa destrucción de particiones de discos duros, hasta llegar a dañar el firmware del equipo de la víctima.
Virus Partes de un virus Mecanismo de infección Detonador (Trigger) Carga (Payload)
Tipos de Virus S uelen clasificarse en función de múltiples características y criterios: Origen Técnicas que utilizan para infectar Tipos de archivos que infectan Lugares donde se esconden Daños que causan Plataforma que atacan, etc. Siguiendo estos criterios, encontramos: Macro Virus Boot Sector Infectors Polimorfos Bombas Lógicas Hoax Troyanos Gusanos Retrovirus Encriptados File Virus Stealth , etc.
Tipos de Virus Boot Sector Infectors
Tipos de Virus File Infectors
Tipos de Virus Macro Virus
Tipos de Virus Encriptados
Tipos de Virus Encriptados
Tipos de Virus Stealth
Virus Famosos Melissa SQL Slammer Blaster K&FPV Bugbear Chernobyl I Love You Sircam Nimda Código Rojo Sobig MyDoom Sasser
Síntomas de un ataque Suelen existir diferentes síntomas de un ataque o infección de acuerdo al tipo de virus que actúe en cada caso. Como regla general, debería sospechar de su instalación de software si observara al menos alguno de los siguientes síntomas: Los programas en su sistema tardan en cargar o lo hacen muy lentamente Archivos desconocidos aparecen en su disco rígido Archivos necesarios para la ejecución de uno de sus programas o del sistema operativo desaparecen de su disco rígido Escrituras inesperadas en una unidad de disco Actividad de pantalla no estándar o extraña El tamaño de sus archivos de programa cambia súbitamente respecto de su tamaño original Su sistema repentinamente no inicia o exhibe algún mensaje de error inesperado Su sistema se resetea en forma inesperada
Etapas de Contaminación Se suele referirse al “Ciclo de Vida de un Virus” , haciendo un paralelismo con su partida biológica. El siguiente esquema describe cada etapa: Creación Replicación Activación Descubrimiento Asimilación Erradicación
Daños que producen La peligrosidad de un virus se establece en base a dos criterios principales: Su capacidad de hacer daño. La posibilidad de propagación o difusión del código malicioso . Entre las consecuencias más importantes, tenemos: Daños a determinado tipo de hardware. Alteración o pérdida de datos. Denegación de Servicio. Manipulación de Datos. Pérdida de Productividad. Pérdida de Credibilidad. Vergüenza.
Medidas de Protección Los ataques producidos por virus , suelen estar ligados legalmente a lo que se conoce como “Leyes de Delitos Informáticos”. Hoy día, a la luz de las nuevas amenazas, debe trabajarse fuertemente en lo que se conoce como el modelo de “Prevención por Capas” : Instalación de actualizaciones de seguridad liberadas para sistemas operativos y de aplicación. Implementación de software antivirus en estaciones de trabajo. Implementación de software antivirus en servidores de archivos. Implementación de software antivirus en servidores de correo corporativo. Implementación de software antivirus sobre la navegación corporativa (proxies). Implementación de software de administración de contenidos. Implementación de políticas de filtrado en el perímetro externo. Implementación de sistemas de búsqueda y actualización de vulnerabilidades. Implementación de una política de control de instalación de software legal.
Medidas de Protección Un buen software de control antivirus debería cumplir, como mínimo, con los siguientes requisitos que a continuación se detallan: Debe estar certificado por la ICSA ( International Computer Security Association ) Debe tener exploración en tiempo real o programado Debe contar con una consola de administración y reportes central Debe contar con las herramientas para proteger los diferentes focos de infección ( discos, mail, web, etc ) Debe cubrir la actualización de nuevas firmas antivirus en forma automática y desatendida en servidores y clientes No debe degradar la performance del dispositivo resguardado Debe contar con herramientas de logueo de eventos, estadísticas y reporte para el seguimiento de incidentes Debe implementar un sistema de alarmas ( e-mail, traps SNMP, pager. etc )
Troyanos En su definición más amplia, solemos referirnos a los Troyanos como todo programa que lleva oculta una funcionalidad determinada, que será usada con fines maliciosos y en contra del usuario que lo instala. Una de las principales diferencias entre un virus y un troyano , es la inhabilidad de estos últimos para replicarse. Otra de las grandes diferencias, es que generalmente, el troyano forma parte del código fuente del programa instalado y se compila junto con él, mientras que el virus simplemente se añade o suplanta el programa original. Los troyanos , suelen llegar a nuestro sistema, como un programa aparentemente inofensivo, pretendiendo “ser algo que no son” o “hacer algo que no hacen”.
Troyanos A través del tiempo, gran cantidad de troyanos fueron liberados al público en general. Casi todos ellos, tienen su origen en grupos de hackers . La gran mayoría cuentan con algunas de las siguientes características principales: Edición remota del registro Capacidad para compartir archivos Apagado/Reinicio del sistema Recupero de contraseñas almacenadas en cache Captura de pantallas Keylogger Monitoreo del tráfico de red Funcionalidades de Proxy
Troyanos Redirección de puertos y aplicaciones Funciones “Fun” o divertidas ( Apertura y cierre del CD-DRIVE , intercambio de botones del mouse, ejecución de archivos .WAV , Grabar sonidos desde un micrófono, etc ) Presentación de imágenes ( BMP/JPEG ) y mensajes en pantalla Ejecución de aplicaciones Manipulación del sistema de archivos Notificaciones del éxito del ataque a través de aplicaciones tales como ICQ , IRC o correo electrónico Entre los más importantes, encontramos: Back Orifice Netbus SubSeven Optix , etc.
Funcionamiento de Troyanos Los troyanos requiere al menos de tres componentes fundamentales: Una parte “Servidor”, a ser instalada en forma subrepticia en la máquina del usuario objetivo Una parte “Cliente”, a ser instalada en el equipo del atacante, encargada de comunicarse con la máquina infectada Un protocolo de comunicación compartido entre ambos extremos. Generalmente TCP/UDP . Existen al menos tres fases claramente identificadas respecto del funcionamiento de un troyano : Arribo al sistema víctima Consolidación de la posición Comunicación con el atacante
Medidas de Protección Implementación de software antivirus Implementación de filtros de contenidos Implementación de Firewalls Implementación de IDS Implementación de controles de distribución e instalación de software Implementación de software Anti-Troyanos
Cookies Originalmente, fueron diseñadas para ayudar a que un sitio web , reconociera el navegador de un usuario que repite su visita al mismo, y de esta forma ser capaz de guardar y recordar las preferencias que el usuario hubiera escogido durante su visita anterior. Con el correr del tiempo, las cookies se fueron transformando, en potentes herramientas de marketing. En esencia, una cookie no es más que un archivo de texto, que algunos servidores piden a nuestro navegador que escriba en nuestro disco duro. Si bien es cierto que las “Cookies” , no son consideradas una amenaza a su PC , o a los datos que ésta alberga, sí lo es respecto de su privacidad y confidencialidad, puesto que habilitan a un Website a recordar detalles y mantener registros de su visita.
Las cookies , suelen introducirse en nuestra computadora, cada vez que visitamos un Website programado para hacer uso de estas. Los diferentes lenguajes de programación utilizados por los desarrolladores web ( JavaScript, ASP, PHP , etc ), incluyen instrucciones específicas respecto de la manipulación de estas características. DoubleClick es una de las más célebres compañías de marketing en Internet que con sus tracking cookies monitorea la navegación de los usuarios en decenas de millones de computadoras en todo el mundo. Cookies
Funcionamiento Las cookies son enviadas desde el servidor al cliente ( navegador ) y almacenadas en este. Posteriormente el navegador envía estas cookies al servidor permitiendo así la identificación del cliente. Un dato importante, es que en todos los casos, no es el servidor quien escribe en nuestro disco duro, sino nuestro explorador. Desde el punto de vista de la construcción de una Cookie , existen básicamente seis parámetros que pueden ser pasados a éstas.
Composición de Cookies Nombre: Nombre de la “Cookie” Value: Valor de la “Cookie” Expire: Indica la hora en que se eliminará la cookie Path: Subdirectorio en donde tiene valor la cookie Dominio : Dominio en donde tiene valor la cookie Secure: Indica que la cookie sólo se transmitirá a través de una conexión segura HTTPS
Medidas de Protección En principio, tanto “Netscape” como “Microsoft Internet Explorer” , permiten ser configurados para rechazar los diferentes tipos de “Cookies” , en relación a las preferencias del usuario. Por otra parte, existen aplicaciones de terceros, muchas veces referidas como “Cookie Monsters” o “Cookie Managers”. Básicamente, los productos anti-cookies trabajan filtrándolas en tiempo real, incluso de sitios determinados y/o limpiándolas en cada oportunidad de los archivos generados en el disco..
Keyloggers Un “Keylogger” no es ni más ni menos que una aplicación destinada a registrar en forma remota , el comportamiento de un usuario en una PC . Su función principal, es la de grabar todo aquello que sea escrito por intermedio del teclado para luego enviar esta información al atacante, o almacenada en algún sitio del disco rígido del equipo víctima, esperando a ser recuperada. Una de las características básicas de todo “Keylogger”, es la de pasar desapercibido tanto al momento de la instalación como en el de su uso. Para ello cuentan con características de las denominadas “Stealth”. En la actualidad, existen una gran cantidad de “virus, gusanos y troyanos” que los incluyen como parte de su carga maliciosa.
Funcionamiento Básicamente, el funcionamiento de un “Keylogger” , depende específicamente, de la configuración previa que se haya realizado sobre él y de la plataforma para la que haya sido desarrollado ( Unix, Windows , etc ). En líneas generales, la secuencia lógica al momento de trabajar con un “Keylogger”, consta de tres pasos principales: Configuración de los aspectos del “Keylogger” Instalación Obtención de la información registrada
Keylogging por hardware
Keylogging por software
Medidas de protección El uso de “Keyloggers” ha desencadenado una gran polémica en la comunidad general. Los profesionales en seguridad informática deben evaluar las circunstancias en las que estas herramientas pueden o deben ser implementadas. Hay quienes alegan que al atentar contra la privacidad y la confidencialidad, el uso de este tipo de aplicaciones, no sólo es ilegal, sino que también inconstitucional. Entre los usuarios legales de “Keyloggers” se encuentran aquellos padres que quieren vigilar a sus hijos menores de edad, o empresas que quieren saber exactamente que es lo que hacen los empleados cuando se encuentran conectados a Internet. Existen en el mercado, aplicaciones específicamente pensadas para hacer frente a esta amenaza ( Tal es el caso de “Advance Anti-Keylogger” ). De todas formas, la combinación de estas últimas con el software antivirus, debería conformar una contramedida aceptable.
Spyware En el sentido más amplio de su definición, el término “Spyware” se utiliza para describir toda tecnología que asista a la obtención de información acerca de una persona u organización sin su conocimiento. En Internet , se conoce como “Spyware” a pequeños programas dedicados a llevar un control del comportamiento de los usuarios, con la intención de vender esta información a terceras partes interesadas, generalmente empresas relacionadas con las áreas de marketing y publicidad.
Tipos de Spyware Si bien es cierto, que el “Spyware”, generalmente tiene como propósito obtener información del uso de Internet, por parte de los usuarios, existen algunas diferencias entre ellos: Adware: Por lo general, se trata de aplicaciones que incluyen como parte de su interfaz de usuario, ventanas de publicidad. Scumware: Tiene la habilidad de personalizar la publicidad mostrada en el explorador. Browser Hijackers : Como parte de su accionar, suelen interactuar generalmente con el registro de Windows, modificándolo con el objeto de alterar algunas características del Explorador . Server Side Spyware: Se diferencia del resto debido a que los componentes “espías”, se encuentran implementados del “lado del servidor”.
Funcionamiento En líneas generales, la mayoría del software “Spyware” , basa su funcionamiento en los siguientes pasos principales: Ingreso al sistema Obtención de información local Monitoreo del sistema Registro Acción
Medidas de Protección En la actualidad, existen varios productos tendientes a lidiar con el “Spyware” . La mayoría, incluyen bases de datos actualizables a través de Internet , conteniendo los detalles o “firmas” correspondientes a cada uno de ellos. Esto permite que puedan ser identificados mediante un “escaneo” similar al que suelen realizar los software antivirus, y eliminados en caso de que la concordancia sea positiva.
Técnicas Anti-Virus Detección Identificación Desinfección
Técnicas Anti-Virus Detección Métodos Estáticos Scanners Por Demanda Por Acceso Heurística Estática Comprobadores de Integridad Métodos Dinámicos Monitores/Bloqueadores de Conducta Por Simulación
Técnicas Anti-Virus Identificación Por Heurística Por Firma Por Comparación de copias idénticas
Técnicas Anti-Virus Desinfección Eliminación de trigger y payload Cuarentena Eliminación de archivo Copia de archivo/sector/bloque nuevo
Técnicas Anti-Virus Bases de Datos de Virus Técnicas Anti-Stealth Detección de Macro Virus
Técnicas para contrarrestar Anti-Virus Ofuscación de Punto de Entrada Anti-Simulación Decoys Anti-Debugging Anti-Disassembly Covert Channels y Tunneling Ataques a Comprobadores de Integridad
Debilidades que se explotan Debilidades Técnicas Fallas en la semántica Buffer Overflow Integer Overflows Vulnerabilidades de strings Debilidades Humanas Hoaxes Phishing, Pharming, E-mails & Mensajería falsa. Spam Spyware Nocivo
Worms Historia Xerox PARC – 1982 Internet Worm - 1988 Propagación Implantación Inicial Búsqueda de Victimas y Objetivos Escaneos
Defensa de Worms (Deworming) Defensa Concientizacion del usuario Patcheo y actualización constante Firewalls e IDS/IPS Captura y Cautiverio (HoneyPots y HoneyNets) Firewalls Inversos
Conclusión Una amenaza que crece en vez de retrotraerse. La aparición de Wi-fi, Pen-Drives, Facebook, etc. Hace que nuevas amenazas se originen día a día. La situación no cambiará mientras los usuarios de PCs les interese mas los programas, archivos, mp3/4/5, videos o ringtones; que los riesgos que corren. El 1er paso es la concientizacion del usuario. La eliminación de privilegios y la actualización constante de firmas, hace que el antivirus menos prestigioso sea 900% mas efectivo que el promedio de los casos. En ambientes corporativos, siempre se debe comenzar por una política clara para continuar con los procedimientos y su respectivo control.
Dudas? Consultas? Preguntas? Futuras consultas favor de enviar a: [email_address]

Más contenido relacionado

PDF
Guía de Seguridad en Redes Sociales ESET
ESET Latinoamérica
 
PPT
Malware
Tuhin_Das
 
PDF
Social engineering by-rakesh-nagekar
Raghunath G
 
PPTX
Security Testing for IoT Systems
Security Innovation
 
PPTX
Password Attack
Sina Manavi
 
PPTX
Computer virus 1
wargames12
 
PPTX
Key logger,Why? and How to prevent Them?
Bibek Sharma
 
PPTX
Ethical hacking introduction to ethical hacking
missstevenson01
 
Guía de Seguridad en Redes Sociales ESET
ESET Latinoamérica
 
Malware
Tuhin_Das
 
Social engineering by-rakesh-nagekar
Raghunath G
 
Security Testing for IoT Systems
Security Innovation
 
Password Attack
Sina Manavi
 
Computer virus 1
wargames12
 
Key logger,Why? and How to prevent Them?
Bibek Sharma
 
Ethical hacking introduction to ethical hacking
missstevenson01
 

La actualidad más candente (20)

PPTX
Best Practices for Password Creation
nFront Security
 
PPTX
The Stuxnet Virus FINAL
Nicholas Poole
 
PDF
ICDL/ECDL BASE - MODULO 2 - ONLINE ESSENTIALS - BROWSER - EMAIL - ICT - RETI ...
Ist. Superiore Marini-Gioia - Enzo Exposyto
 
PPTX
Trojans and backdoors
Gaurav Dalvi
 
PDF
Vulnerability Assessment Report
Harshit Singh Bhatia
 
PPT
Counter Measures Of Virus
shusrusha
 
PPTX
Social engineering: A Human Hacking Framework
Jahangirnagar University
 
PPT
Sit presentation
cchoi02
 
PPTX
Cyber Security Best Practices
Evolve IP
 
PPTX
Application security
Hagar Alaa el-din
 
PPTX
Cyber security
Manjushree Mashal
 
PPTX
Windows Hacking
Mayur Sutariya
 
PPTX
Computer virus
Kawsar Ahmed
 
PPT
Stuxnet - Case Study
Amr Thabet
 
PPTX
Wireless Network Security
kentquirk
 
PPTX
Social engineering-Attack of the Human Behavior
James Krusic
 
PPTX
Nessus-Vulnerability Tester
Aditya Jain
 
PPTX
Seminar project(computer virus)
cdebraj16101991
 
PDF
Phishing
Jaime Restrepo
 
PPT
Melissa Virus
CpavtsJoshA
 
Best Practices for Password Creation
nFront Security
 
The Stuxnet Virus FINAL
Nicholas Poole
 
ICDL/ECDL BASE - MODULO 2 - ONLINE ESSENTIALS - BROWSER - EMAIL - ICT - RETI ...
Ist. Superiore Marini-Gioia - Enzo Exposyto
 
Trojans and backdoors
Gaurav Dalvi
 
Vulnerability Assessment Report
Harshit Singh Bhatia
 
Counter Measures Of Virus
shusrusha
 
Social engineering: A Human Hacking Framework
Jahangirnagar University
 
Sit presentation
cchoi02
 
Cyber Security Best Practices
Evolve IP
 
Application security
Hagar Alaa el-din
 
Cyber security
Manjushree Mashal
 
Windows Hacking
Mayur Sutariya
 
Computer virus
Kawsar Ahmed
 
Stuxnet - Case Study
Amr Thabet
 
Wireless Network Security
kentquirk
 
Social engineering-Attack of the Human Behavior
James Krusic
 
Nessus-Vulnerability Tester
Aditya Jain
 
Seminar project(computer virus)
cdebraj16101991
 
Phishing
Jaime Restrepo
 
Melissa Virus
CpavtsJoshA
 
Publicidad

Destacado (12)

DOCX
Análisis sistemico
lizethmtz01
 
PPTX
Unidades de almacenamiento
Minakiry
 
PPT
Análisis sistémico
Víctor Manuel García Fermín
 
DOCX
Ficha tecnica
Minakiry
 
PDF
Analisis Tecnico De La Calculadora
Blood1087
 
DOCX
Analisis Tecnologico Teclado
Kevin Bolaño
 
PPT
Analisis De Objetos Tecnologicos
Augusto Vargas
 
DOC
Ejemplo de análisis de objetos
Gabriel Diaz
 
PPTX
Análisis técnico el computador
sebastiann12
 
PPTX
Análisis de un computador portátil
Maicol Suarez
 
PPTX
Computadoras Portatiles
maria_piscoya
 
PPT
Tema 1 análisis morfológico. composición y derivación 2016 2017
Carmen Andreu Gisbert
 
Análisis sistemico
lizethmtz01
 
Unidades de almacenamiento
Minakiry
 
Análisis sistémico
Víctor Manuel García Fermín
 
Ficha tecnica
Minakiry
 
Analisis Tecnico De La Calculadora
Blood1087
 
Analisis Tecnologico Teclado
Kevin Bolaño
 
Analisis De Objetos Tecnologicos
Augusto Vargas
 
Ejemplo de análisis de objetos
Gabriel Diaz
 
Análisis técnico el computador
sebastiann12
 
Análisis de un computador portátil
Maicol Suarez
 
Computadoras Portatiles
maria_piscoya
 
Tema 1 análisis morfológico. composición y derivación 2016 2017
Carmen Andreu Gisbert
 
Publicidad

Similar a ESR II - Modulo 1 - Codigo Malicioso (20)

DOCX
Trabajo segudirad en la red
I.E.S Teobaldo Power
 
PPTX
Unidad educativa mons oscar arnulfo romero diapositivas
UEFOR10B
 
PPTX
Virus informáticos
cristianvera
 
PPTX
Diapositiva virus y vacunas informáticas
YAKITAPUIN
 
PPTX
Presentacion virus
Carolina Africano B
 
PPTX
tecnología e informática
jonathanmerchan99
 
DOC
Informe De Virus Y Antivirus
relajacion
 
PPTX
Virus y antivirus de un computador laura rodriguez
Julieth Rodríguez
 
PPTX
Virus y antivirus de un computador laura rodriguez
JuliethRodriguez08
 
PPTX
Que_es_la_Ciberseguridad_ empresarial Discord.pptx
José Antonio López E.
 
PPTX
Diapositivas sistemas
Alejandro Barrera
 
PDF
Taller virus informaticos
Luis Alberto Castro Castrillón
 
PPT
Virus y antivirus
ORLANDOMEDINACARDENA
 
DOCX
Tonino
toninoXD
 
PPTX
Trabajo de sistemas
yadira11cortex
 
DOCX
Virus work
rafaorellana
 
PPTX
Presentación1
jeanzito07
 
PPTX
virus informaticos
TuBabyBc
 
PPTX
los virus informáticos
TuBabyBc
 
PPTX
Virus
solaimad
 
Trabajo segudirad en la red
I.E.S Teobaldo Power
 
Unidad educativa mons oscar arnulfo romero diapositivas
UEFOR10B
 
Virus informáticos
cristianvera
 
Diapositiva virus y vacunas informáticas
YAKITAPUIN
 
Presentacion virus
Carolina Africano B
 
tecnología e informática
jonathanmerchan99
 
Informe De Virus Y Antivirus
relajacion
 
Virus y antivirus de un computador laura rodriguez
Julieth Rodríguez
 
Virus y antivirus de un computador laura rodriguez
JuliethRodriguez08
 
Que_es_la_Ciberseguridad_ empresarial Discord.pptx
José Antonio López E.
 
Diapositivas sistemas
Alejandro Barrera
 
Taller virus informaticos
Luis Alberto Castro Castrillón
 
Virus y antivirus
ORLANDOMEDINACARDENA
 
Tonino
toninoXD
 
Trabajo de sistemas
yadira11cortex
 
Virus work
rafaorellana
 
Presentación1
jeanzito07
 
virus informaticos
TuBabyBc
 
los virus informáticos
TuBabyBc
 
Virus
solaimad
 

Último (20)

PDF
NREN - red nacional de investigacion y educacion en LATAM y Europa: Caracteri...
Universidad Nacional de Ingenieria
 
PPTX
libro proyecto con scratch jr pdf en la e
sajomadistrito
 
DOCX
Informee_APA_Microbittrabajoogrupal.docx
gonzalezzapataalexan
 
PDF
Estrategia de apoyo valentina lopez/ 10-3
edepvalentinalopezca
 
PDF
Taller tecnológico Michelle lobo Velasquez
michelle89milo
 
PPTX
Todas las señales relativas a la seguridad en el trabajo están normalizadas, ...
Justino Cat
 
PPTX
Formato de texto, párrafo, documentos, columnas periodísticas, referencias.
victormontalvo19
 
PDF
Trabajo de recuperación _20250821_191354_0000.pdf
edepsantiagoalfonso
 
DOCX
orientacion nicol juliana portela jimenez
nicolportelajimenez
 
PPT
Protocolos de seguridad y mecanismos encriptación
rveiga100
 
PDF
Guía_de_implementación_Marco_de_gobierno_y_gestión_de_TI_Universidades.pdf
LuisEnriqueMonge1
 
PPTX
Presentación final ingenieria de metodos
joaquinlpri
 
PDF
Inteligencia_Artificial,_Informática_Básica,_22_06_2025_SO_2.pdf
samuel460768
 
PDF
Distribucion de frecuencia exel (1).pdf
samuelcuaran
 
PDF
Presentación_u.01_digitalización_CFGS.pdf
AlbaRive
 
PPTX
Uso responsable de la tecnología - EEST N°1
caromalacalza
 
PDF
Teoría de estadística descriptiva y aplicaciones .pdf
JuanLoza20
 
PPTX
Usuarios en la arquitectura de la información
dacytiia
 
DOCX
Nombre del estudiante Gabriela Benavides
edepjaelmateus
 
PPTX
TECNOLOGIAS DE INFORMACION Y COMUNICACION
251741169
 
NREN - red nacional de investigacion y educacion en LATAM y Europa: Caracteri...
Universidad Nacional de Ingenieria
 
libro proyecto con scratch jr pdf en la e
sajomadistrito
 
Informee_APA_Microbittrabajoogrupal.docx
gonzalezzapataalexan
 
Estrategia de apoyo valentina lopez/ 10-3
edepvalentinalopezca
 
Taller tecnológico Michelle lobo Velasquez
michelle89milo
 
Todas las señales relativas a la seguridad en el trabajo están normalizadas, ...
Justino Cat
 
Formato de texto, párrafo, documentos, columnas periodísticas, referencias.
victormontalvo19
 
Trabajo de recuperación _20250821_191354_0000.pdf
edepsantiagoalfonso
 
orientacion nicol juliana portela jimenez
nicolportelajimenez
 
Protocolos de seguridad y mecanismos encriptación
rveiga100
 
Guía_de_implementación_Marco_de_gobierno_y_gestión_de_TI_Universidades.pdf
LuisEnriqueMonge1
 
Presentación final ingenieria de metodos
joaquinlpri
 
Inteligencia_Artificial,_Informática_Básica,_22_06_2025_SO_2.pdf
samuel460768
 
Distribucion de frecuencia exel (1).pdf
samuelcuaran
 
Presentación_u.01_digitalización_CFGS.pdf
AlbaRive
 
Uso responsable de la tecnología - EEST N°1
caromalacalza
 
Teoría de estadística descriptiva y aplicaciones .pdf
JuanLoza20
 
Usuarios en la arquitectura de la información
dacytiia
 
Nombre del estudiante Gabriela Benavides
edepjaelmateus
 
TECNOLOGIAS DE INFORMACION Y COMUNICACION
251741169
 

ESR II - Modulo 1 - Codigo Malicioso

  • 1. Modulo 1 - Malware ESR II Lic. Fernando Alonso, CISSP, CCNA, GSEC
  • 2. Introducción Ya sea que usted administre una red corporativa de computadoras, o bien su propio sistema hogareño, probablemente haya sido víctima de algún tipo de virus informático , al menos una vez. Podemos definir el término “Código Malicioso” , como “Todo programa o fragmento de código, que genera en su accionar, algún tipo de problema en el sistema de cómputo en el cual se ejecuta, interfiriendo de esta forma con el normal funcionamiento del mismo”. Los distintos tipos de “Código Malicioso” comparten algunos aspectos en común: Generalmente se trata de componentes de software, desarrollados con un fin específico En algún punto interfieren con la operación normal del sistema de cómputo Suelen instalarse y ejecutarse sin el consentimiento “expreso” del usuario Requieren de un sistema de cómputo anfitrión para cumplir su cometido
  • 3. Introducción Muchas cosas han cambiado desde la aparición de las primeras formas de “Código Malicioso” , aunque sin lugar a dudas la capacidad de distribución es el factor de mayor evolución, aquí encontramos: Memoria compartida Sector de arranque de los discos Recursos compartidos en una red Internet Hoy en día, no sólo los programadores expertos en desarrollo de virus representan una amenaza, también puede resultar sencillo conseguir a través de Internet , herramientas que permiten a una persona sin muchos recursos intelectuales generar su propio virus .
  • 4. Introducción Código Malicioso o Malware : Pieza de software intencionada con producir daño o al menos generar efectos distintos para los que su objetivo se encuentran programados. Los costos del Malware: Costos reales : Costos directos y visible de impacto. Costos ocultos : Costos encadenados por el incidente, costos intangibles como imagen y prestigio comercial, desconfianza de clientes, perdida de carteras comerciales, etc.
  • 6. Introducción Clasificación del Malware – Características de la clasificación Auto-reproducción : Capacidad de auto-replicarse Crecimiento : Cantidad de instancias en las que puede reproducirse y/o auto clonarse Parasitismo : Si necesita de otro código para ejecutarse o se ejecuta por si solo.
  • 7. Clasificación Al margen de las características comunes que comparten los distintos tipos de “Código Malicioso” , existen diferencias fundamentales que hacen necesaria su clasificación de acuerdo a : Origen Forma Daños que provocan Función para la cual se desarrollaron Siguiendo este criterio, encontramos: Virus Troyanos Cookies Keyloggers Spyware
  • 8. Virus Los virus informáticos , son quizás el tipo de “Código Malicioso” más extendido. Su historia y evolución han hecho de ellos una de las amenazas más temidas para los administradores de sistemas de información y usuarios en general. Un virus es una pieza de software diseñada para infectar un sistema de cómputo. En esencia, no son más que pequeños componentes de software, desarrollados generalmente en lenguajes de alto nivel, bajo nivel e híbridos ( C, C++, Assembler , etc .). Generalmente suelen acarrear problemas mayores que van desde la simple eliminación de archivos claves del sistema, pasando por la completa destrucción de particiones de discos duros, hasta llegar a dañar el firmware del equipo de la víctima.
  • 9. Virus Partes de un virus Mecanismo de infección Detonador (Trigger) Carga (Payload)
  • 10. Tipos de Virus S uelen clasificarse en función de múltiples características y criterios: Origen Técnicas que utilizan para infectar Tipos de archivos que infectan Lugares donde se esconden Daños que causan Plataforma que atacan, etc. Siguiendo estos criterios, encontramos: Macro Virus Boot Sector Infectors Polimorfos Bombas Lógicas Hoax Troyanos Gusanos Retrovirus Encriptados File Virus Stealth , etc.
  • 11. Tipos de Virus Boot Sector Infectors
  • 12. Tipos de Virus File Infectors
  • 13. Tipos de Virus Macro Virus
  • 14. Tipos de Virus Encriptados
  • 15. Tipos de Virus Encriptados
  • 16. Tipos de Virus Stealth
  • 17. Virus Famosos Melissa SQL Slammer Blaster K&FPV Bugbear Chernobyl I Love You Sircam Nimda Código Rojo Sobig MyDoom Sasser
  • 18. Síntomas de un ataque Suelen existir diferentes síntomas de un ataque o infección de acuerdo al tipo de virus que actúe en cada caso. Como regla general, debería sospechar de su instalación de software si observara al menos alguno de los siguientes síntomas: Los programas en su sistema tardan en cargar o lo hacen muy lentamente Archivos desconocidos aparecen en su disco rígido Archivos necesarios para la ejecución de uno de sus programas o del sistema operativo desaparecen de su disco rígido Escrituras inesperadas en una unidad de disco Actividad de pantalla no estándar o extraña El tamaño de sus archivos de programa cambia súbitamente respecto de su tamaño original Su sistema repentinamente no inicia o exhibe algún mensaje de error inesperado Su sistema se resetea en forma inesperada
  • 19. Etapas de Contaminación Se suele referirse al “Ciclo de Vida de un Virus” , haciendo un paralelismo con su partida biológica. El siguiente esquema describe cada etapa: Creación Replicación Activación Descubrimiento Asimilación Erradicación
  • 20. Daños que producen La peligrosidad de un virus se establece en base a dos criterios principales: Su capacidad de hacer daño. La posibilidad de propagación o difusión del código malicioso . Entre las consecuencias más importantes, tenemos: Daños a determinado tipo de hardware. Alteración o pérdida de datos. Denegación de Servicio. Manipulación de Datos. Pérdida de Productividad. Pérdida de Credibilidad. Vergüenza.
  • 21. Medidas de Protección Los ataques producidos por virus , suelen estar ligados legalmente a lo que se conoce como “Leyes de Delitos Informáticos”. Hoy día, a la luz de las nuevas amenazas, debe trabajarse fuertemente en lo que se conoce como el modelo de “Prevención por Capas” : Instalación de actualizaciones de seguridad liberadas para sistemas operativos y de aplicación. Implementación de software antivirus en estaciones de trabajo. Implementación de software antivirus en servidores de archivos. Implementación de software antivirus en servidores de correo corporativo. Implementación de software antivirus sobre la navegación corporativa (proxies). Implementación de software de administración de contenidos. Implementación de políticas de filtrado en el perímetro externo. Implementación de sistemas de búsqueda y actualización de vulnerabilidades. Implementación de una política de control de instalación de software legal.
  • 22. Medidas de Protección Un buen software de control antivirus debería cumplir, como mínimo, con los siguientes requisitos que a continuación se detallan: Debe estar certificado por la ICSA ( International Computer Security Association ) Debe tener exploración en tiempo real o programado Debe contar con una consola de administración y reportes central Debe contar con las herramientas para proteger los diferentes focos de infección ( discos, mail, web, etc ) Debe cubrir la actualización de nuevas firmas antivirus en forma automática y desatendida en servidores y clientes No debe degradar la performance del dispositivo resguardado Debe contar con herramientas de logueo de eventos, estadísticas y reporte para el seguimiento de incidentes Debe implementar un sistema de alarmas ( e-mail, traps SNMP, pager. etc )
  • 23. Troyanos En su definición más amplia, solemos referirnos a los Troyanos como todo programa que lleva oculta una funcionalidad determinada, que será usada con fines maliciosos y en contra del usuario que lo instala. Una de las principales diferencias entre un virus y un troyano , es la inhabilidad de estos últimos para replicarse. Otra de las grandes diferencias, es que generalmente, el troyano forma parte del código fuente del programa instalado y se compila junto con él, mientras que el virus simplemente se añade o suplanta el programa original. Los troyanos , suelen llegar a nuestro sistema, como un programa aparentemente inofensivo, pretendiendo “ser algo que no son” o “hacer algo que no hacen”.
  • 24. Troyanos A través del tiempo, gran cantidad de troyanos fueron liberados al público en general. Casi todos ellos, tienen su origen en grupos de hackers . La gran mayoría cuentan con algunas de las siguientes características principales: Edición remota del registro Capacidad para compartir archivos Apagado/Reinicio del sistema Recupero de contraseñas almacenadas en cache Captura de pantallas Keylogger Monitoreo del tráfico de red Funcionalidades de Proxy
  • 25. Troyanos Redirección de puertos y aplicaciones Funciones “Fun” o divertidas ( Apertura y cierre del CD-DRIVE , intercambio de botones del mouse, ejecución de archivos .WAV , Grabar sonidos desde un micrófono, etc ) Presentación de imágenes ( BMP/JPEG ) y mensajes en pantalla Ejecución de aplicaciones Manipulación del sistema de archivos Notificaciones del éxito del ataque a través de aplicaciones tales como ICQ , IRC o correo electrónico Entre los más importantes, encontramos: Back Orifice Netbus SubSeven Optix , etc.
  • 26. Funcionamiento de Troyanos Los troyanos requiere al menos de tres componentes fundamentales: Una parte “Servidor”, a ser instalada en forma subrepticia en la máquina del usuario objetivo Una parte “Cliente”, a ser instalada en el equipo del atacante, encargada de comunicarse con la máquina infectada Un protocolo de comunicación compartido entre ambos extremos. Generalmente TCP/UDP . Existen al menos tres fases claramente identificadas respecto del funcionamiento de un troyano : Arribo al sistema víctima Consolidación de la posición Comunicación con el atacante
  • 27. Medidas de Protección Implementación de software antivirus Implementación de filtros de contenidos Implementación de Firewalls Implementación de IDS Implementación de controles de distribución e instalación de software Implementación de software Anti-Troyanos
  • 28. Cookies Originalmente, fueron diseñadas para ayudar a que un sitio web , reconociera el navegador de un usuario que repite su visita al mismo, y de esta forma ser capaz de guardar y recordar las preferencias que el usuario hubiera escogido durante su visita anterior. Con el correr del tiempo, las cookies se fueron transformando, en potentes herramientas de marketing. En esencia, una cookie no es más que un archivo de texto, que algunos servidores piden a nuestro navegador que escriba en nuestro disco duro. Si bien es cierto que las “Cookies” , no son consideradas una amenaza a su PC , o a los datos que ésta alberga, sí lo es respecto de su privacidad y confidencialidad, puesto que habilitan a un Website a recordar detalles y mantener registros de su visita.
  • 29. Las cookies , suelen introducirse en nuestra computadora, cada vez que visitamos un Website programado para hacer uso de estas. Los diferentes lenguajes de programación utilizados por los desarrolladores web ( JavaScript, ASP, PHP , etc ), incluyen instrucciones específicas respecto de la manipulación de estas características. DoubleClick es una de las más célebres compañías de marketing en Internet que con sus tracking cookies monitorea la navegación de los usuarios en decenas de millones de computadoras en todo el mundo. Cookies
  • 30. Funcionamiento Las cookies son enviadas desde el servidor al cliente ( navegador ) y almacenadas en este. Posteriormente el navegador envía estas cookies al servidor permitiendo así la identificación del cliente. Un dato importante, es que en todos los casos, no es el servidor quien escribe en nuestro disco duro, sino nuestro explorador. Desde el punto de vista de la construcción de una Cookie , existen básicamente seis parámetros que pueden ser pasados a éstas.
  • 31. Composición de Cookies Nombre: Nombre de la “Cookie” Value: Valor de la “Cookie” Expire: Indica la hora en que se eliminará la cookie Path: Subdirectorio en donde tiene valor la cookie Dominio : Dominio en donde tiene valor la cookie Secure: Indica que la cookie sólo se transmitirá a través de una conexión segura HTTPS
  • 32. Medidas de Protección En principio, tanto “Netscape” como “Microsoft Internet Explorer” , permiten ser configurados para rechazar los diferentes tipos de “Cookies” , en relación a las preferencias del usuario. Por otra parte, existen aplicaciones de terceros, muchas veces referidas como “Cookie Monsters” o “Cookie Managers”. Básicamente, los productos anti-cookies trabajan filtrándolas en tiempo real, incluso de sitios determinados y/o limpiándolas en cada oportunidad de los archivos generados en el disco..
  • 33. Keyloggers Un “Keylogger” no es ni más ni menos que una aplicación destinada a registrar en forma remota , el comportamiento de un usuario en una PC . Su función principal, es la de grabar todo aquello que sea escrito por intermedio del teclado para luego enviar esta información al atacante, o almacenada en algún sitio del disco rígido del equipo víctima, esperando a ser recuperada. Una de las características básicas de todo “Keylogger”, es la de pasar desapercibido tanto al momento de la instalación como en el de su uso. Para ello cuentan con características de las denominadas “Stealth”. En la actualidad, existen una gran cantidad de “virus, gusanos y troyanos” que los incluyen como parte de su carga maliciosa.
  • 34. Funcionamiento Básicamente, el funcionamiento de un “Keylogger” , depende específicamente, de la configuración previa que se haya realizado sobre él y de la plataforma para la que haya sido desarrollado ( Unix, Windows , etc ). En líneas generales, la secuencia lógica al momento de trabajar con un “Keylogger”, consta de tres pasos principales: Configuración de los aspectos del “Keylogger” Instalación Obtención de la información registrada
  • 37. Medidas de protección El uso de “Keyloggers” ha desencadenado una gran polémica en la comunidad general. Los profesionales en seguridad informática deben evaluar las circunstancias en las que estas herramientas pueden o deben ser implementadas. Hay quienes alegan que al atentar contra la privacidad y la confidencialidad, el uso de este tipo de aplicaciones, no sólo es ilegal, sino que también inconstitucional. Entre los usuarios legales de “Keyloggers” se encuentran aquellos padres que quieren vigilar a sus hijos menores de edad, o empresas que quieren saber exactamente que es lo que hacen los empleados cuando se encuentran conectados a Internet. Existen en el mercado, aplicaciones específicamente pensadas para hacer frente a esta amenaza ( Tal es el caso de “Advance Anti-Keylogger” ). De todas formas, la combinación de estas últimas con el software antivirus, debería conformar una contramedida aceptable.
  • 38. Spyware En el sentido más amplio de su definición, el término “Spyware” se utiliza para describir toda tecnología que asista a la obtención de información acerca de una persona u organización sin su conocimiento. En Internet , se conoce como “Spyware” a pequeños programas dedicados a llevar un control del comportamiento de los usuarios, con la intención de vender esta información a terceras partes interesadas, generalmente empresas relacionadas con las áreas de marketing y publicidad.
  • 39. Tipos de Spyware Si bien es cierto, que el “Spyware”, generalmente tiene como propósito obtener información del uso de Internet, por parte de los usuarios, existen algunas diferencias entre ellos: Adware: Por lo general, se trata de aplicaciones que incluyen como parte de su interfaz de usuario, ventanas de publicidad. Scumware: Tiene la habilidad de personalizar la publicidad mostrada en el explorador. Browser Hijackers : Como parte de su accionar, suelen interactuar generalmente con el registro de Windows, modificándolo con el objeto de alterar algunas características del Explorador . Server Side Spyware: Se diferencia del resto debido a que los componentes “espías”, se encuentran implementados del “lado del servidor”.
  • 40. Funcionamiento En líneas generales, la mayoría del software “Spyware” , basa su funcionamiento en los siguientes pasos principales: Ingreso al sistema Obtención de información local Monitoreo del sistema Registro Acción
  • 41. Medidas de Protección En la actualidad, existen varios productos tendientes a lidiar con el “Spyware” . La mayoría, incluyen bases de datos actualizables a través de Internet , conteniendo los detalles o “firmas” correspondientes a cada uno de ellos. Esto permite que puedan ser identificados mediante un “escaneo” similar al que suelen realizar los software antivirus, y eliminados en caso de que la concordancia sea positiva.
  • 42. Técnicas Anti-Virus Detección Identificación Desinfección
  • 43. Técnicas Anti-Virus Detección Métodos Estáticos Scanners Por Demanda Por Acceso Heurística Estática Comprobadores de Integridad Métodos Dinámicos Monitores/Bloqueadores de Conducta Por Simulación
  • 44. Técnicas Anti-Virus Identificación Por Heurística Por Firma Por Comparación de copias idénticas
  • 45. Técnicas Anti-Virus Desinfección Eliminación de trigger y payload Cuarentena Eliminación de archivo Copia de archivo/sector/bloque nuevo
  • 46. Técnicas Anti-Virus Bases de Datos de Virus Técnicas Anti-Stealth Detección de Macro Virus
  • 47. Técnicas para contrarrestar Anti-Virus Ofuscación de Punto de Entrada Anti-Simulación Decoys Anti-Debugging Anti-Disassembly Covert Channels y Tunneling Ataques a Comprobadores de Integridad
  • 48. Debilidades que se explotan Debilidades Técnicas Fallas en la semántica Buffer Overflow Integer Overflows Vulnerabilidades de strings Debilidades Humanas Hoaxes Phishing, Pharming, E-mails & Mensajería falsa. Spam Spyware Nocivo
  • 49. Worms Historia Xerox PARC – 1982 Internet Worm - 1988 Propagación Implantación Inicial Búsqueda de Victimas y Objetivos Escaneos
  • 50. Defensa de Worms (Deworming) Defensa Concientizacion del usuario Patcheo y actualización constante Firewalls e IDS/IPS Captura y Cautiverio (HoneyPots y HoneyNets) Firewalls Inversos
  • 51. Conclusión Una amenaza que crece en vez de retrotraerse. La aparición de Wi-fi, Pen-Drives, Facebook, etc. Hace que nuevas amenazas se originen día a día. La situación no cambiará mientras los usuarios de PCs les interese mas los programas, archivos, mp3/4/5, videos o ringtones; que los riesgos que corren. El 1er paso es la concientizacion del usuario. La eliminación de privilegios y la actualización constante de firmas, hace que el antivirus menos prestigioso sea 900% mas efectivo que el promedio de los casos. En ambientes corporativos, siempre se debe comenzar por una política clara para continuar con los procedimientos y su respectivo control.
  • 52. Dudas? Consultas? Preguntas? Futuras consultas favor de enviar a: [email_address]