Post on 27-Jan-2016
ProtégeIT!Client Security
Pedro Lagunaplaguna@informatica64.com
HOL-PIT02
Agenda
►TroyanosTipos de troyanos
►RootkitsTipos de rootkitsDetección de rootkits
►Bonet►Detección de malware►Troyanos bancarios►Escáneres de vulnerabilidades
Exploits
Agenda
►Robo de credenciales►Crackeo de contraseñas►Políticas de fortificación►Gestión de actualizaciones►Spyware
Antispyware►Virus
Arquitectura de un antivirus
Troyanos
►Los troyanos son programas pensados para proveer al atacante de una puerta trasera por la cual entrar en el sistema
►Su nombre proviene de la historia del caballo de Troya mediante el cual los griegos pudieron entrar en la ciudad
►Pueden venir ocultos dentro de otros programas, ofuscados y comprimidos, para evitar los motores de antivirus
Tipos de troyanos
►Según el tipo de conexiónDirectaReversos
►Según el método de infecciónEjecutableCorreo electrónicoPaginas web
►Según sus accionesPuerta traseraReenvío de emailsDDoS
Rootkits
►Los rootkits no implican riesgos por si mismos►Suelen ir acompañados de algún tipo de malware que
es el que provoca el daño en el sistema►El rootkit se encarga de esconder en el sistema la
actividad de este programa malintencionado►Existen diversas técnicas rootkits:
VirtualizaciónNivel de KernelNivel de aplicación
►Paralelamente existen técnicas de detección para las técnicas de ocultación mencionadas anteriormente
Detección de rootkits
►Para detectar rootkits se buscan diferencias entre los resultados que se detecten a bajo nivel en el sistema operativo y los resultados obtenidos al consultar normalmente al sistema
►Existen diversas herramientas que realizan esta tarea, consultando distintos registros de memoria de Windows y comprobando las diferencias
►Uno de los mas populares es Rootkit Revealer, de Sysinternals, que ayudo a detectar el rootkit presente en los cds de música de Sony
Bonet
►Las redes botnets son equipos infectados por algún tipo de malware que los obliga a realizar acciones de una manera no autorizada
►Grandes redes botnets son utilizadas para la realización de ataques de denegación de servicio distribuidos (DDoS)
►Los ordenadores infectados reciben las ordenes de diferentes maneras:
Canales IRCPaginas web
Detección de malware
►Existen multitud de soluciones antimalware►Se utilizan sistemas de detección basados en:
FirmasHeurísticaPseudomaquinas virtuales
►Microsoft Forefront Client Security nos ayuda a proteger nuestra organización frente a amenazas de malware
►A menor escala podemos disponemos de Windows Defender para un equipo personal
Troyanos bancarios
►Los troyanos bancarios presentan un riesgo muchísimo mayor debido al delicado asunto de sus fines
►Modifican localmente las paginas de los bancos para que soliciten mas datos de los comúnmente necesarios
►Se suelen instalar como módulos del navegador para tener control constante sobre las acciones del usuario.
Escáneres vulnerabilidades
►Los escáneres de vulnerabilidades nos permiten automatizar el proceso de recogida de vulnerabilidades conocidas en nuestra red
►Facilitan la tarea a los administradores en su quehacer diario
►Existen multitud de escáneres de vulnerabilidades:SATANSAINT-SANTASARANESSUSGFI LANGuard
Robo de credenciales
►El robo de credenciales implica la posible suplantación de identidad, con el riesgo que ello conlleva
►Esto puede hacerse mediante keyloggers►Un keylogger es un programa que graba o envía todas
las pulsaciones de teclas que se han producido►Estos programas han evolucionado guardando datos
acerca de:RatónCapturas de pantalla
Crackeo de contraseñas
►Las contraseñas han de guardarse hasheadas de manera irreversible
►Aun así es posible recuperar la contraseña guardada►Con los ordenadores actuales es factible realizar un
ataque de fuerza bruta contra el hash de la clave►Con acceso físico a la maquina es fácil obtener acceso
a estos hash►Las contraseñas de Windows se guardan en un
fichero llamado SAM►Este fichero se puede crackear mediante el programa
llamado L0phtCrack
Políticas de fortificación
►La principal política a aplicar ha de ser la del mínimo privilegio
►En sistemas Windows XP era común trabajar con un usuario administrador; en Windows Vista se introduce el UAC para corroborar el deseo de realizar acciones administrativas
►Es indispensable el uso de un firewall correctamente configurado
►Tecnologías como DEP nos ayudan a prevenir nuestro equipo frente a ataques de desbordamiento de buffer, que podrían suponer ataques de ejecución arbitraria de código
Gestión de actualizaciones
►El software instalado va volviéndose inseguro según se van descubriendo nuevas vulnerabilidades
►Mantener nuestro equipo actualizado, tanto el sistema operativo como las aplicaciones instaladas es primordial
►Microsoft ha establecido como política de actualizaciones el lanzar parches cada segundo martes de mes
►Estas actualizaciones podemos descargarlas desde Windows Update
Spyware
►Es una evolución de los troyanos►Recopilan información sobre las acciones del usuario
y las envían a Internet►Esta información es utilizada para mostrar publicidad
a las personas infectadas►El spyware suele venir asociado a software e
instalarse tras aceptar la licencia el usuario.►Algunos del spyware mas extendidos:
Alexa ToolbarGator
Antispyware
►Un sistema actualizado nos protegerá frente a las ultimas amenazas de ejecución remota de código
►El SP2 de Windows XP introdujo diversas mejoras de protección:
Descargas automáticas bloqueadasGestor de componentes ActiveXProtección frente a MIME Sniffing
►También esta disponible el software Microsoft Windows Anti Spyware, que analiza:
ProcesosFicherosEntradas de registro
Virus
►Los virus existen casi desde el principio de la informática
►Algunos se han hecho famosos hasta nuestro días, como el Viernes 13
►Se ejecutan en las siguientes fases:OcultaciónContagioAtaque
►Existen virus de distintos tipos: boot, fichero, comando, polimórficos o macro
¿Preguntas?
¿Preguntas?
►Pedro Laguna►plaguna@informatica64.com
►Informática 64 S.L.►i64@informatica64.com