Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 1
Roberto Gómez CárdenasLámina 1
Introducción al malware
Dr. Roberto Gómez Cá[email protected]
http://homepage.cem.itesm.mx/rogomez
Roberto Gómez CárdenasLámina 2
Contenido
• Definición• Virus• Gusanos• Caballos de troya• Backdoor
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 2
Roberto Gómez CárdenasLámina 3
¿Malware?
• Los códigos maliciosos o malware son capaces de ocasionar algún daño en una computadora o en la información, eliminando archivos o provocando que la computadora reiniciara sin consentimiento del usuario.
Roberto Gómez CárdenasLámina 4
Características básicas del malware
• Replicación• Métodos de ocultamiento• Activación• Manifestación• Explotación y escalamiento de privilegios
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 3
Roberto Gómez CárdenasLámina 5
Replicación
• La capacidad para duplicarse a si mismo.• Si un programa cuenta con esta característica se le considera
virus, sin importar que tenga alguna otra característica.• Al principio, estos programas se difundían mediante dispositivos
de almacenamiento externo como disquetes, CDROMs, cintas magnéticas, etcétera y debían ser activados con la ayuda del usuario.
• Sin embargo, los atacantes han aprovechado las ventajas de la tecnología para que sus códigos puedan expandirse y se auto-propaguen a través de todo Internet, al aprovechar principalmente fallas en los sistemas operativos, malas configuraciones y la ingenuidad de los usuarios.
Roberto Gómez CárdenasLámina 6
Ocultamiento
• Es la capacidad que tiene el código malicioso para evadir las protecciones comunes de los sistemas operativos, detectores de intrusos y sistemas antivirus– Cifrado (Polimorfismo Básico)– Polimorfismo Avanzado o Metamorfismo– Cambio de extensiones– Companion/Hidra o Multi-infector
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 4
Roberto Gómez CárdenasLámina 7
Activación
• Es la capacidad del código malicioso para activarse, comúnmente:– Contador– Doble Click– Encender la computadora– Ejecutar un programa– Etc.
Roberto Gómez CárdenasLámina 8
Manifestación
• Comúnmente es la capacidad que nos hará notar que tenemos código malicioso en nuestro ordenador.– Enviar un mensaje– Formatear el disco rígido– Borrar información– Modificar información– Robar Información– Deteriorar el rendimiento de la infraestructura de red– Etc.
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 5
Roberto Gómez CárdenasLámina 9
Daños que puede provoca
• Trivial– Solo replicarse
• Moderado– Destrucción de la Información
• Mayor– Corrupción de Archivos o Información
• Severo– Alteración o Modificación de la Información
• Ilimitado– Robo de Información
Roberto Gómez CárdenasLámina 10
Tipo de malware
• Virus• Bombas lógicas• Macrovirus• Troyanos• Backdoors• Polimorfismo/metamorfismo• Bootsector• Gusanos• Multipartitas• Virus script
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 6
Roberto Gómez CárdenasLámina 11
Virus
• Un virus se define como una porción de código de programación cuyo objetivo es implementarse a si mismo en un archivo ejecutable y multiplicarse sistemáticamente de un archivo a otro.
• Además de esta función primaria de "invasión" o "reproducción", los virus están diseñados para realizar una acción concreta en los sistemas informáticos
Roberto Gómez CárdenasLámina 12
Ejemplos de virus
• El caballo de Troya • El pakistaní• El cascada • El Alabama • El Jerusalén• El Miguel Angel• El ping pong • El Viena
• El natas • El dos piernas • El stoned noit• El Dark Aveger• El ping pong • El I love you• El trojan• El killer
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 7
Roberto Gómez CárdenasLámina 13
Variantes relacionadas con virus
• En ocasiones de habla de estas variantes como si de virus se tratara, cuando en realidad son conceptualmente diferentes.
• Algunos antivirus pueden detectarlos.• Estas variantes son:
– Troyanos– Gusanos– Bomba lógica
Roberto Gómez CárdenasLámina 14
Es un programa que produce copias de símismo de un sistema a otro a través de la red; en las máquinas que se instala, produce enormes sobre-cargas de procesamiento que reducen la disponiblidad de los sistemas afectados.
Los gusanos
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 8
Roberto Gómez CárdenasLámina 15
El gusano navidad.exe (1)
Roberto Gómez CárdenasLámina 16
El gusano navidad.exe (2)
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 9
Roberto Gómez CárdenasLámina 17
El gusano navidad.exe (3)
Roberto Gómez CárdenasLámina 18
El Caballo de Troya
• Objetivo principal: recuperación información confidencial de un organismo o un usuario.
• Se basa en substituir un programa de servicio común por uno alterado por el intruso para recuperar información.
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 10
Roberto Gómez CárdenasLámina 19
Un ejemplo de caballo de Troya
• El Caballo de Troya por login es uno de los más comunes.
• En este ataque, el usuario encuentra su estación de trabajo con una pantalla solicitándole su login.
• El usuario inadvertido teclea su login y su passwordcomo de costumbre; esta vez recibiendo un mensaje de error.
login: mbuiPassword:Login incorrect
Roberto Gómez CárdenasLámina 20
Continuación del ejemplo
• En el segundo intento, el usuario logrará acceder al sistema.
• El no sabe que su password fue almacenado en algún archivo donde, más tarde, el creador del Caballo de Troya lo recuperará.
• El falso programa de login, después de almacenar el password robado, invoca el verdadero programa de login, dejando al usuario actuar con una nueva sesión de login.
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 11
Roberto Gómez CárdenasLámina 21
Trapdoors, backdoors o puertas traseras
• Es frecuentemente creado por el diseñador del sistema; sin embargo, en ocasiones existe por accidente.
• Algunas veces es creado durante las pruebas de implementación de un sistema y después es olvidado.
• Otras veces, es usado por el proveedor para “atar” al cliente que compro dicho sistema.
Roberto Gómez CárdenasLámina 22
Ejemplo puerta trasera
• Programa buscaminas de Windows 2000• Correr Minesweeper, teclear “xyzzy” y presionar
Shift + Enter.• Buscar un pixel blanco en la parte superior
izquierda de la pantalla– si no se ve configurar pantalla– conforme se mueve el raton por las celdas del
buscaminas el pixel desaparece y aparece: desaparece cuando hay una mina en la celda y viceversa
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 12
Roberto Gómez CárdenasLámina 23
Precauciones a tomar en cuenta
• Estar seguros de que en realidad se necesita el software
• No pueden proporcionarmelo en el área de sistemas.
• Preguntar si alguien más lo ha usado y si ha tenido problemas.
• De preferencia que sea software recomendadopor la misma marca del browser.
Roberto Gómez CárdenasLámina 24
Virus, backdoors y caballos troya
• Diferencias que hay que tomar en cuenta para protegernos mejor
• Virus– el programa por sí solo se ejecuta– vive dentro de otro programa– escala en memoria
• Backdoor– después de que alguien “entró” al sistema lo deja para seguir
con el control sobre el sistema.• Caballo de troya
– se le envía al usuario para que lo ejecute
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 13
Roberto Gómez CárdenasLámina 25
Bombas lógicas
• Una bomba lógica es una modificación en un programa que lo obliga a ejecutarse de manera diferente bajo ciertas circunstancias
• Bajo condiciones normales, el programa se comporta como previsto y, la bomba no puede ser detectada.
• Un ejemplo de pseudocódigo es:IF Profesor = jvazquez THEN salario == Horas * Rango * 1.1
ELSE salario == Horas * Rango
Roberto Gómez CárdenasLámina 26
Atacando a los usuarios
• Malware• Spyware• Adware• Phishing
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 14
Roberto Gómez CárdenasLámina 27
Hoax (engaño, burla, petardo)
• Tipicamente son alertas de peligro, o peticiones de ayuda, empezadas por gente maliciosa - y divulgadas por usuarios inocentes que piensan que estan ayudando a la comunidad al espacir la advertencia.
• El incremento de virus y programas troyanos muchos usuarios han usado Internet como un medio para alertar a amigos y colegas de trabajo acerca de estos menesteres.
Roberto Gómez CárdenasLámina 28
Algunos ejemplos de hoax
• A Virtual Card For You• A.I.D.S. Virus Hoax• ANTHRAX Virus Hoax• Anticristo Virus Hoax• AOL4FREE• ASPARTAME HOAX• Big Brother Hoax• BLOAT VIRUS HOAX• BUDSAVER.EXE• SULFNBK Hoax• Win A Holiday
• Celulares Hoax• D@fit Hoax• Dangerous HIV Hoax• Death Ray• Deeyenda Virus Hoax• NEW YORK BIG DIRT
HOAX• Perrin Hoax• PIKACHUS BALL
HOAX• PKZ300 Warning
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 15
Roberto Gómez CárdenasLámina 29
1er. ejemplo Hoax
Mr. Xxxxx wrote:Unanse a esta buena causa:
SE TRATA DE LA PEQUEDA LLAMADA JESSICA MYDEK TIENE SIETE ANOS DE EDAD Y SUFRE DE UN AGUDO Y MUY RARO CASO DE CARCINOMA CEREBRAL ESTA ENFEREMEDAD TERMINAL PROVOCA LA APARICION DE DIVERSOS TUMORES MALIGNOS EN EL CEREBRO.
LOS DOCTORES LE HAN PRONOSTICADO A JESSICA SEIS MESES DE VIDA, YCOMO PARTE DE SUS ULTIMOS DESEOS ELLA QUIZO INICIAR UNA CADENA DE E-MAILS INFORMANDO DE SU CONDICION Y ENVIAR EL MENSAJE A LA GENTE PARA QUE VIVA AL MAXIMO Y DISFRUTEN DE CADA MOMENTO DE SU VIDA, UNA OPORTUNIDAD QUE ELLA NUNCA TENDRA.
ADICIONALMENTE, LA SOCIEDAD AMERICANA DE LUCHA CONTRA EL CANCER, JUNTO CON OTRAS EMPRESAS PATROCINADORAS, ACORDARON DONAR TRES CENTAVOS QUE SERAN DESTINADOS A LA INVESTIGACION DEL CANCER POR CADA PERSONA QUE ENVIE ESTE MENSAJE. POR FAVOR, DENLE A JESSICA Y A TODAS LAS VICTIMAS DEL CANCER UNA OPORTUNIDAD.
Roberto Gómez CárdenasLámina 30
1er. ejemplo Hoax (cont)
Lo unico que tienen que hacer para incrementar el numero de personas en esta cadena es:
Primero: dirija este e-mail a [email protected]: en la parte donde dice CC agregue los e-mails de todos los amigos y colegas que
conozca
Saludos cordiales,Alfonso
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 16
Roberto Gómez CárdenasLámina 31
¿Y para qué quiero direccioneselectrónicas?
Roberto Gómez CárdenasLámina 32
¿Y cuánto cuesta?
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 17
Roberto Gómez CárdenasLámina 33
Este reenvio lo recibí de un amigo hoy y es verdad lo busqué con estas instrucciones y lo encontré,lo tenía sin saberlo.No lo detecta el Norton 2001 ni McAfee, los tengo instalados y pasóigual. Un virus está llegando a través de los mails de modo oculto.Gracias a un aviso pude detectarlo (lo tenía sin saberlo) y eliminarlo.Buscarlo del siguiente modo:
1.Ir a Inicio 2.Luego: Buscar 3.Archivo o carpeta 4.Tipear el archivo: sulfnbk.exe5.Eliminar (NO ABRIRLO)6.Eliminar de la papelera de reciclaje
Gracias a estas instruciones lo eliminé..suerte..
2do. ejemplo hoax
Roberto Gómez CárdenasLámina 34
Spam
• Intento de entregar un mensaje, a través de Internet, a una persona que de otra forma no hubiera elegido recibirlo.
• Cada vez recibimos más correos no deseados:– Ventas.– Insultos.– Bombardeos.– Pornografía– Hoax
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 18
Roberto Gómez CárdenasLámina 35
Ejemplo spam
Roberto Gómez CárdenasLámina 36
Aclaración sobre SPAM
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 19
Roberto Gómez CárdenasLámina 37
El spim
• La versión del spam para mensajería instantánea• Se presenta interrumpiendo conversaciones en MSN
Messenger o AIM, en forma de información no solicitada o mensajes publicitarios
• La mayoría de los mensajes spim, son – publicidad de sitios pornográficos, o– tros hacen publicidad de formulas para hacerse rico
rápidamente, – el resto se refieren a productos o créditos financieros
Roberto Gómez CárdenasLámina 38
Consecuencias del spim
• Se considera que el spim es más intrusivo que el spam– pues se abren en forma de pop up justo después de que el
usuario se haya autentificado, por lo que, es imposible cerrarlos sin verlos
• Causas crecimiento spim– enorme crecimiento de la utilización de los sistemas de
mensajería instantánea, que han pasado de 10 millones de usuarios en 2.002 a una estimación de 182 millones en 2.007.
– la proliferación de filtros y sistemas antivirus se esta convirtiendo en un problema para los ""spammers" profesionales, que tienen que buscar otros campos de actividad
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 20
Roberto Gómez CárdenasLámina 39
¿Qué hacer con los hoaxes/spams?
• No redireccionar mensajes de este tipo.– sistema correo puede colapsar debido al redireccionamiento de
este tipo de mensajes
• Los corporativos pueden confrontar este tipo de problemas, con un politicas del estilo:– usuarios finales no deben difundir alertas de viurs– cualquier informe de virus se debe enviar al departamento de
sistemas de información
Roberto Gómez CárdenasLámina 40
Ingeniería Social.
• Es una de las formas más comunes para penetrar sistemas de “alta seguridad”.
• Uso de trucos psicologicos, por parte de un atacante externo, sobre usuarios legitimos de un sistema para obtener información (usenames y passwords) necesaria para acceder a un sistema.
• Se basa en ataques como: usurpación de identidad, pepena, inocencia de la gente, relaciones humanas, etc.
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 21
Roberto Gómez CárdenasLámina 41
Ejemplo ingeniería social
"Hi Bev, this is Sam from the IS Department. We just got in a new corporate screensaver and since you’re the VP’s secretary you will get it first. It’s really cool wait ‘till you see it. All I need is your password so I can log on to your PC from the computer center and install it.
Oh Great!!!!!! My password is rover. I can’t wait to see that new screen saver!!!!!"
Roberto Gómez CárdenasLámina 42
Otro ejemplo
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 22
Roberto Gómez CárdenasLámina 43
Malware, spyware y adware (i)
• Malware – consistente en un pequeño programa alojado dentro de otra
aplicación (imagen, archivo de música,…), que se instala en el sistema al ejecutar el archivo que lo contiene y que puede llegar a un ordenador por diversos medios (correo, redes P2P, paginas web, spyware, etc).
• Spyware– espiar las acciones del usuario legítimo de la computadora
hace– también conocido como spybot o tracking software
Roberto Gómez CárdenasLámina 44
Malware, spyware y adware (ii)
• Spyware– tecnología de recolección de información acerca de una
persona u organización sin su conocimiento– a nivel usuario la información se usa para los publicistas
• Adware– aplicación en la que banners de publicidad son
desplegados mientras el programa se ejecuta– empieza en programas tipo shareware– autores aplicaciones incluyen código adicional que entrega
la publicidad que puede ser vista a través de ventanas pop-up o través de una barra que se despliega en pantalla
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 23
Roberto Gómez CárdenasLámina 45
El phishing
• Suplantación de páginas y/o sitios de Internet, que permite al estafador, mediante el engaño, conocer los datos privados y personales que usted utiliza para la realización de operaciones económicas.
• Habitualmente usa correo electrónico para enviar mensajes supuestamente originados en una entidad de confianza
• Pedir datos necesarios para poder realizar operaciones en las cuentas de la entidad: – usuario, Clave de acceso, ClavePersonal, Firma, etc.
• Correo electrónico, Ingeniería Social y el Spam son los grandes aliados del “phishing”
Roberto Gómez CárdenasLámina 46
El inicioEstimado cliente de Banamex
Durante nuestro programado mantenimiento regular y procesos de verificación, hemosdetectado un error en la información que tenemos registrada de su cuenta.Esto se debe a algunos de estos factores:
1. Un cambio reciente en su información personal2. Que se haya proporcionado información invalida durante su proceso inicial de registro con bancanet o queusted aun no haya realizado dicho registro.3. La inhabilidad de verificar con exactitud la opción de su elección concerniente a su forma preferente de pagoy manejo de cuenta debido a un error técnico interno dentro de nuestros servidores al momento del registro.
Favor de actualizar y verificar la información de su cuenta haciendo clic en la siguiente liga. Será redirigido a la pagina principal de nuestro sitio en Internet donde podrá actualizar su información personal.http://banamex.com.mx/eng/personal/login.html
Si la información en su cuenta no se actualiza en las siguientes 48 horas algunos servicios en el uso y accesode su cuenta serán restringidos hasta que esta infamación sea verificada y actualizada.De antemano agradezco su pronta atención este asunto
Departamento de Validación
“D.R. © Copyright 2005, Derechos Reservados. Banco Nacional de México, S.A., integrante de Grupo Financiero Banamex. Isabel la Católica 44. Col. Centro Histórico. Del. Cuauhtémoc. C.P. 06000, México, Distrito Federal, México
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 24
Roberto Gómez CárdenasLámina 47
Página redireccionada
Roberto Gómez CárdenasLámina 48
Página original
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 25
Roberto Gómez CárdenasLámina 49
Actores y elementos
• El usuario– computadora personal
• El atacante– montar un sitio web– enviar los correos electrónicos
• El banco– notificación del aviso.
• Mulas – son los intermediarios mas o menos inocentes que facilitan el
blanqueo de los fondos estafados. – si conocen cual es su papel están participando en un delito.
Roberto Gómez CárdenasLámina 50
El pharming
• Modalidad de fraude en línea que consiste en suplantar, mediante la introducción de un troyano, el sistema de resolución de nombres de dominio (DNS) de la maquina infectada para conducir al usuario a una página web falsa.
• Se cambia el contenido tabla DNS de forma que asocia el nombre del banco a una dirección falsa, la del estafador, en vez de la dirección real.– cuando vícitima teclea el nombre su banco y aparentemente
le aparece la pagina del mismo, realmente esta viendo una página falsa y cualquier dato sensible que introduzca cae en manos del estafador.
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 26
Roberto Gómez CárdenasLámina 51
El scam
• Puede considerarse como la segunda parte del 'phishing‘y se orienta a la captación de intermediarios, “mulas”en el argot, para blanquear el dinero obtenido con el phishing.
• La estafa se desarrolla en tres fases• Fase 1:
– se oferta, a través de chats, correos electrónicos o anuncios difundidos por Internet, trabajo fácil desde el domicilio con el que se pueden obtener grandes beneficios.
– las condiciones para optar a este "trabajo" son: • una conexión a Internet de 24 horas, • una cuenta corriente propia y conocimiento de los sistemas
internacionales de envío de dinero (Paypal, Western Union, etc.
Roberto Gómez CárdenasLámina 52
Las otras dos fases
• Fase 2:– La segunda fase es el phishing.
• Fase 3:– en la tercera fase, después que la víctima facilita las claves de
su cuenta on line, los delincuentes efectúan transferencias de fondos de esas cuentas hacia las de los intermediarios.
– efectuado el ingreso, contactan con ellos por correo electrónico indicándoles las directrices sobre cómo y dónde remitir el dinero que consistente en remitirlo a terceras personas mediante transferencias que efectúan por medio de los sistemas de envío rápido de dinero.
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 27
Roberto Gómez CárdenasLámina 53
APWG (www.antiphishing.org)
Fuente: Websense, Inc.
Roberto Gómez CárdenasLámina 54
Más datos
Seguridad Informática Roberto Gómez Cárdenas
Introducción al Malware 28
Roberto Gómez CárdenasLámina 55
Nombramiento malware
• Desde 1991, los miembros de CARO (ComputerAntivirus Researchers Organization) designaron un nombramiento (COMPUTER MALWARE NAMING SCHEME) para su uso en antivirus.
<tipo de malware>://<plataforma>/<nombredefamilia>.<nombredegrupo>.<tamañodeinfector>.<variante><devolución><modificadores>
Roberto Gómez CárdenasLámina 56
Introducción al malware
Dr. Roberto Gómez Cá[email protected]
http://homepage.cem.itesm.mx/rogomez
Top Related