Anatomia malware moderno angel serrano palo_altonetworks

810 views
643 views

Published on

Presentación “Anatomía del malware moderno” de Angel Serrano, Ingeniero de Preventa de Palo Alto Networks Iberia en la XIII Jornada de Seguridad TI de Nextel S.A.

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
810
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Anatomia malware moderno angel serrano palo_altonetworks

  1. 1. Anatomía del Malware Moderno Angel Serrano aserrano@paloaltonetworks.com
  2. 2. Mitología en las brechas de seguridad
  3. 3. Invertimos en proteger nuestros datacenters
  4. 4. En raras ocasiones el datacenter es atacado directamente
  5. 5. Ya no hay tanto escaneo de vulnerabilidades
  6. 6. El nuevo atacante
  7. 7. El nuevo atacante no es un “friki” aburrido
  8. 8. Se trata de naciones y crimen organizado,con objetivos económicos en muchos casos
  9. 9. Cómo funcionan las brechas de seguridad en 2011
  10. 10. Primer paso: crear un cebo atractivo para el usuario final
  11. 11. Primer paso: cebo para el usuario final Lanzamiento del phishing
  12. 12. Primer paso: cebo para el usuario final
  13. 13. Segundo paso: se explota una vulnerabilidad
  14. 14. Tercer paso: se descarga una backdoor
  15. 15. Cuarto paso: se establece un canal trasero
  16. 16. Quinto paso: explorar y robar
  17. 17. Deteniendo el malware moderno en práctica: WildFire
  18. 18. La protección es necesaria en todas las fases Canal Cebo Exploit Backdoor Robo Trasero
  19. 19. Protección para el cebo • Bloquear aplicaciones innecesarias• Controlar transferencias de ficheros por usuarios,aplicaciones y tipo de fichero• Bloquear acceso a URLs de Malware
  20. 20. Protección de exploits • Descubrir las vulnerabilidades antes que los chicosmalos• Firmas para el IPS de las nuevas vulnerabilidades
  21. 21. Protección de descargas • Firmas Anti-Malware disponibles para toda la comunidad dentro de la primera hora desde el descubrimiento• Control de descargas para HTTP/S
  22. 22. Protección de puertas traseras • Bloquear tráfico de aplicaciones desconocidas• Usar heurísticas para detectar comunicaciones por puertas traseras• C&C firmas disponibles para el nuevo malware descubierto
  23. 23. Protección contra el robo • Segmentación de la red• Controles de acceso a los datos por usuario y aplicación
  24. 24. Retos actualesLos ficheros infectados Incapacidad de reconocerestán ocultos ficheros con malware• Dentro de las aplicaciones • Malware focalizado• A través de tráfico cifrado, proxies • Malware nuevo, desconocido• Sobre puertos no estándar •Mucho tiempo hasta protección• Drive-by-downloads Puntos de control no fiables • Las sandboxes no son el punto de control, mientras que los puntos (fws)carecen de la inteligencia de la sandbox • Falta de control para tráfico saliente
  25. 25. WildFire en acción Comparación fich. conocidos Entorno Sandbox Generador de Firmas Portal Web AdministraciónFicheros Las firmas sedesconocidos El Firewall sirven a TODOSdesde Internet sube el los Firewalls a fichero a la través de nube updates WildFire regulares. El portal ofrece análisis forense.
  26. 26. WildFire en acción• Identifica el malware desconocido a través de la observación directa, en una sandbox virtual en la nube – Detecta más de 70 comportamientos maliciosos – La captura y la protección la realiza el firewall – El análisis realizado en la nube elimina la necesidad de adquirir hardware nuevo y proporciona un punto central de visibilidad• Automáticamente genera firmas para el malware identificado – Ficheros de infección y command-and-control – Distribuye las firmas a todos los firewalls a través de updates regulares• Proporciona análisis forense sobre el comportamiento del malware – Acciones realizadas sobre la máquina objetivo – Aplicaciones, usuarios y URLs relacionadas con el malware
  27. 27. WildFire en acciónEs necesario un AnálisisNGFW Centralizado• Debe decodificar las • Inteligencia y protección apps para buscar compartido con TODOS ficheros ocultos los firewalls• Debe controlar el SSL, • Sin necesidad de y las tácticas evasivas reevaluar ficheros• Aplicación en línea y • Actualizar fácilmente la bloqueo del tráfico lógica de detección C&C • Sin necesidad de utilizar nuevo hardware✓ ✓ ✓ ✓ ✓
  28. 28. Estadísticas WildFire durante la fase Beta• WildFire recibió 35.387 muestras y más del 7% fue clasificado como malware (unas 2.500)• De este malware, el 57% no tenía cobertura por ningún fabricante de AV, ni había sido visto por Virus Total en el momento del descubrimiento (unos 1.400)• Hotfile y AIM-Mail tuvieron una actividad malware muy alta, con un ratio de ficheros infectados de 10:1 frente a los limpios• El 15% del malware nuevo generó tráfico desconocido
  29. 29. Conclusión: la protección frente al malware avanzado es tarea de un next generation firewall
  30. 30. ¡Gracias por su atención!

×