• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Evolución del Malware
 

Evolución del Malware

on

  • 3,241 views

Charla impartida por Alfonso Tapia, de Bitdefender, en el Curso de Verano 2009 de Seguridad Informática en la Universidad de Salamanca.

Charla impartida por Alfonso Tapia, de Bitdefender, en el Curso de Verano 2009 de Seguridad Informática en la Universidad de Salamanca.

Statistics

Views

Total Views
3,241
Views on SlideShare
2,522
Embed Views
719

Actions

Likes
2
Downloads
116
Comments
0

3 Embeds 719

http://www.elladodelmal.com 556
http://elladodelmal.blogspot.com 160
http://www.slideshare.net 3

Accessibility

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Evolución del Malware Evolución del Malware Presentation Transcript

    • AYER Y HOY DE AMENAZAS Y SOLUCIONES. LOS VIRUS MUTAN… EN COSAS MUCHO MÁS PELIGROSAS.
    • Etapas de la evolución de las amenazas Lógica subyacente en esta evolución:
    • Etapas de la evolución de las amenazas Lógica subyacente en esta evolución:
    • Etapas de la evolución de las amenazas Lógica subyacente en esta evolución: “Hegel introdujo un sistema para entender la historia de la filosofía y el mundo mismo, llamado a menudo “dialéctica”: una progresión en la que cada movimiento sucesivo surge como solución de las contradicciones inherentes al movimiento anterior “ Tesis-Antitesis-Síntesis.
    • Etapas de la evolución de las amenazas 1 ª Etapa • Un número “reducido” de amenazas. • Capacidad de propagación “Lenta”. • Motivaciones variopintas. • Firmas de virus.
    • Etapas de la evolución de las amenazas 2 ª Etapa • Número de amenazas en claro crecimiento. • Capacidad de propagación se convierte en letal. Las Brechas de Oportunidad son críticas. • Tecnologías Heurísticas
    • Etapas de la evolución de las amenazas 3 ª Etapa • Siguen Creciendo el número de amenazas. Permutaciones de código.
    • Etapas de la evolución de las amenazas 3 ª Etapa • Siguen Creciendo el número de amenazas. Permutaciones de código. • Las limitaciones de las tecnologías Heurísticas en detección. Falsos Positivos.
    • Etapas de la evolución de las amenazas 3 ª Etapa • Siguen Creciendo el número de amenazas. Permutaciones de código. • Las limitaciones de las tecnologías Heurísticas en detección. Falsos Positivos.
    • Etapas de la evolución de las amenazas 3 ª Etapa • Siguen Creciendo el número de amenazas. Permutaciones de código. • Las limitaciones de las tecnologías Heurísticas en detección. Falsos Positivos.
    • Etapas de la evolución de las amenazas 3 ª Etapa • Siguen Creciendo el número de amenazas. Permutaciones de código. • Las limitaciones de las tecnologías Heurísticas en detección. Falsos Positivos. • El ruido.
    • Etapas de la evolución de las amenazas 3 ª Etapa • Siguen Creciendo el número de amenazas. Permutaciones de código. • Las limitaciones de las tecnologías Heurísticas en detección. Falsos Positivos. • El ruido. • Las máquinas virtuales.
    • Etapas de la evolución de las amenazas 4 ª Etapa • El limite de una tecnología. El rendimiento. • El análisis de solo lo que puede ser peligroso. • Cibercrimen. • http://qscan.bitdefender.com
    • Estadísticas de Malware • El presente informe está basado en los datos recibidos mediante el módulo RTVR (Real Time Virus Reporting) de BitDefender y estadísticas Oficiales estatales. • Se trata de un módulo integrado en nuestras soluciones para disminuir al máximo el tiempo de respuesta frente a nuevas amenazas • BitDefender cuenta con unos 20 millones de sensores repartidos en 180 paises.
    • Malware : Definición • Malware - hace referencia a virus, gusanos y troyanos que realizan tareas malintencionadas en un sistema • No se considera malware: 3. Hoax
    • Malware : software malintencionado • Malware - hace referencia a virus, gusanos y troyanos que realizan tareas malintencionadas en un sistema • No se considera malware: 3. Hoax 4. Jokes. Un virus Joke es un virus que trata de provocar un efecto molesto o humorístico como una broma
    • Malware : software malintencionado • Malware - hace referencia a virus, gusanos y troyanos que realizan tareas malintencionadas en un sistema • No se considera malware: 3. Hoax 4. Jokes. Un virus Joke es un virus que trata de provocar un efecto molesto o humorístico como una broma 5. Spam
    • Malware : software malintencionado • Malware - hace referencia a virus, gusanos y troyanos que realizan tareas malintencionadas en un sistema • No se considera malware: 3. Hoax 4. Jokes. Un virus Joke es un virus que trata de provocar un efecto molesto o humorístico como una broma 5. Spam 6. Spyware. Su función es recopilar información del usuario y venderlo a empresa publicitarias.
    • Malware : software malintencionado • Malware - hace referencia a virus, gusanos y troyanos que realizan tareas malintencionadas en un sistema • No se considera malware: 3. Hoax 4. Jokes. Un virus Joke es un virus que trata de provocar un efecto molesto o humorístico como una broma 5. Spam 6. Spyware. Su función es recopilar información del usuario y venderlo a empresa publicitarias. 7. Adware
    • Malware : software malintencionado • Malware - hace referencia a virus, gusanos y troyanos que realizan tareas malintencionadas en un sistema • No se considera malware: 3. Hoax 4. Jokes. Un virus Joke es un virus que trata de provocar un efecto molesto o humorístico como una broma 5. Spam 6. Spyware. Su función es recopilar información del usuario y venderlo a empresa publicitarias. 7. Adware 8. Cookies
    • Troyanos a) Troyanos de acceso remoto: permiten al atacante o ladrón de datos hacerse con el control de un sistema de forma remota b) Rootkits: es una herramienta, o un grupo de ellas que tiene como finalidad esconderse a sí misma y esconder otros programas, procesos, archivos, directorios, claves de registro y puertos.
    • Incidencias de seguridad en España Más del 85% de los equipos analizados tenían amenazas activas
    • Medidas de seguridad Solo el 70% utiliza un antivirus.
    • Ranking de países origen de ataque POSICION PAIS % EN EL TOTAL NUMERO DE ATAQUES 1 CHINA 75,00% 2 EEUU 7,00% 3 HOLANDA 3,20% 4 ALEMANIA 1,90% 5 RUSIA 1,80% 6 LETONIA 1,50% 7 INGLATERA 1,10% 8 UCRAINA 1,00% 9 CANADA 0,60% 10 ISRAEL 0,50% 11 OTROS 6,20%
    • Top países atacados POSICION PAIS % ATAQUES 1 CHINA 54,00% 2 EGIPTO 15,00% 3 TURQUIA 3,00% 4 INDIA 2,00% 5 EEUU 1,70% 6 VIETNAM 1,50% 7 RUSIA 1,40% 8 MEXICO 1,30% 9 ARABIA SAUDI 1,20% 10 ALEMANIA 1,00% 11 OTROS 17,90%
    • Evolución de las amenazas en la Red COMO EVOLUCIONARON LAS AMENAZAS DURANTE EL 2008 A lo largo del pasado 2008, los usuarios de Internet tuvieron que enfrentarse a una cifra aproximada de 20.000 nuevos y mutados virus diarios, casi 50.000 intentos de phishing por mes y más de 1.000.000 de equipos infectados y utilizados para expandir bots, rootkits y troyanos, entre otro tipo de malware. Más del 80% de malware distribuido por todos los países del mundo pertenece a la familia de los troyanos  Las 3/4 partes de estos troyanos continúan teniendo complejos mecanismos de actualización, son muy “sigilosos” a la hora de la carga y descarga de datos y, además, realizan funciones de spyware y rootkit  El nivel de amenazas basadas en Web se ha incrementado en un 460%  Se ha triplicado en volumen de vulnerabilidades JavaScript vía SQL
    • Top 10 Malware BitDefender
    • Evolución de las amenazas en la Red COMO EVOLUCIONARON LAS AMENAZAS DURANTE EL 2008  Los acontecimientos mundiales más utilizados como excusa para propagar malware han sido: la crisis financiera mundial, el conflicto entre Iran y Estados Unidos, Los Juegos Olímpicos y las elecciones norteamericanas.  El texto sin formato continúa siendo el preferido a la hora de enviar spam, llegando a ser el 80% de los casos a finales de 2008, mientras que el spam con imágenes se ha encontrado tan sólo en un 1,5%. El spam con adjuntos infectados o links que redirigen a páginas donde se insta al usuario a descargarse programas maliciosos, se ha incrementado en un 400% El 5% de spam con phishing incluye adjuntos HTML que sustrajeron datos críticos vía scripts PHP (en el primer semestre de 2008, representaba únicamente el 1%)  Los spammers centraron su atención en los mecanismos de confirmación de recepción de mensajes como método para incrementar la eficacia del spam
    • Evolución de las amenazas en la Red COMO ESTÁN EVOLUCIONANDO LAS AMENAZAS DURANTE EL 2009  Actualmente, casi el 45% del malware en activo se distribuye exclusivamente vía correo electrónico Las vulnerabilidades cada vez más se utilizan en la distribución de malware Top aplicaciones vulnerables: Adobe Flash Player Real Player Adobe Acrobat Reader Microsoft Office
    • Evolución de las amenazas en la Red COMO ESTÁN EVOLUCIONANDO LAS AMENAZAS DURANTE EL 2009  Actualmente, casi el 45% del malware en activo se distribuye exclusivamente vía correo electrónico Las vulnerabilidades cada vez más se utilizan en la distribución de malware Top aplicaciones vulnerables: Adobe Flash Player Real Player Adobe Acrobat Reader Microsoft Office
    • Evolución de las amenazas en la Red COMO ESTÁN EVOLUCIONANDO LAS AMENAZAS DURANTE EL 2009  Actualmente, casi el 45% del malware en activo se distribuye exclusivamente vía correo electrónico Las vulnerabilidades cada vez más se utilizan en la distribución de malware Top aplicaciones vulnerables: Adobe Flash Player Real Player Adobe Acrobat Reader Microsoft Office  La mayoría de las familias de amenazas están sufriendo mutaciones y actualizaciones, dirigidas a aumentar su sigilo y automatizar sus mecanismos de propagación  Está creciendo la utilización de aplicaciones cuyo objetivo es el de aprovecharse de Vulnerabilidades para el robo de contraseñas Se incrementan el phishing.
    • Evolución de las amenazas en la Red COMO ESTÁN EVOLUCIONANDO LAS AMENAZAS DURANTE EL 2009  Existe un gran crecimiento y evolución de las amenazas que están teniendo en cuenta la evolución de Web 2.0. La mayoría de las aplicaciones Web 2.0 seguirá orientándose a Redes Sociales.  Recientemente se diseñó un sitio falso para que fuese casi idéntico a Facebook y que contenía un falso vídeo de YouTube. Cuando el usuario quería acceder al vídeo se le requería descargar una aplicación llamada “Adobemedia11.exe” que no era más que un troyano cuyo objetivo era el de sustraer contraseñas. Esta amenaza monitorizaba los detalles de autentificación FTP, ICQ, POP3 (Correo) y robaba información de aplicaciones como Outlook Express, MSN Explorer y la función de autocompletado de Internet Explorer.
    • Evolución de las amenazas en la Red EJEMPLO NUEVAS AMENAZAS: GUSANO DOWNADUP / CONFICKER HISTORIAL DOWNADUP El gusano Downadup (también conocido con Conficker o Kido) fue detectado por primera vez en los laboratorios de BitDefender en noviembre de 2008 y en esos momentos utilizaba una vulnerabilidad de Microsoft para propagarse por la red e instalar un falso software de seguridad. Más tarde, a finales de diciembre del mismo año, se detectó otra versión con unos métodos de propagación mejorados y nuevas rutinas de actuación. Actualmente este gusano se propaga a través de medios de almacenamiento masivo USB y parchea funciones de TCP para bloquear el acceso a las páginas web de fabricantes antivirus y a las actualizaciones de Windows.
    • Evolución de las amenazas en la Red EJEMPLO NUEVAS AMENAZAS: DOWNADUP / CONFICKER Los sistemas infectados con este gusano son propensos a infectarse con más malware e incluso este mismo gusano puede llegar a mutar en el sistema (y, de hecho, lo hace). Al mismo tiempo se puede producir un incremento en el tráfico de red por los repetidos intentos de infección hacia los demás equipos de la red. La pérdida de información no es preocupante en estos casos, pero sí lo es la posibilidad de robo, pues el gusano puede descargar módulos adicionales desde Internet y enviar datos confidenciales hacia sus creadores. El gusano Downadup tiene la capacidad de convertir a los equipos infectados en zombies. Su propagación es rápida y agresiva, con un alto impacto en usuarios finales y empresas
    • Evolución de las amenazas en la Red EJEMPLO NUEVAS AMENAZAS: DOWNADUP / CONFICKER Vectores de ataque Downadup es un gusano que utiliza más de un vector de ataque:  Las unidades mapeadas contienen un archivo de configuración autorun.inf que ordena a los equipos visitantes ejecutar el gusano oculto  Mediante discos extraíbles utilizando el mismo fichero autorun.inf Intentando acceder a las cuentas de administrador en equipos de la misma red a la fuerza. Es decir, probando diferentes contraseñas con un bajo nivel de seguridad para la misma cuenta de administrador Además procura bloquear intentos de desinfección de la siguiente manera: Desactiva las actualizaciones de Windows Bloquea las conexiones a los servidores antivirus (bloqueando así el acceso a las actualizaciones de firma y a las herramientas de desinfección disponibles en Internet)
    • Evolución de las amenazas en la Red EJEMPLO NUEVAS AMENAZAS: DOWNADUP / CONFICKER Vectores de ataque La API utilizada para evitar emulación pertenece a funciones matemáticas que están ubicadas dentro de una librería matemática de Windows. Por ejemplo, funciones de computación trigonométrica. Estas funciones son poco utilizadas por los programas habituales. Para bloquear los dominios de fabricantes de software de seguridad, el gusano utiliza unas palabras clave. En caso de que alguna de las palabras se detecte la conexión a la página fallará mostrando el mensaje “Tiempo de espera agotado”. La lista de palabras clave utilizadas es la siguiente: * Virus * Panda * Drweb * gdata * emsisoft •avg. * spyware * Etrust * Centralcommand * hacksoft * arcabit * vet. * malware * Networkassociates * Ahnlab * hauri * cpsecure * bit9. * rootkit * Computerassociates * Esafe * ikarus * spamhaus * sans. * defender * f-secure * Avast * k7computing * castlecops * cert. * Microsoft * kaspersky * Avira * norman * threatexpert * avp. * symantec * jotti * quickheal * pctools * wilderssecurity *Sunbelt * norton * f-prot * comodo * prevx * windowsupdate * Fortinet * mcafee * nod32 * clamav * rising * nai. * Grisoft * trendmicro * eset * ewido * securecomputing * ca. * sophos
    • Evolución de las amenazas en la Red EJEMPLO NUEVAS AMENAZAS: DOWNADUP / CONFICKER Vectores de ataque  El gusano genera una lista de 250 dominios diarios donde conectarse y buscar actualizaciones de sus rutinas. El algoritmo que utiliza para generar estos nombres de dominio se basa en la fecha y hora actual, conectándose primero a una página para recopilar estos datos. Ejemplos de nombres de dominio generados: * opphlfoak.info * mphtfrxs.net * hcweu.org * tpiesl.info * bmqyp.com * aqnjou.info * kxxprzab.net  Se espera que algunos de estos dominios contengan otros programas maliciosos.  Este gusano es esencialmente un downloader extremadamente viral, que, antes o después, comenzará a descargar lo que se convertirá en un bot. Por ejemplo, creando un botnet que comienza a obedecer comandos desde un controlador remoto.
    • Evolución de las amenazas en la Red EJEMPLO NUEVAS AMENAZAS: DOWNADUP / CONFICKER COMO SOLVENTAR LA INFECCIÓN  Buscar el proceso y, si está en memoria, terminarlo  Obtener permisos de sistema para poder desinfectarlo  Eliminar el virus de su ubicación habitual  Realizar un escaneo en otras carpetas donde podría esconderse, y eliminarlo en caso de que se encuentre  Eliminar las claves de registro que el gusano añadió para ejecutarse con el inicio del sistema  Restaurar las actualizaciones de Windows http://bdtools.net
    • Evolución de las amenazas en la Red Situación de las empresas frente al malware Los fabricantes de seguridad nos encontramos con que pequeñas y medianas empresas están incrementando su riesgo debido a que muchas de ellas no tienen el nivel de seguridad necesario para hacer frente a los vectores que se están utilizando en la actualidad para infectar las redes. Amenazas como el gusano Conficker pueden infectar a millones de equipos, muchos de ellos en las redes empresariales mediante múltiples vectores de infección. Este tipo de amenazas no suelen tenerse en cuenta a la hora de configurar la red de pequeñas empresas. Una empresa puede infectarse por el gusano Conficker sin necesidad de estar conectada a Internet. Un empleado que se haya conectado e infectado mediante un equipo externo a la empresa, puede traer el gusano consigo, sin saberlo, entre los documentos contenidos en un dispositivo USB que infectará la red. Los cibercriminales pueden obtener datos críticos de forma rápida y sencilla una vez que se han infiltrado en la red. Troyanos y adware pueden recolectar números bancarios, detalles de las tarjetas de crédito u otro tipo de cuentas (mensajería instantánea, redes sociales o juegos online) cuando el usuario utiliza el teclado, o pueden reunir información del equipo como la versión del sistema operativo que utiliza, características del hadware o licencias de software.
    • Evolución de las amenazas en la Red Situación de las empresas frente al malware Toda esta información es susceptible de ser vendida y utilizada con propósitos de monitorización a la hora de desarrollar nuevos métodos de ataques de phishing que creen estafas orientadas hacia un público determinado, utilizando internet como vía de propagación. Los phishers crean web falsas, copias idénticas visuales de entidades legítimas, construidas con el único propósito de robar las credenciales de acceso del usuario o engañarle para que descargue aplicaciones en su equipo. Las víctimas son invitadas a dichas webs a través de mensajes de spam enviados vía equipo infectado.
    • Evolución de las amenazas en la Red Servicios en la nube La nube aún tiene un largo camino por recorrer, sobre todo, en lo que se refiere a inversión necesaria para su implementación, así como en cuestiones tan delicadas como la confidencialidad y seguridad de los datos gestionados. Los servicios en la nube (SaaS) son especialmente útiles para aquellas pymes que deseen confiar a terceros la infraestructura de su centro de datos, o en el caso de corporaciones que quieran ampliar su capacidad de procesamiento a un menor coste. Un proveedor de servicio, una plataforma de hardware y una versión de software siendo utilizada por diferentes compañías puede suponer diferentes brechas y fallos en el servicio que ofrezca el proveedor. Cuanta más popularidad e implementación tenga el concepto de la nube, las plataformas de servicios se convertirán cada vez más en el objetivo de los cibercriminales. Cuanto más se rompa el perímetro de la red, más probabilidades hay de ser víctima de un ataque
    • Evolución de las amenazas en la Red Seguridad en la nube Los factores más importantes de una solución de seguridad en la nube es su escalabilidad, el menor consumo de recursos que deja y la facilidad en su administración.  No necesita la descarga de ningún motor ni depende de actualizaciones  Los motores de análisis están alojados en los servidores  No consume gran cantidad de recursos ni ancho de banda http://qscan.bitdefender.com.
    • CONCLUSIONES EL MUNDO SE MUEVE POR AMOR
    • CONCLUSIONES EL MUNDO SE MUEVE POR AMOR POR AMOR AL DINERO
    • Más Información: www.bitdefender.es http://qscan.bitdefender.com alfonsotapia@bitdefender.es