El Malware en Mac OS X no es un juego                  de niños BitDefender MAXIMUM SECURITY. MAXIMUM SPEED.SLIDE 1
Whoami ●   He trabajado en importantes empresas como consultor especializado en     Computer Forensics, Honeynets, detecci...
http://conexioninversa.blogspot.comSLIDE 3
SLIDE 4
Agenda:BitdefenderEscenario actual del malwareMalware & Mac OSXCasos realesConclusionesSLIDE 5
BitDefender de un Vistazo • Fundada en 2001 • Un Líder de Soluciones Anti-Malware Proactivas • La Tecnología Utilizada por...
Escenario actual del malware BitDefender MAXIMUM SECURITY. MAXIMUM SPEED.SLIDE 7
Escenario de Amenazas - El Pasado     Fuentes de ataque      Tipos de amenazas     Medios de Proliferación                ...
Escenario de Amenazas de Internet - PresenteFuentes de ataque          Tipos de amenazas          Medios de Proliferación ...
Malware & Mac OSXSLIDE 10
SLIDE 11
SLIDE 12
Malware y otros monstruos en   Mac OSX BitDefender MAXIMUM SECURITY. MAXIMUM SPEED.SLIDE 13
Trojan.OSX.Jahlav.A: El troyano Jahlav fue descubierto a final de 2008, cuando   comenzó a ser distribuido como un códec d...
Trojan.OSX.OpinionSpy.A: Este malware se instala normalmente a   través de aplicaciones de libre distribución como salvapa...
R.A.T. (Remote Administration Tool): Hellraiser-Shell remota- Acceso sistemaficheros- Petición autenticación- Spotlight re...
El más divertido MACDEFENDER Rogue AV que llamaron MacDefender y lo distribuyeron con técnicas de BlackSEO por Internet. C...
Los origenes Se remontan a ChronoPay por la dirección de correo electrónico de ChronoPay a nombre de Alexandra Volkov. La ...
VIDEO DEMOSLIDE 19
VIDEO DEMOSLIDE 20
Un malware           en la oficinaSLIDE 21
CASO 1:Problema:Entidad financiera deja de operar en todos sus cajeros yservicios web debidos a un mal funcionamiento de s...
CASO 1:10:20 h del 17 de Agosto de 2010.Los usuarios de la LAN se quejan de que la red empieza a ser lentaServicios de dir...
Monitorizar ancho de bandaGrabar ficheros de tráfico de red .PCAPPasarlos por SNORT y Ooopsss!!! Sorpresa!!SLIDE 24
Monitorizar ancho de bandaGrabar ficheros de tráfico de red .PCAPPasarlos por SNORT y Ooopsss!!! Sorpresa!!SLIDE 25
Tenemos una IP de origen y precioso mac ¡¡Hora del análisis!!SLIDE 26
Análisis Obtención del disco duro de forma integra (con sus huellas) por medio tradicional :  (orden dependiente de cómo s...
VIDEO DEMOSLIDE 28
Hora del análisis… Verificamos lo último que se ha descargado y nos encontramos con un paquete llamado IWORK 09 Analizando...
Hora del análisis… Crea los siguientes ficheros: /System/Library/StartupItems/iWorkServices/iWorkServices /System/Library/...
Hora del análisis…  p2punlock          banclear  platform           clear  rand               get                     http...
Botnets en Mac OS X: iBotnet-Desplegada en Abril 2009.Ya existe una versión. F enel 2011-Infección mediante copias piratas...
Conclusiones               Conclusiones     Hola Frank,     ¿que haces      por aquí?    El Malware en Mac OS X ¡Existe!  ...
Conclusiones                El Malware en Mac OS X ¡Existe!            Troyanos                     Keylogger            S...
Pero lo peor de todo  SON LOS TROYANOS…
Troyanos humanos
Pedimos ayuda a Bitdefender Enviamos las firmas y en menos de cuatro horas disponiamos de una herramienta para su limpieza...
Protección y Administración del Cliente    Protección                   Administración     Proactiva                    Ce...
Administración del Servidor y de Puntos Finales• Capacidades de Administración de Red Integradas    – Versión de Microsoft...
Referencias… http://www.seguridadapple.com http://www.malwarecity.com http://conexioninversa.blogspot.com http://www.bitde...
Upcoming SlideShare
Loading in...5
×

El Malware en Mac Os X no es un juego de niños

842

Published on

Charla impartida por Pedro Sánchez en el IV Curso de Verano de Seguridad Informática de la Universidad Europea de Madrid.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
842
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
67
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

El Malware en Mac Os X no es un juego de niños

  1. 1. El Malware en Mac OS X no es un juego de niños BitDefender MAXIMUM SECURITY. MAXIMUM SPEED.SLIDE 1
  2. 2. Whoami ● He trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5) y diversas metodologías de seguridad. También colaboro sobre seguridad y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guadia Civil y la Brigada de Investigación Tecnológica de la policia nacional. También he participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación nato secret. Actualmente soy miembro de la Spanish Honeynet Project y trabajo como Information Security and Forensics Consultant para dos grandes compañías como Bitdefender y Google inc.SLIDE 2
  3. 3. http://conexioninversa.blogspot.comSLIDE 3
  4. 4. SLIDE 4
  5. 5. Agenda:BitdefenderEscenario actual del malwareMalware & Mac OSXCasos realesConclusionesSLIDE 5
  6. 6. BitDefender de un Vistazo • Fundada en 2001 • Un Líder de Soluciones Anti-Malware Proactivas • La Tecnología Utilizada por los Partners OEM y 10 Millones de Clientes en Todo el Mundo • Distribución en más de 100 países • Nueve Oficinas Internacionales de Ventas - Sede de Marketing Mundial en Silicon Valley - Sede Mundial OEM en Silicon Valley • Producto Disponible en 18 Idiomas SLIDE 6
  7. 7. Escenario actual del malware BitDefender MAXIMUM SECURITY. MAXIMUM SPEED.SLIDE 7
  8. 8. Escenario de Amenazas - El Pasado Fuentes de ataque Tipos de amenazas Medios de Proliferación Dispositivo Virus Extraíble Gusanos de correo Gusanos exploit Adjuntos de correo Script Kiddies Rootkits Troyanos de puerta trasera Clientes de Mensajería Instantánea SLIDE 8
  9. 9. Escenario de Amenazas de Internet - PresenteFuentes de ataque Tipos de amenazas Medios de Proliferación Clientes de Mensajería Instantánea Virus Hackers Gusanos de correo Sitios Web Multimedia Legítimos Comprometidos Gusanos exploit Gusanos P2P Dispositivos extraíbles Phishing Redes P2P Crimen organizado Gusanos IM Rootkits Adjuntos de Troyanos de puerta Correo SPAM Dispositivos Redes Públicas Empresas Legítimas trasera Móviles Wi-Fi Spyware Adware Gobiernos extranjeros SLIDE 9 Greyware Aplicaciones Web 2.0
  10. 10. Malware & Mac OSXSLIDE 10
  11. 11. SLIDE 11
  12. 12. SLIDE 12
  13. 13. Malware y otros monstruos en Mac OSX BitDefender MAXIMUM SECURITY. MAXIMUM SPEED.SLIDE 13
  14. 14. Trojan.OSX.Jahlav.A: El troyano Jahlav fue descubierto a final de 2008, cuando comenzó a ser distribuido como un códec de vídeo falso, con el fin de atraer a los usuarios para descargar e instalar el malintencionado DMG de archivos, los creadores de este malware crearon una página con un "supuesto" vídeo. Si el usuario instalaba este falso codec, comenzaban a descargarse troyanos maliciosos desde un servidor web remoto.Trojan.OSX.RSPlug.A: El troyano RSPlug es uno de los más peligrosos para sistemas Mac OS X. También con la escusa de un codec engaña al usuario a descargar e instalar el DMG infectado. RSPlug está presente en sitios web con contenido pornográfico. Una vez instalado, el troyano suplanta los servidores DNS para redirigir el tráfico a páginas de phishing, para así recoger información sensible como datos bancarios, correo electrónico......Tool Trojan.OSX.HellRTS.A: Se trata de un kit de desarrollo de software malicioso complejo que permite a un atacante desarrollar su propia pieza de malware para Mac OS X a partir de una aplicación cliente-servidor, donde el servidor es el servicio de puerta trasera que se ejecuta en la máquina infectada y la aplicación cliente es usada por el atacante para ejecutar comandos. Este troyano diversas acciones contra nuestro equipo que van desde operaciones extremadamente dañinas hasta visionar el trabajo del usuario sin su conocimiento a través del módulo de Vista del escritorio.SLIDE 14
  15. 15. Trojan.OSX.OpinionSpy.A: Este malware se instala normalmente a través de aplicaciones de libre distribución como salvapantallas. El troyano OpinionSpy permite controlar la actividad del usuario y envía información sensible del mismo fuera de su ordenador. Esta amenaza supone un importante riesgo para la privacidad del usuario y para la seguridad de los datos almacenados.Trojan.OSX.Boonana.A: Boonana es un malware multiplataforma basado en Java que se puede ejecutar en Windows, Mac OS X o Linux y que utiliza las redes sociales como medio de propagación para descargar software malicioso. Entre sus acciones está la de alojar un par de archivos maliciosos en una carpeta invisible llamada “. Jñana“. A continuación, instala un servidor de IRC local y uno web, entre otros. El malware Boonana intenta cambiar la configuración del servidor DNS con el fin de realizar ataques phishing.SLIDE 15
  16. 16. R.A.T. (Remote Administration Tool): Hellraiser-Shell remota- Acceso sistemaficheros- Petición autenticación- Spotlight remoto- Keylogger SMTPReferencia:http://ithreats.net/2010/04/20/rat-for-mac/SLIDE 16
  17. 17. El más divertido MACDEFENDER Rogue AV que llamaron MacDefender y lo distribuyeron con técnicas de BlackSEO por Internet. Cuando las casas de antivirus empezaron a firmarlo los creadores de de MacDefender lo mutaron para sacar MacSecurity y MacProtector, hasta llegar a saturar los servicios profesionales de soporte de Apple A raíz de este punto se emitió un artículo en la knowledge base reconociendo que existía el problema, cómo quitarlo y que sacarían una Security Update para su solución. SLIDE 17
  18. 18. Los origenes Se remontan a ChronoPay por la dirección de correo electrónico de ChronoPay a nombre de Alexandra Volkov. La dirección de correo electrónico aparece en el registro de dominio para mac- defence.com y macbookprotection.com, dos sitios web de los usuarios de Mac están dirigidas a fin de comprar el software de seguridad. ChronoPay es el procesador de pagos ‘on-line’ más grande de Rusia. Los sitios web fueron acogidos en Alemania y fueron suspendidos por Webpoint.com. ChronoPay anteriormente había sido vinculado a otra estafa en la que los usuarios que participan en el intercambio de archivos se les pidió pagar una multa por desbloquear el software SLIDE 18
  19. 19. VIDEO DEMOSLIDE 19
  20. 20. VIDEO DEMOSLIDE 20
  21. 21. Un malware en la oficinaSLIDE 21
  22. 22. CASO 1:Problema:Entidad financiera deja de operar en todos sus cajeros yservicios web debidos a un mal funcionamiento de servicioscentrales.Impacto:Mala imagen. Perdida de reputación, la duración del problema setraslado durante horasAnálisisRed nativa en Windows, Active Directory, Exchange y…SLIDE 22
  23. 23. CASO 1:10:20 h del 17 de Agosto de 2010.Los usuarios de la LAN se quejan de que la red empieza a ser lentaServicios de directorio empiezan a fallar12:30 hLas unidades de red se desconectan cada cierto tiempoLos servidores funcionan correctamente pero la red no da servicioSe piensa y se comprueba: Un mal fallo en los Routers de la instalación Un nuevo especimen de malware se ha instalado y los AV no son capaces de detectarlo Un reciente actualización del aplicativo financiero ha provocado la inestabilidadSLIDE 23
  24. 24. Monitorizar ancho de bandaGrabar ficheros de tráfico de red .PCAPPasarlos por SNORT y Ooopsss!!! Sorpresa!!SLIDE 24
  25. 25. Monitorizar ancho de bandaGrabar ficheros de tráfico de red .PCAPPasarlos por SNORT y Ooopsss!!! Sorpresa!!SLIDE 25
  26. 26. Tenemos una IP de origen y precioso mac ¡¡Hora del análisis!!SLIDE 26
  27. 27. Análisis Obtención del disco duro de forma integra (con sus huellas) por medio tradicional : (orden dependiente de cómo se encuentra el sistema) Clonado del disco(s) Volcado de la memoria Análisis manual o semiautomático VOLAFOX SLIDE 27
  28. 28. VIDEO DEMOSLIDE 28
  29. 29. Hora del análisis… Verificamos lo último que se ha descargado y nos encontramos con un paquete llamado IWORK 09 Analizando el paquete vemos que hay un fichero Este se encuentra en: /System/Library/StartupItems/iWorkServices con atributos de read+write+execute Despues de la ejecución la puerta trasera verifica si eres administrador (sudo mode) utilizando "_geteuid" y"_getpwuid" Si no se ejecuta como administrador sale de la instalación SLIDE 29
  30. 30. Hora del análisis… Crea los siguientes ficheros: /System/Library/StartupItems/iWorkServices/iWorkServices /System/Library/StartupItems/iWorkServices/StartupParameters.plist /usr/bin/iWorkServices Y el fichero "StartupParameters.plist" contiene los siguientes datos: { Description = "iWorkServices"; Provides = ("iWorkServices"); Requires = ("Network"); OrderPreference = "None"; } e intenta conectarse a: 69.92.177.146:59201 qwfojzlk.freehostia.com:1024 SLIDE 30
  31. 31. Hora del análisis… p2punlock banclear platform clear rand get httpget rshell httpgeted script leafs sendlogs nodes set p2pihist shell p2pihistsize sleep p2plock socks p2pmode system p2ppeer uid p2ppeerport unknowns p2ppeertype p2pport uptime SLIDE 31
  32. 32. Botnets en Mac OS X: iBotnet-Desplegada en Abril 2009.Ya existe una versión. F enel 2011-Infección mediante copias piratas de: - iWork 09’ - Photoshop CS4.-Usando redes P2Phttp://www.securitybydefault.com/2009/04/ibotnet-red-basada-en-macs-zombies.html
  33. 33. Conclusiones Conclusiones Hola Frank, ¿que haces por aquí? El Malware en Mac OS X ¡Existe! Troyanos Keylogger un Me encontre Mac, sin insecticida Spyware Rootkits Virus Botnets SLIDE 33
  34. 34. Conclusiones El Malware en Mac OS X ¡Existe! Troyanos Keylogger Spyware Rootkits Virus Botnets SLIDE 34
  35. 35. Pero lo peor de todo SON LOS TROYANOS…
  36. 36. Troyanos humanos
  37. 37. Pedimos ayuda a Bitdefender Enviamos las firmas y en menos de cuatro horas disponiamos de una herramienta para su limpieza Características a día de hoy: – Protección en tiempo real – Detección ampliada – Fácil de usar – Análisis inteligente de virus • Firmas • Análisis Heurístico estático • Análisis Heurístico dinámico B-Have Bitdefender 2011 for MacSLIDE 37
  38. 38. Protección y Administración del Cliente Protección Administración Proactiva Centralizada SLIDE 38
  39. 39. Administración del Servidor y de Puntos Finales• Capacidades de Administración de Red Integradas – Versión de Microsoft del Lenguaje Script de Web-Based Enterprise Management (WBEM) para Puntos Finales y Servidores• Se incluyen más de 30 plantillas WMI Script Predefinidas – Cientos de Scripts Disponibles de forma Pública, Administración Remota Automatizada: • Termina aplicaciones y procesos • Instala y desinstala software (incluyendo otras soluciones AV) • Reiniciar o apagar las estaciones de trabajo • Activar/desactivar autoejecutables y unidades extraíbles USB• Paquetes de Instalación Cliente / Servidor Personalizables – Seleccionar características de la instalación y desactivar funciones no deseadas – Analizar el sistema antes de la Instalación SLIDE 39
  40. 40. Referencias… http://www.seguridadapple.com http://www.malwarecity.com http://conexioninversa.blogspot.com http://www.bitdefender.es pedro.sanchez@conexioninversa.com http://twitter.com/#!/ConexionInversa ¿Preguntas? SLIDE 40
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×