Mac os x & malware en tu empresa

3,783 views

Published on

Charla impartida por la empresa BitDefender en la Gira Up to Secure 2011.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,783
On SlideShare
0
From Embeds
0
Number of Embeds
2,379
Actions
Shares
0
Downloads
47
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Mac os x & malware en tu empresa

  1. 1. Mac OSX & Malware en tu empresa BitDefender MAXIMUM SECURITY. MAXIMUM SPEED. Pedro SánchezSLIDE 1
  2. 2. ¿Quien soy yo? Pedro Sánchez Zaragoza, SPAIN He trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI y diversas metodologías de seguridad. También colaboro sobre análisis forense informático con las fuerzas de seguridad del estado y diversas organizaciones comerciales. También he participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación NATO SECRET Actualmente soy miembro de la Spanish Honeynet Project. SLIDE 2
  3. 3. http://conexioninversa.blogspot.com SLIDE 3
  4. 4. Que hacemos?Especialistas en Análisis Forense Informático - Cualquier dispositivo que tenga un OS - Fugas de información - Litigios entre empresasAnálisis de seguridad en redesRespuesta ante incidentesImplantación de normasConsultoría de seguridadHacking ÉticoSLIDE 4
  5. 5. Pero no soy conocido por esto,precisamente fuí conocido por ESTO:SLIDE 5
  6. 6. SLIDE 6
  7. 7. Y Gracias a Chema Alonso…SLIDE 7
  8. 8. Una aclaración…me gustan las chicas SLIDE 8
  9. 9. Agenda:BitdefenderEscenario actual del malwareMalware & Mac OSXCasos realesConclusionesSLIDE 9
  10. 10. BitDefender de un Vistazo • Fundada en 2001 • Un Líder de Soluciones Anti-Malware Proactivas • La Tecnología Utilizada por los Partners OEM y 10 Millones de Clientes en Todo el Mundo • Distribución en más de 100 países • Nueve Oficinas Internacionales de Ventas - Sede de Marketing Mundial en Silicon Valley - Sede Mundial OEM en Silicon Valley • Producto Disponible en 18 Idiomas SLIDE 10
  11. 11. Hablamos de realidades• BitDefender proporciona un motor común de detección y desinfección en todos sus productos empresariales• Los motores se personalizan aún más para plataformas o aplicaciones específicas; por ejemplo Inspección URL y de Contenido• BitDefender detecta y protege de media, contra 120.000 nuevas amenazas al mes• Más de 4.000 nuevas firmas se añaden a la base de datos antivirus de todos los días• Los clientes de BitDefender obtienen protección continua con más de 16 actualizaciones al día.• El éxito de detección de BitDefender le ha llevado a ser adoptado por otros proveedores líderes de soluciones Antivirus SLIDE 11
  12. 12. Escenario actual del malware BitDefender MAXIMUM SECURITY. MAXIMUM SPEED.SLIDE 12
  13. 13. Escenario de Amenazas - El Pasado Fuentes de ataque Tipos de amenazas Medios de Proliferación Dispositivo Virus Extraíble Gusanos de correo Gusanos exploit Adjuntos de correo Script Kiddies Rootkits Troyanos de puerta trasera Clientes de Mensajería Instantánea SLIDE 13
  14. 14. Escenario de Amenazas de Internet - PresenteFuentes de ataque Tipos de amenazas Medios de Proliferación Clientes de Mensajería Instantánea Virus Hackers Gusanos de correo Sitios Web Multimedia Legítimos Comprometidos Gusanos exploit Gusanos P2P Dispositivos extraíbles Phishing Redes P2P Crimen organizado Gusanos IM Rootkits Adjuntos de Troyanos de puerta Correo SPAM Dispositivos Redes Públicas Empresas Legítimas trasera Móviles Wi-Fi Spyware Adware Gobiernos extranjeros SLIDE 14 Greyware Aplicaciones Web 2.0
  15. 15. Malware y otros monstruos en Mac OSX BitDefender MAXIMUM SECURITY. MAXIMUM SPEED.SLIDE 15
  16. 16. Malware & Mac OSXSLIDE 16
  17. 17. SLIDE 17
  18. 18. SLIDE 18
  19. 19. Malware & Mac OSX Caso 1: La espía que vino del frio BitDefender MAXIMUM SECURITY. MAXIMUM SPEED.SLIDE 19
  20. 20. CASO 1:Problema:Entidad financiera deja de operar en todos sus cajeros yservicios web debidos a un mal funcionamiento de servicioscentrales.Impacto:Mala imagen. Perdida de reputación, la duración del problema setraslado durante horasAnálisisRed nativa en Windows, Active Directory, Exchange y…SLIDE 20
  21. 21. CASO 1:10:20 h del 17 de Agosto de 2010.Los usuarios de la LAN se quejan de que la red empieza a ser lentaServicios de directorio empiezan a fallar12:30 hLas unidades de red se desconectan cada cierto tiempoLos servidores funcionan correctamente pero la red no da servicioSe piensa y se comprueba: Un mal fallo en los Routers de la instalación Un nuevo especimen de malware se ha instalado y los AV no son capaces de detectarlo Un reciente actualización del aplicativo financiero ha provocado la inestabilidadSLIDE 21
  22. 22. Monitorizar ancho de bandaGrabar ficheros de tráfico de red .PCAPPasarlos por SNORT y Ooopsss!!! Sorpresa!!SLIDE 22
  23. 23. Monitorizar ancho de bandaGrabar ficheros de tráfico de red .PCAPPasarlos por SNORT y Ooopsss!!! Sorpresa!!SLIDE 23
  24. 24. Tenemos una IP de origen y precioso mac ¡¡Hora del análisis!!SLIDE 24
  25. 25. Hora del análisis… Verificamos lo último que se ha descargado y nos encontramos con un paquete llamado IWORK 09 Analizando el paquete vemos que hay un fichero Este se encuentra en: /System/Library/StartupItems/iWorkServices con atributos de read+write+execute Despues de la ejecución la puerta trasera verifica si eres administrador (sudo mode) utilizando "_geteuid" y"_getpwuid" Si no se ejecuta como administrador sale de la instalación SLIDE 25
  26. 26. Hora del análisis… Crea los siguientes ficheros: /System/Library/StartupItems/iWorkServices/iWorkServices /System/Library/StartupItems/iWorkServices/StartupParameters.plist /usr/bin/iWorkServices Y el fichero "StartupParameters.plist" contiene los siguientes datos: { Description = "iWorkServices"; Provides = ("iWorkServices"); Requires = ("Network"); OrderPreference = "None"; } e intenta conectarse a: 69.92.177.146:59201 qwfojzlk.freehostia.com:1024 SLIDE 26
  27. 27. Hora del análisis… p2punlock banclear platform clear rand get httpget rshell httpgeted script leafs sendlogs nodes set p2pihist shell p2pihistsize sleep p2plock socks p2pmode system p2ppeer uid p2ppeerport unknowns p2ppeertype p2pport uptime SLIDE 27
  28. 28. Protección Proactiva DeMoSLIDE 28
  29. 29. Conclusiones El Malware en Mac OS X ¡Existe! Troyanos Keylogger Spyware Rootkits Virus Botnets SLIDE 29
  30. 30. Conclusiones DNS Changerac OS X: DNS Changer • Descubierto el 30 de Noviembre de 2007 • Incluido en cracks/keyloggers/Keygens/etc. • Bash Shell Script malicioso • Cambiaba los DNS para controlar el tráfico de navegación. • http://www.bitdefender.com/VIRUS-1000566-en-- MAC.OSX.Trojan.DNSChanger.A.html SLIDE 30
  31. 31. Rootkit en Mac OS X- T0rn Rootkit.- Trojanit Kit.- Tuxendo.Referencias:http://www.seguridadapple.com/2010/09/antirootkits-en-mac-os-x.html
  32. 32. Troyanos en Mac OS X: Boonana- Desplegado en Octubre de 2010- Utiliza un Applet Java para infectar a los usuarios.
  33. 33. Keylogger en Mac OS X- Application.OSX.KeyboardSpy.- HellRaiser. Keylogger incrustado en el troyano.Referencias:http://www.iantivirus.com/threats/index/query/A/
  34. 34. Troyanos en Mac OS X: Koobface- Desplegado el 27 de Octubre de 2010- Utiliza un Applet Java para infectar a los usuarios.- Filosofía KISS- También Linux (Ubuntu)
  35. 35. R.A.T. (Remote Administration Tool): Hellraiser-Shell remota- Acceso sistemaficheros- Petición autenticación- Spotlight remoto- Keylogger SMTPReferencia:http://ithreats.net/2010/04/20/rat-for-mac/
  36. 36. Botnets en Mac OS X: iBotnet-Desplegada en Abril 2009.Ya existe una versión. F enel 2011-Infección mediante copias piratas de: - iWork 09’ - Photoshop CS4.-Usando redes P2Phttp://www.securitybydefault.com/2009/04/ibotnet-red-basada-en-macs-zombies.html
  37. 37. Pero lo peor de todo SON LOS TROYANOS…
  38. 38. Troyanos humanos
  39. 39. Pedimos ayuda a Bitdefender Enviamos las firmas y en menos de cuatro horas disponiamos de una herramienta para su limpieza Características a día de hoy: – Protección en tiempo real – Detección ampliada – Fácil de usar – Análisis inteligente de virus • Firmas • Análisis Heurístico estático • Análisis Heurístico dinámico B-Have Bitdefender 2011 for MacSLIDE 39
  40. 40. Administración del Servidor y de Puntos Finales• Capacidades de Administración de Red Integradas – Versión de Microsoft del Lenguaje Script de Web-Based Enterprise Management (WBEM) para Puntos Finales y Servidores• Se incluyen más de 30 plantillas WMI Script Predefinidas – Cientos de Scripts Disponibles de forma Pública, Administración Remota Automatizada: • Termina aplicaciones y procesos • Instala y desinstala software (incluyendo otras soluciones AV) • Reiniciar o apagar las estaciones de trabajo • Activar/desactivar autoejecutables y unidades extraíbles USB• Paquetes de Instalación Cliente / Servidor Personalizables – Seleccionar características de la instalación y desactivar funciones no deseadas – Analizar el sistema antes de la Instalación SLIDE 40
  41. 41. Protección y Administración del Cliente Protección Administración Proactiva Centralizada SLIDE 41
  42. 42. Informes y Estadísticas • Conjunto de Informes Predefinidos – Infecciones, desinfecciones y archivos en cuarentena • Estadísticas de Análisis de Virus – Diaria, semanal y mensualmente – Periodo de tiempo establecido por el usuario • Informes Basados en un Asistente – Lista breve de los últimos 20 informes definidos • Exportar Informes – Informes disponibles en formatos de texto o HTML • Administración e Informe de Licencia – Utilización de licencias, clientes inactivos y umbrales de implementación de licencias SLIDE 42
  43. 43. Antiphising Protección Proactiva DeMo SLIDE 43
  44. 44. Antiphising Esta demo no ha existido y se autodestruirá de vuestros Cerebros y mentes en cuanto Toméis el café SLIDE 44
  45. 45. Referencias… http://www.seguridadapple.com http://www.malwarecity.com http://conexioninversa.blogspot.com http://www.bitdefender.es pedro.sanchez@conexioninversa.com ¿Preguntas? SLIDE 45

×