Seguridad Anti hackingEntorno Windowsfran.icade@gmail.comwww.enamoraconsulting.es
Contenidos►Unidad 1. Malware. Aspectos Generales►Unidad II. Vulnerabilidades en Sistemas Operativosbasados en Windows►Unid...
Malware. aspectos generales►Introducción al malware►El malware en arquitecturas Windows. Introducción►Virus►Gusanos►Troyan...
Introducción►En el progreso constante de la informática, laseguridad se ha convertido en una necesidadinnegable►Internet p...
Malware►Lejanos quedan los malware como Barrotes,Viernes 13 y otros clásicos►La evolución también ha llegado a este tipo d...
Virus►Amenaza más antigua►El primer virus conocido, “Peace Virus”, fue creado en1987 para equipos MAC►Programas que modifi...
Fases de Implantación de Virus►Fase de Ocultación. El virus se oculta utilizandodiferentes metodologías: polimorfismo, uni...
Tipología de Virus (I)►Virus de boot. Se copian en los sectores de arranque dediscos y disquetes. En el arranque de la máq...
Tipología de Virus (II)►Virus Polimórficos. Presentan la capacidad de mutar ycambiar su forma. Se comprimen junto con el f...
Troyanos►Emulan la épica aventura de “La Iliada” de Homero►Este tipo de programas crean una puerta falsa enlos sistemas pa...
Troyano - Cebofran.icade@gmail.comwww.enamoraconsulting.es
Troyano – Cliente (I)fran.icade@gmail.comwww.enamoraconsulting.es
Troyano – Cliente (II)fran.icade@gmail.comwww.enamoraconsulting.es
Troyanos Bancarios►Evolución de los troyanos de comportamiento estándar►Como nuevas funcionalidades tienen: Capturar la p...
Tipos de Troyanos Bancarios►Los que inyectan código a sesiones HTTPs. Asícambian el comportamiento de la web, pudiendoroba...
Spyware (I)►Programas diseñados para recopilar información delos hábitos de visitas a páginas Web de los usuarios►Se insta...
Spyware (II)►Entre las acciones más conocidas que llevan a cabolos programas spyware están: Identificación de las visitas...
Rootkit►Tiene sus orígenes en entornos UNIX►Su objetivo es ocultar información para que ni elusuario ni determinadas aplic...
Tipos de Rootkit►Rootkit de Aplicación Remplazan archivos de tipo ejecutable con versionesmodificadas que contengan el ma...
¿Qué pueden hacer?►Ocultar archivos y carpetas►Ocultar procesos y servicios►Ocultar puertos TCP/UDP►Ocultar claves de regi...
Botnets - Zombies►Zombie es un ordenador infectado que puede serutilizado por otra persona para realizar actividadeshostil...
Infección y Uso►Los métodos de infección son variados►En general se realiza a través de Un gusano que viaja por la red U...
Ataques mediante USBAtaques mediante USBfran.icade@gmail.comwww.enamoraconsulting.es
Agenda► Introducción► Tecnología U3► Ataques Copiando memorias USB PayLoads Volcado de información Sesiones remotas B...
Introducción► Definido en 1995 por un grupo de empresas Apple Computer, Hewlett-Packard, NEC, Microsoft,Intel y Agere Sys...
Tecnología U3►U3 permite utilizar la memoria USB no solo comoun dispositivo de almacenamiento de información►Permite la ej...
Tecnología U3►Software Comunicaciones: Skype, Trillian, … Juegos: Atlantis, Magic Vines,Sudoku, … Internet: Firefox, Th...
Tecnología U3►Dos particionesUnidad iso9660 para volcar datosUnidad FAT oculta con las aplicacionesLaunchU3.exeLaunchP...
Copiando Memoria USB►USB DumperSe aprovecha del AutorunVigila cuando alguien conecta un dispositivoRecupera la letra as...
PayLoads►Cambiando el Rol, ahora ataco con el USB►Multitud de técnicas, todas ellas aprovechando elAutorun Max Damage Tec...
PayLoads: Gandalfs technique►Autorun lanza un script vbs►Se crea un objeto WScript.Shell►Se lanzan un fichero bat con los ...
PayLoads: Gandalfs technique► Programas incluidos Pwdump: Windows Password Dumping Pspv: Protected Storage PassView Pro...
PayLoad: Silivrenions Technique► Basado en la arquitectura de dispositivos U3► Autorun lanza un fichero EXE► Vuelca toda l...
PayLoad: Gonzor SwitchBlade►Permite personalizar demanera sencilla lainformación que se quiereextraer►Trabaja con disposit...
PayLoad: EnAble-Abel►Modificación para permitir las instalaciónde AbelGenera un usuario y lo mete en el grupoadministrado...
Bomba USB►Aprovecha el uso del Fichero Desktop.ini►Fichero leído nada mas que se introduce el pendrive,con el objetivo de ...
Defensa►GpEdit.msc: Deshabilita Autorun►Deshabilitar dispositivos USB HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesus...
Defensa►Herramientas control USB: Microsoft Steady State GFI EndPointSecurity Drivelockfran.icade@gmail.comwww.enamorac...
Vulnerabilidades en sistemas operativos►Introducción al ciclo de desarrollo►Tipos de Vulnerabilidades►Exploits►Automatizac...
Automatización de ataques. Frameworks dedicados:Metasploit FrameworkExploit: Código escrito con el fin de aprovechar unerr...
Intro a Metasploit FrameworkMódulos del framework: Auxiliary: herramientas externas como scanners, sniffers,detectores de...
Intro a Metasploit FrameworkEl test de intrusión (ser éticos!) Identificar vulnerabilidades críticas o high risk las cual...
Gestión seguridad corporativa.Gestión antimalware►Introducción a la gestión antimalware en servidores y clientes►Gestión d...
Historia del Windows Firewallfran.icade@gmail.comwww.enamoraconsulting.es
Características del Windows Firewallfran.icade@gmail.comwww.enamoraconsulting.es
Reglas del FirewallService RestrictionsConnection Security RulesAuthenticated Bypass RulesBlock RulesAllow RulesDefault Ru...
Nuevos algoritmos criptográficosEncryption: AES-128, AES-192, AES-256Key Exchange: ECDH P-256, ECDH P-384fran.icade@gmail....
Nueva consola de seguridad avanzadaPor nombre de aplicaciónTodos ó múltiples puertosTodas la direcciones dentro deuna subn...
Reglas del FirewallCuentas y grupos del Active DirectoryDirecciones Ip de Origen y DestinoTipos de Interfaces.Puertos TCP ...
Windows Defender: Anti-Malware Integrado►Detección Integrada, limpieza y bloqueo en tiempo realdel malware: Gusanos, viru...
Windows Defender: Securizando el equipowww.enamoraconsulting.es
Técnicas comunes empleadas por las solucionesantivirusDetección por cadena o firma: tras analizar el código del malware, s...
Técnicas comunes empleadas por las solucionesantivirusDetección por localización y nombre de archivofran.icade@gmail.com
Técnicas comunes empleadas por las solucionesantivirusDetección por heurística: análisis de código paraidentificar conjunt...
Técnicas comunes empleadas por las solucionesantivirusDetección por heurísticafran.icade@gmail.com
Técnicas comunes empleadas por las solucionesantivirusDetección por emulación: las aplicaciones se ejecutan en unentorno i...
Técnicas comunes empleadas por las solucionesantivirusDetección por emulaciónfran.icade@gmail.comwww.enamoraconsulting.es
Técnicas comunes empleadas por las solucionesantivirusDetección por monitorización de comportamiento: en vez deanalizar el...
Técnicas comunes empleadas por las solucionesantivirusDetección por monitorización de comportamientofran.icade@gmail.comww...
Técnicas comunes empleadas por las solucionesantivirusOtros enfoquesChequeo integridadComprobar la integridad de los archi...
Limitaciones de las soluciones antivirusFacilidad de burlar los métodos de detecciónEsquema reactivo, solución a posterior...
Falsa sensación de seguridad AV (perimetrales, locales)Protocolos que no pueden ser analizados (https, …)Limitaciones de a...
Marketing AV en general (protección 100%,detecta todos los virus conocidos y desconocidos,número 1, tecnología “supermegap...
Recursos que consume, rendimiento y estabilidadFacilidad de uso y posibilidades de configuraciónMalware que cubre (spyware...
Elección de las soluciones antivirusfran.icade@gmail.comwww.enamoraconsulting.es
Abrir archivos legítimos (virus)Abrir archivos no solicitados, adjuntos de correo, P2P,descargas (gusanos, troyanos)Abrir ...
Abrir archivos legítimosAbrir archivos no solicitadosIngeniería socialConfiguración débil del sistema operativoConfiguraci...
Educar / formar al usuario. Cultura de seguridad.Formatos potencialmente peligrososNo abrir archivos no solicitadosNo util...
Desactivar todos los servicios no necesariosAplicar actualizaciones automáticas (SUS, SMS)Configuración segura navegador y...
Uso de soluciones antivirus distintas ycomplementarias por capas (perímetro, servidor dearchivos, host).Firewall perimetra...
Una solución contra spyware y protección contravirus construida sobre tecnología de protección utilizadapor millones alred...
Network Access ProtectionNo Cumplela Política1RedRestringidaEl cliente solicita acceso a la red y presenta su estado desal...
http://about.me/fran.icadefran.icade@gmail.comwww.enamoraconsulting.es
Upcoming SlideShare
Loading in …5
×

Seguridad anti hacking

2,240 views

Published on

Published in: Technology
1 Comment
1 Like
Statistics
Notes
No Downloads
Views
Total views
2,240
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
48
Comments
1
Likes
1
Embeds 0
No embeds

No notes for slide
  • 19/05/13 02:15:31 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • ‹ #›
  • Slide Title: What FCS Does Keywords: Forefront Client Security Key Message: Forefront Client Security delivers unified malware protection for business desktop computers, mobile computers, and server operating systems that is easy to manage and control. Slide Builds: 3 Slide Script: Today, infection by malicious software creates a costly problem for businesses. Gartner has estimated that 20 to 40% of help desk calls are related to spyware, and in a recent Forrester survey asking about IT security risks that technology decision-makers are concerned about, 73% of firms rated viruses and worms as their top concern. Built on the same highly successful Microsoft protection technology already used by millions of people worldwide, Forefront Client Security helps guard against emerging threats, such as spyware and rootkits, as well as traditional threats such as viruses, worms, and Trojan horses. By delivering simplified administration through central management, and providing critical visibility into threats and vulnerabilities, Forefront Client Security helps protect the business with greater confidence and efficiency. Forefront Client Security integrates with the existing infrastructure software, such as Active Directory, and complements other Microsoft security technologies for better protection and greater control. There are two parts to the Microsoft Forefront Client Security solution. The first is the Security Agent—installed on business desktop computers, mobile computers, and servers—that provides protection from and scheduled scanning for threats, such as spyware, viruses, and rootkits. The second is the central management server, which enables administrators to easily manage and update preconfigured or customized malware protection agents, and generate reports and alerts on the security status of their environment. [BUILD1] Through a single security agent for business desktop computers, mobile computers, and server operating systems, Forefront Client Security delivers unified protection from viruses, spyware, and other malware threats. This agent scans viruses, spyware, and other malware in real time, providing effective protection against blended threats while minimizing user disruption. Forefront Client Security is built on protection technology used by millions of people worldwide in products such as Windows Live OneCare, Windows Defender, and Microsoft Forefront Security for Exchange Server. The solution is also backed by the Microsoft global security research & response system, a dedicated, experienced team of malware researchers that combines extensive data collected with advanced automated analysis techniques to help discover and respond to new threats faster. Forefront Client Security delivers defense-in-depth when combined with other security solutions, such as Microsoft Antigen, Microsoft Internet Security & Acceleration (ISA) Server, and Microsoft Exchange Hosted Services.
  • Slide Title: What FCS Does Keywords: Forefront Client Security Key Message: Forefront Client Security delivers unified malware protection for business desktop computers, mobile computers, and server operating systems that is easy to manage and control. Slide Builds: 3 Slide Script: Today, infection by malicious software creates a costly problem for businesses. Gartner has estimated that 20 to 40% of help desk calls are related to spyware, and in a recent Forrester survey asking about IT security risks that technology decision-makers are concerned about, 73% of firms rated viruses and worms as their top concern. Built on the same highly successful Microsoft protection technology already used by millions of people worldwide, Forefront Client Security helps guard against emerging threats, such as spyware and rootkits, as well as traditional threats such as viruses, worms, and Trojan horses. By delivering simplified administration through central management, and providing critical visibility into threats and vulnerabilities, Forefront Client Security helps protect the business with greater confidence and efficiency. Forefront Client Security integrates with the existing infrastructure software, such as Active Directory, and complements other Microsoft security technologies for better protection and greater control. There are two parts to the Microsoft Forefront Client Security solution. The first is the Security Agent—installed on business desktop computers, mobile computers, and servers—that provides protection from and scheduled scanning for threats, such as spyware, viruses, and rootkits. The second is the central management server, which enables administrators to easily manage and update preconfigured or customized malware protection agents, and generate reports and alerts on the security status of their environment. [BUILD1] Through a single security agent for business desktop computers, mobile computers, and server operating systems, Forefront Client Security delivers unified protection from viruses, spyware, and other malware threats. This agent scans viruses, spyware, and other malware in real time, providing effective protection against blended threats while minimizing user disruption. Forefront Client Security is built on protection technology used by millions of people worldwide in products such as Windows Live OneCare, Windows Defender, and Microsoft Forefront Security for Exchange Server. The solution is also backed by the Microsoft global security research & response system, a dedicated, experienced team of malware researchers that combines extensive data collected with advanced automated analysis techniques to help discover and respond to new threats faster. Forefront Client Security delivers defense-in-depth when combined with other security solutions, such as Microsoft Antigen, Microsoft Internet Security & Acceleration (ISA) Server, and Microsoft Exchange Hosted Services.
  • Seguridad anti hacking

    1. 1. Seguridad Anti hackingEntorno Windowsfran.icade@gmail.comwww.enamoraconsulting.es
    2. 2. Contenidos►Unidad 1. Malware. Aspectos Generales►Unidad II. Vulnerabilidades en Sistemas Operativosbasados en Windows►Unidad III. Gestión de la Seguridad Corporativa.Gestión Antimalwarefran.icade@gmail.comwww.enamoraconsulting.es
    3. 3. Malware. aspectos generales►Introducción al malware►El malware en arquitecturas Windows. Introducción►Virus►Gusanos►Troyanos►Rootkits►Técnicas Morphfran.icade@gmail.comwww.enamoraconsulting.es
    4. 4. Introducción►En el progreso constante de la informática, laseguridad se ha convertido en una necesidadinnegable►Internet provoca que nuestros sistemas seanaccesibles por otros usuarios, y no siempre conbuenos propósitos►Se requiere seguridad completa…Servidores yClientes►Las amenazas no se resumen al malware, sino quetambién tiene una gran importancia los exploits►Soluciones antimalware no son suficientesfran.icade@gmail.comwww.enamoraconsulting.es
    5. 5. Malware►Lejanos quedan los malware como Barrotes,Viernes 13 y otros clásicos►La evolución también ha llegado a este tipo deamenazas►Para defendernos de las amenazas necesitamosconocer Qué es realmente Cómo afectan Qué tipos de malware nos encontramosfran.icade@gmail.comwww.enamoraconsulting.es
    6. 6. Virus►Amenaza más antigua►El primer virus conocido, “Peace Virus”, fue creado en1987 para equipos MAC►Programas que modifican a otras aplicaciones,escribiendo o alterando el código, con objeto de realizaralguna acción significativa►Inicialmente aparecieron como un mero entretenimientopara los programadoresfran.icade@gmail.comwww.enamoraconsulting.es
    7. 7. Fases de Implantación de Virus►Fase de Ocultación. El virus se oculta utilizandodiferentes metodologías: polimorfismo, unión archivos,inserción en documentos, etc.►Fase de Contagio. El virus comienza su proceso dereplicación y propagación a través del entorno. Utilizantécnicas como ejecución de .exe, arranque de máquina,…►Fase de Ataque. Cuando el virus ejerce sus efectosmaliciosos sobre la máquina infectada. Es la fase críticapara la eliminación del virus, haciendo caer a losantivirus es una falsa apariencia de normalidadfran.icade@gmail.comwww.enamoraconsulting.es
    8. 8. Tipología de Virus (I)►Virus de boot. Se copian en los sectores de arranque dediscos y disquetes. En el arranque de la máquina, secopian automáticamente en la memoria (Ej.: Barrotes)►Virus de fichero. Residen en archivos a la espera de quese den las condiciones adecuadas para la fase deataque o acción directa (Ej.: Jeefo)►Virus de comando. Suelen infectar los archivoscommand.com o cmd.exefran.icade@gmail.comwww.enamoraconsulting.es
    9. 9. Tipología de Virus (II)►Virus Polimórficos. Presentan la capacidad de mutar ycambiar su forma. Se comprimen junto con el ficheroinfectado y mezclando sus características. (Ej.: DarkAvenger)►Virus Macro. Directamente relacionados con laejecución de las macros de productos ofimáticos deMicrosoft (Ej.: Buenos Días)fran.icade@gmail.comwww.enamoraconsulting.es
    10. 10. Troyanos►Emulan la épica aventura de “La Iliada” de Homero►Este tipo de programas crean una puerta falsa enlos sistemas para poder ejecutar código de formaremota►El usuario del sistema no tiene que darconsentimiento►Trabajan bajo una arquitectura Cliente-Servidor►Llegan a la victima de forma enmascarada omezclada con otro programa que pueda sersuculento o interesantefran.icade@gmail.comwww.enamoraconsulting.es
    11. 11. Troyano - Cebofran.icade@gmail.comwww.enamoraconsulting.es
    12. 12. Troyano – Cliente (I)fran.icade@gmail.comwww.enamoraconsulting.es
    13. 13. Troyano – Cliente (II)fran.icade@gmail.comwww.enamoraconsulting.es
    14. 14. Troyanos Bancarios►Evolución de los troyanos de comportamiento estándar►Como nuevas funcionalidades tienen: Capturar la pantalla del usuario bajo determinadascircunstancias Alterado el comportamiento habitual, la victima conecta con elatacante (troyano reverso)►La información se envía al atacante de forma remota através de conexiones típicas: Conexiones SMTP Conexiones FTP Conexiones HTTP a una dirección IP para subir datos capturados Funcionalidad de troyano reversofran.icade@gmail.comwww.enamoraconsulting.es
    15. 15. Tipos de Troyanos Bancarios►Los que inyectan código a sesiones HTTPs. Asícambian el comportamiento de la web, pudiendorobar claves y certificados de acceso al banco►Los que realizan capturas de pantalla. Limitan lascapturas a porcentajes de pantalla donde seencuentra la última pulsación del cliente con elratón. Únicamente sobre URLs específicas►Los que realizan capturas de video. Graban latotalidad de una sesión sobre URLs específicasfran.icade@gmail.comwww.enamoraconsulting.es
    16. 16. Spyware (I)►Programas diseñados para recopilar información delos hábitos de visitas a páginas Web de los usuarios►Se instala en los sistemas de forma oculta ensoftware que a simple vista puede parecerinofensivo Programas shareware Programas freeware Cookies de sesión de páginas web►Se instala sin el permiso del usuariofran.icade@gmail.comwww.enamoraconsulting.es
    17. 17. Spyware (II)►Entre las acciones más conocidas que llevan a cabolos programas spyware están: Identificación de las visitas a páginas Web Apertura de ventanas anunciando productos Registro de pulsaciones de teclado para robar contraseñas ynúmeros de tarjetas bancarias►La existencia de este tipo de malware puedetambién llegar a colapsar el procesador, ya queabren múltiples procesosfran.icade@gmail.comwww.enamoraconsulting.es
    18. 18. Rootkit►Tiene sus orígenes en entornos UNIX►Su objetivo es ocultar información para que ni elusuario ni determinadas aplicaciones puedan verla(incluido antivirus)►Son conjunto de herramientas modificadas quepermiten al intruso hacerse con el control delequipo►Crean una cuenta de tipo root en el sistema y laocultan al resto de usuarios y aplicacionesfran.icade@gmail.comwww.enamoraconsulting.es
    19. 19. Tipos de Rootkit►Rootkit de Aplicación Remplazan archivos de tipo ejecutable con versionesmodificadas que contengan el malware Agregan código a aplicaciones existentes para modificar sucomportamiento Rootkit más frecuente y fácilmente detectable►Rootkit de Kernel Bastante más peligrosos Se integran en el núcleo del sistema operativo añadiendo omodificando código al mismo (módulo o librería) Complicada su detección Necesario herramientas especialesfran.icade@gmail.comwww.enamoraconsulting.es
    20. 20. ¿Qué pueden hacer?►Ocultar archivos y carpetas►Ocultar procesos y servicios►Ocultar puertos TCP/UDP►Ocultar claves de registro►Uso de técnicas de redirector para la redirección deconexiones►Modificar los espacios de disco►Modificar los controladoresfran.icade@gmail.comwww.enamoraconsulting.es
    21. 21. Botnets - Zombies►Zombie es un ordenador infectado que puede serutilizado por otra persona para realizar actividadeshostiles►El malware que infecta a la máquina se conocecomo bot►Por tanto, botnets son conjuntos de equiposzombies►Totalmente transparente para el usuario del equipo►Pueden utilizarse para operaciones útilesfran.icade@gmail.comwww.enamoraconsulting.es
    22. 22. Infección y Uso►Los métodos de infección son variados►En general se realiza a través de Un gusano que viaja por la red Un envío masivo de correo electrónico Aprovechando una vulnerabilidad de los navegadoresfran.icade@gmail.comwww.enamoraconsulting.es
    23. 23. Ataques mediante USBAtaques mediante USBfran.icade@gmail.comwww.enamoraconsulting.es
    24. 24. Agenda► Introducción► Tecnología U3► Ataques Copiando memorias USB PayLoads Volcado de información Sesiones remotas Bomba USB► Defensa Deshabilitar Autorun y dispositivos USB Herramientas de controlfran.icade@gmail.comwww.enamoraconsulting.es
    25. 25. Introducción► Definido en 1995 por un grupo de empresas Apple Computer, Hewlett-Packard, NEC, Microsoft,Intel y Agere System► Diferentes versiones: USB 1.1: Septiembre de 1998 hasta 12Mbit/s USB 2.0: Abril del 2000, hasta 480Mbit/s USB 3.0: Septiembre 2007, hasta 4.8 Gbits/s► En 2008 se estima que hay 2 mil millones dedispositivos USB en el mundofran.icade@gmail.comwww.enamoraconsulting.es
    26. 26. Tecnología U3►U3 permite utilizar la memoria USB no solo comoun dispositivo de almacenamiento de información►Permite la ejecución de programas pre instaladosen el dispositivo directamente desde la memoriaUSB►Tecnología propietaria de Sandisk►Características: Plataforma Windows (2000 SP4, XP o posterior) LaunchPad similar al Inicio de Windows No requiere permisos de administrador Protección antivirus Protección mediante passwordfran.icade@gmail.comwww.enamoraconsulting.es
    27. 27. Tecnología U3►Software Comunicaciones: Skype, Trillian, … Juegos: Atlantis, Magic Vines,Sudoku, … Internet: Firefox, Thunderbid, … Productividad: Open Office,CruzerSync, … Seguridad: Anonymizer, McAfeeViruScan, … Utilidades: EverNote, WinRAR, …fran.icade@gmail.comwww.enamoraconsulting.es
    28. 28. Tecnología U3►Dos particionesUnidad iso9660 para volcar datosUnidad FAT oculta con las aplicacionesLaunchU3.exeLaunchPad.zipAutorun.inffran.icade@gmail.comwww.enamoraconsulting.es
    29. 29. Copiando Memoria USB►USB DumperSe aprovecha del AutorunVigila cuando alguien conecta un dispositivoRecupera la letra asignada al dispositivoSe copia todos los ficherosCódigo fuente publicado, personalizaciónCopiar solo determinados ficherosInfectar ejecutablesDistribuir virus, troyanos, etc..fran.icade@gmail.comwww.enamoraconsulting.es
    30. 30. PayLoads►Cambiando el Rol, ahora ataco con el USB►Multitud de técnicas, todas ellas aprovechando elAutorun Max Damage Technique (solo para U3) Amish Technique (Cualquier USB e Ingenieria Social) iPod technique (solo para IPod) Gandalfs technique (Combinación 1 y 2) Kapowdude technique (Combinación 1 y 2) Silivrenions Technique (Combinación 1 y 2)fran.icade@gmail.comwww.enamoraconsulting.es
    31. 31. PayLoads: Gandalfs technique►Autorun lanza un script vbs►Se crea un objeto WScript.Shell►Se lanzan un fichero bat con los comandos aejecutar Se copia un fichero zip con los programas a lanzar Se descomprime Se ejecutan todas las operaciones Se comprimen todas las salidas y se copian al usb Se borran los ficheros temporales y finalizafran.icade@gmail.comwww.enamoraconsulting.es
    32. 32. PayLoads: Gandalfs technique► Programas incluidos Pwdump: Windows Password Dumping Pspv: Protected Storage PassView ProductKey: Visualizar claves de activación de productos Mspass :Instant Messenger Password Recovery Tool MsnHistory: Histórico de conversaciones del Messenger Mailpv: Mail PassView: Password recovery for Outlook, OutlookExpress, Iepv: Internet Explorer Password Viewer Iehv: Internet Explorer History Viewer FirePassword:Decrypt Firefox password manager Nircmd: Herramienta de línea de comandos sin visualizar interfazde usuario Curl: Utilidad de línea de comandos para transferir ficherosfran.icade@gmail.comwww.enamoraconsulting.es
    33. 33. PayLoad: Silivrenions Technique► Basado en la arquitectura de dispositivos U3► Autorun lanza un fichero EXE► Vuelca toda la información al USB, incluyendo fichero de claves listopara crackear► Programas incluidos Iepv: Internet Explorer Password Viewer Mspass: Instant Messenger Password Recovery Tool Netpass: Network Password Recovery ProductKey: Visualizar claves de activación de productos Pspv: Protected Storage PassView PwDump: Windows Password Dumping Pwservice: Extrae la información de los hash almacenadostemporalmente en la registry remota Wkv: Wireless Key Viewerfran.icade@gmail.comwww.enamoraconsulting.es
    34. 34. PayLoad: Gonzor SwitchBlade►Permite personalizar demanera sencilla lainformación que se quiereextraer►Trabaja con dispositivos U3pero es posible instalarlo endispositivos “normales”►Incorpora UniversalCustomizer para el trabajocon U3►Incorpora HakSaw y VNCfran.icade@gmail.comwww.enamoraconsulting.es
    35. 35. PayLoad: EnAble-Abel►Modificación para permitir las instalaciónde AbelGenera un usuario y lo mete en el grupoadministradoresPreparado para integrar enSilivrenions TechniqueSe ve la consola de línea de comandosEl Firewall impide la conexiónTuningfran.icade@gmail.comwww.enamoraconsulting.es
    36. 36. Bomba USB►Aprovecha el uso del Fichero Desktop.ini►Fichero leído nada mas que se introduce el pendrive,con el objetivo de buscar fondos de carpeta, miniaturasetc..►¿Y si solicitamos información que esta en una carpetacompartida, en un equipo donde tenemos a Cainesnifando?►Herramientas NamedPipe y Cainfran.icade@gmail.comwww.enamoraconsulting.es
    37. 37. Defensa►GpEdit.msc: Deshabilita Autorun►Deshabilitar dispositivos USB HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesusbstor Start -> 4fran.icade@gmail.comwww.enamoraconsulting.es
    38. 38. Defensa►Herramientas control USB: Microsoft Steady State GFI EndPointSecurity Drivelockfran.icade@gmail.comwww.enamoraconsulting.es
    39. 39. Vulnerabilidades en sistemas operativos►Introducción al ciclo de desarrollo►Tipos de Vulnerabilidades►Exploits►Automatización de ataques. Frameworks dedicadosfran.icade@gmail.comwww.enamoraconsulting.es
    40. 40. Automatización de ataques. Frameworks dedicados:Metasploit FrameworkExploit: Código escrito con el fin de aprovechar unerror de programación para obtener diversosprivilegios.Payload: Parte del código de un exploit que tienecomo objetivo ejecutarse en la máquina víctima pararealizar la acción maliciosafran.icade@gmail.comwww.enamoraconsulting.es
    41. 41. Intro a Metasploit FrameworkMódulos del framework: Auxiliary: herramientas externas como scanners, sniffers,detectores de versiones, servicios, etc que podemos utilizar parael proceso de explotación. Encoders: para que los exploits sean menos detectables por losantivirus Exploits: Programa que se aprobecha de una vulnerabilidadconocida en código para conseguir, o bien tomar el control remotode la máquina, o bien tirar la máquina abajo (DoS) o bien obtenerinformación privilegiada de esa máquina o servicio Payloads: Parte del exploit compuesto por el conjunto deinstrucciones que permiten tomar el control remoto de la máquinacargándose en memoria. Post: scrips que se utilizan por determinados payloads (ejemplo:Meterpreter) en la fase de postexplotación Nops: Operaciones de relleno para que el código sea menosprevisible por los antivirusfran.icade@gmail.comwww.enamoraconsulting.es
    42. 42. Intro a Metasploit FrameworkEl test de intrusión (ser éticos!) Identificar vulnerabilidades críticas o high risk las cuales son el resultado de lautilización de vulnerabilidades de menor riesgo o lower-risk. Identificar vulnerabilidades que pueden resultar difíciles o prácticamenteimposibles de detectar con escáneres de vulnerabilidades, los cuales automatizanel proceso. Testear los sistemas de protección de una red para verificar su comportamientoante los ataques y como responden a éstos. Evaluar la magnitud de los ataques sobre los activos de la organización y elimpacto de éstos sobre las operaciones de la empresa. Determinar la viabilidad de un conjunto de vectores de ataque sobre laorganización.fran.icade@gmail.comwww.enamoraconsulting.es
    43. 43. Gestión seguridad corporativa.Gestión antimalware►Introducción a la gestión antimalware en servidores y clientes►Gestión de soluciones de seguridad Firewall Antivirus AntiSpyware►Monitorización de Estado de Saludfran.icade@gmail.comwww.enamoraconsulting.es
    44. 44. Historia del Windows Firewallfran.icade@gmail.comwww.enamoraconsulting.es
    45. 45. Características del Windows Firewallfran.icade@gmail.comwww.enamoraconsulting.es
    46. 46. Reglas del FirewallService RestrictionsConnection Security RulesAuthenticated Bypass RulesBlock RulesAllow RulesDefault RulesLocal PolicyGPOfran.icade@gmail.comwww.enamoraconsulting.es
    47. 47. Nuevos algoritmos criptográficosEncryption: AES-128, AES-192, AES-256Key Exchange: ECDH P-256, ECDH P-384fran.icade@gmail.comwww.enamoraconsulting.es
    48. 48. Nueva consola de seguridad avanzadaPor nombre de aplicaciónTodos ó múltiples puertosTodas la direcciones dentro deuna subnet.Todas las IP’s en un rango.Todos los adaptadores wirelessUsuario de AD ó cuenta demaquina.ICMP ó ICMP v6Serviciosfran.icade@gmail.comwww.enamoraconsulting.es
    49. 49. Reglas del FirewallCuentas y grupos del Active DirectoryDirecciones Ip de Origen y DestinoTipos de Interfaces.Puertos TCP y UDP de Origen y DestinoServiciosfran.icade@gmail.comwww.enamoraconsulting.es
    50. 50. Windows Defender: Anti-Malware Integrado►Detección Integrada, limpieza y bloqueo en tiempo realdel malware: Gusanos, virus, rootkits y spyware Para usuario Final- La gestion para empresas será un productoseparado►Además de UAC, que por supuesto nos prevendrá demuchos tipos de malware►Integrado con Microsoft Malicious Software RemovalTool (MSRT) eliminara viruses, robots, y troyanosdurante su actualización o cada mes►Actualizable vía Microsoft Updatefran.icade@gmail.comwww.enamoraconsulting.es
    51. 51. Windows Defender: Securizando el equipowww.enamoraconsulting.es
    52. 52. Técnicas comunes empleadas por las solucionesantivirusDetección por cadena o firma: tras analizar el código del malware, seselecciona una porción del mismo o cadena representativa que lopermita diferenciar de cualquier otro programa. Si el antivirus detectaesa cadena en algún archivo, determinará que está infectado por esemalware.Es la técnica más extendida entre los antivirusPermite identificar el malware de forma concretaNo detecta nuevos virus ni modificacionesFilosofía reactiva, requiere actualización continua20 E0 06 84 20 F4 06 D4 20 08 07 4B 34 00 AD 0C21 1C 07 F7 21 1D 07 4D 22 30 07 CB 22 44 07 1A23 45 07 74 23 46 07 B6 23 47 07 32 24 48 07 CE24 49 07 31 25 4A 07 98 25 58 07 F0 25 59 07 81fran.icade@gmail.comwww.enamoraconsulting.es
    53. 53. Técnicas comunes empleadas por las solucionesantivirusDetección por localización y nombre de archivofran.icade@gmail.com
    54. 54. Técnicas comunes empleadas por las solucionesantivirusDetección por heurística: análisis de código paraidentificar conjunto de instrucciones y estrategiasgenéricas utilizadas por el malware.No necesita de actualizaciones tan constantesCapacidad para detectar malware nuevoMás propenso a falsos positivosPenalización en el rendimiento en los análisisNo detecta malware con características nuevasfran.icade@gmail.com
    55. 55. Técnicas comunes empleadas por las solucionesantivirusDetección por heurísticafran.icade@gmail.com
    56. 56. Técnicas comunes empleadas por las solucionesantivirusDetección por emulación: las aplicaciones se ejecutan en unentorno informático simulado (sandbox), para evaluar el gradode peligrosidad.No necesita de actualizaciones tan constantesCapacidad para detectar malware nuevoMás propenso a falsos positivosEspecial penalización en el rendimiento en los análisis (mayorque en el caso del análisis heurístico de código).No detecta malware con características nuevasfran.icade@gmail.com
    57. 57. Técnicas comunes empleadas por las solucionesantivirusDetección por emulaciónfran.icade@gmail.comwww.enamoraconsulting.es
    58. 58. Técnicas comunes empleadas por las solucionesantivirusDetección por monitorización de comportamiento: en vez deanalizar el código, comprueba las acciones que intentan llevar acabo las aplicaciones, e identifican las que puedan serpotencialmente peligrosas.No necesita de actualizaciones tan constantesCapacidad para detectar malware nuevoMás propenso a falsos positivosPenalización en el rendimiento del sistemaNo detecta malware con características nuevasfran.icade@gmail.comwww.enamoraconsulting.es
    59. 59. Técnicas comunes empleadas por las solucionesantivirusDetección por monitorización de comportamientofran.icade@gmail.comwww.enamoraconsulting.es
    60. 60. Técnicas comunes empleadas por las solucionesantivirusOtros enfoquesChequeo integridadComprobar la integridad de los archivos contra unabase de datos (checksums, hash, …)Debe de partir de un archivo limpioFáciles de burlar (spoofing)Control de accesoSólo se pueden ejecutar las aplicaciones permitidaspor el administrador, con determinados privilegiosy según perfil.Difíciles de administrar, sobre todo en ambientesheterogéneos, y poco práctico para usuariosparticulares.fran.icade@gmail.comwww.enamoraconsulting.es
    61. 61. Limitaciones de las soluciones antivirusFacilidad de burlar los métodos de detecciónEsquema reactivo, solución a posterioriVentana vulnerable, no protegen a tiempoCreación del malwareDistribuciónInfección de las primeras víctimasReporte a los laboratorios AVActualización del AV del usuarioPublicación actualizaciónDesarrollo firma y pruebasAnálisis del malwarewww.enamoraconsulting.es
    62. 62. Falsa sensación de seguridad AV (perimetrales, locales)Protocolos que no pueden ser analizados (https, …)Limitaciones de análisis en el perímetroFormatos de empaquetado y compresiónEvolución y diversificación del malwareLimitaciones de las soluciones antivirusfran.icade@gmail.comwww.enamoraconsulting.es
    63. 63. Marketing AV en general (protección 100%,detecta todos los virus conocidos y desconocidos,número 1, tecnología “supermegapotente”,…)Número de malware que dicen detectar (guerrade números, no es un dato cualitativo y nocorresponde con la realidad)“Consultores” (¿consultores o distribuidores?)Premios y certificaciones (adulterados, requisitosmínimos)Comparativas (evaluación crítica, lectura deresultados)Elección de las soluciones antivirusElementos que distorsionan (a ignorar)fran.icade@gmail.comwww.enamoraconsulting.es
    64. 64. Recursos que consume, rendimiento y estabilidadFacilidad de uso y posibilidades de configuraciónMalware que cubre (spyware, riskware, dialers,…)Funciones proactivasActualizaciones y tiempos de respuestaSoportePuesto destacado en comparativas (no de los últimos)Casuística de nuestros sistemas (probar y evaluar)Gestión centralizada, funciones corporativasElección de las soluciones antivirusElementos a tener en cuentafran.icade@gmail.comwww.enamoraconsulting.es
    65. 65. Elección de las soluciones antivirusfran.icade@gmail.comwww.enamoraconsulting.es
    66. 66. Abrir archivos legítimos (virus)Abrir archivos no solicitados, adjuntos de correo, P2P,descargas (gusanos, troyanos)Abrir archivos enviados por tercerosintencionadamente (Ingeniería social) (troyanos,backdoors)Configuración débil de nuestro sistema operativo(gusanos, virus, backdoors,…)Configuración débil de aplicaciones Internet(navegador, cliente de correo) (spyware, gusanos)Vulnerabilidades del sistema operativo y aplicacionesInternet (gusanos, spyware, backdoors)Defensa contra el software malintencionadoOrigen de infeccionesfran.icade@gmail.comwww.enamoraconsulting.es
    67. 67. Abrir archivos legítimosAbrir archivos no solicitadosIngeniería socialConfiguración débil del sistema operativoConfiguración débil de aplicaciones InternetVulnerabilidades del S.O. y aplicacionesDefensa contra el software malintencionadoAgente fundamental en la prevención realfran.icade@gmail.comwww.enamoraconsulting.es
    68. 68. Educar / formar al usuario. Cultura de seguridad.Formatos potencialmente peligrososNo abrir archivos no solicitadosNo utilizar fuentes no confiablesNavegación seguraPolítica de passwordsCopias de seguridadDefensa contra el software malintencionadoFactor humanofran.icade@gmail.comwww.enamoraconsulting.es
    69. 69. Desactivar todos los servicios no necesariosAplicar actualizaciones automáticas (SUS, SMS)Configuración segura navegador y correoPolíticas de uso de portátiles, PDAs, memorias USB,acceso externoSegmentación lógica de redesPolíticas de privilegios según usuario y aplicacionesPolíticas de seguridad recursos compartidosPolíticas de backupDefensa contra el software malintencionadoFactor S.O. y aplicacionesfran.icade@gmail.comwww.enamoraconsulting.es
    70. 70. Uso de soluciones antivirus distintas ycomplementarias por capas (perímetro, servidor dearchivos, host).Firewall perimetrales y basados en hosts (XP SP2)Política de filtrado por contenidosPolítica de acceso a la red (interna, externa)Gestión centralizada seguridadAuditorías y planes de contingencia/continuidadDefensa contra el software malintencionadoSoluciones de seguridad y antimalwarefran.icade@gmail.comwww.enamoraconsulting.es
    71. 71. Una solución contra spyware y protección contravirus construida sobre tecnología de protección utilizadapor millones alrededor del mundo. Respuesta efectivacontra amenazas. Complementa otros productos deseguridad MicrosoftUna consola para la administración deseguridad simplificada. Define políticas para administrarlas características del agente de protección del cliente.Implementa firmas y software más rápido y se integra consu infraestructura actual.Un tablero para la visibilidad de amenazas yvulnerabilidades. Vista de reportes internos.Manténgase informado con escaneo de evaluación delestado y alertas de seguridad¿Qué hace FCS?fran.icade@gmail.comwww.enamoraconsulting.es
    72. 72. Network Access ProtectionNo Cumplela Política1RedRestringidaEl cliente solicita acceso a la red y presenta su estado desalud actual14Si no cumple la política el cliente solo tiene acceso a una VLANrestringida donde hay recursos para solucionar sus problemas,descargar actualizaciones, firmas(Repetir 1-4)2 DHCP, VPN o Switch/Router envía el estado de salud al Servidorde Políticas de Red (RADIUS)5 Si cumple la política al cliente se le permite el acceso total a la redcorporativaMSFT NPS3Servidor dePolíticas e.g. Patch,AVCumple laPolítica3 El Servidor de Políticas (NPS) valida contra la política de saluddefinida por IT2ClienteWindowsDHCP, VPNSwitch/RouterFix UpServerse.g. PatchRed Corporativa54fran.icade@gmail.comwww.enamoraconsulting.es
    73. 73. http://about.me/fran.icadefran.icade@gmail.comwww.enamoraconsulting.es

    ×