1. INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS
INTEGRANTES: Apolinar Crisóstomo Jessica
Camacho Flores Sarahí Montserrat
Hernández González Ivonne Valeria
Lozada Pérez Yareli Guadalupe
TEMAS: EXPOIT
Coordinador de equipo
FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013
ÍNDICE
INTRODUCCIÓN
EXPLOIT
TÉCNICAS: TUNNELING
CONCLUSIÓN
BIBLIOGRAFÍA
INTRODUCCIÓN
Si bien no existe una definición universal de exploit, esencialmente el término se refiere a
cualquier código diseñado para exponer las vulnerabilidades de otras aplicaciones o
aprovecharse de ellas.
Los exploits de la red trabajan aprovechándose de las fallas de los navegadores o sus
complementos y de otros programas con acceso a internet, incluyendo Microsoft Word, Adobe
Acrobat y otras aplicaciones de uso habitual.
Estas amenazas pueden tomar muchas formas diferentes: descargas forzadas, instalación de
códigos maliciosos ocultos, infecciones silenciosas o automatizadas, pero todas tienen el
mismo resultado: El ordenador se infecta solamente navegando por internet, sin que sea
necesario hacer nada especial como. Por ejemplo, descargar un archivo.
EXPLOIT
Para comprender lo que es un exploit, tenemos que entender lo que es un agujero de seguridad.
El software de cualquier tipo sean sistemas operativos, navegadores, paqueterías , etc., pueden
contener agujeros de seguridad. Estos agujeros son errores que tienen en su programación y
que permiten que otros usuarios o programas realicen acciones no permitidas por el software
vulnerable, es decir del que tiene el agujero de seguridad.
“Término que define aquellos programas informáticos usados por hackers cuyo funcionamiento
se basa en aprovechar los agujeros de seguridad de los equipos informáticos ajenos para
acceder a ellos de manera ilegítima.”
2. INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS
INTEGRANTES: Apolinar Crisóstomo Jessica
Camacho Flores Sarahí Montserrat
Hernández González Ivonne Valeria
Lozada Pérez Yareli Guadalupe
TEMAS: EXPOIT
Coordinador de equipo
FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013
La palabra Exploit proviene del inglés y en español significa ‘explotar o aprovechar’. En
informática, es una porción de software, fragmento de datos o secuencia de comandos que
aprovecha un error intencionalmente, a fin de ocasionar un comportamiento no deseado.
Actualmente, los exploits son utilizados como "componente" de otro malware ya que al explotar
vulnerabilidades del sistema permite hacer uso de funciones que no estarían permitidas en
caso normal.
HERRAMIENTAS DE DESARROLLO:
Los Exploits pueden ser escritos empleando una diversidad de lenguajes de programación,
aunque mayoritariamente se suele utilizar lenguaje C. Una de las herramientas más utilizadas
para trabajar con este tipo de software es Metasploit Framework, una plataforma de test de
penetración escrita en lenguaje de programación Ruby, como así también otros frameworks
como Core Impact, Canvas, entre otros.
PROCESO:
Notemos que en estos casos, el exploit será un archivo especialmente armado por el atacante
con un formato soportado por alguna de estas aplicaciones, como un documento PDF.
Además el vector de ataque estará segmentada en varias partes, ya que al no estar expuesto
a internet, el exploit (en este caso PDF) deberá llegar al objetivo por algún medio alternativo,
por ejemplo, un correo electrónico. Luego, dicho archivo deberá ser ejecutado por el usuario y,
recién en esta instancia, si el ataque no es detenido por ningún control de parte de la víctima
(un firewall o antivirus), se podrá tener acceso al equipo objetivo. Es decir, si bien es un vector
de ataque más sofisticado que no depende de la exposición a internet que tengan las
aplicaciones, presenta un mayor nivel de complejidad al momento de ser lanzado.
VULNERABILIDADES:
Es un programa o código que "explota" una vulnerabilidad del sistema o de parte de él para
aprovechar esta deficiencia en beneficio del creador del mismo.
Si bien el código que explota la vulnerabilidad no es un código malicioso en sí mismo,
generalmente lo utiliza para otros fines como permitir el acceso a un sistema o como parte de
otros malware como gusanos y troyanos.
Es decir que actualmente, los exploits son utilizados como "componente" de otro malware ya
que al explotar vulnerabilidades del sistema permite hacer uso de funciones que no estarían
3. INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS
INTEGRANTES: Apolinar Crisóstomo Jessica
Camacho Flores Sarahí Montserrat
Hernández González Ivonne Valeria
Lozada Pérez Yareli Guadalupe
TEMAS: EXPOIT
Coordinador de equipo
FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013
permitidas en caso normal.
Un buen número de exploits tienen su origen en un conjunto de fallos similares. Algunos de los
grupos de vulnerabilidades más conocidos son:
■
■
■
■
■
■
■
■
■
Vulnerabilidades de desbordamiento o buffer overflow.
Vulnerabilidades de condición de carrera (Race condition).
Vulnerabilidades de error de formato de cadena (format string error).
Vulnerabilidades de Cross Site Scripting CSS/XSS.
Vulnerabilidades de inyección de SQL (SQL injection).
Vulnerabilidades de Inyección de Caracteres CRLF
Vulnerabilidades de denegación del servicio
Vulnerabilidades Inyección múltiple HTML
Vulnerabilidades de ventanas engañosas o de ventanas Window Spoofing
TIPOS:
Existen diversos tipos de exploits dependiendo las vulnerabilidades utilizadas y son publicados
cientos de ellos por día para cualquier sistema y programa existente pero sólo una gran minoría
son utilizados como parte de otros malware (aquellos que pueden ser explotados en forma
relativamente sencilla y que pueden lograr gran repercusión).
Un EXPLOIT ZERODAY es un exploit que aún no se ha hecho público. Usualmente,está
asociado a una vulnerabilidad zeroday, es decir, aquella que todavía no fue publicada. Los
ataques con exploit zeroday ocurren mientras exista una ventana de exposición; esto es,
desde que se encuentra una debilidad hasta el momento en que el proveedor la remedia, por
ejemplo, mediante la liberación de un parche. esta ventana puede durar días o hasta meses,
dependiendo del vendedor.
ZERO DAY (Día cero): Cuando está aplicado a la información, el "Zero Day" significa
generalmente información no disponible públicamente. Esto se utiliza a menudo para describir
exploits de vulnerabilidades, que no son conocidas por los profesionales del tema.
Se define Zero Day como cualquier exploit que no haya sido mitigado por un parche del
vendedor.
Retomando la clasificación de exploits, es importante comprender las diferencias entre los
tres tipos que detallaremos a continuación, ya que en futuros ejemplos haremos referencia a
4. INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS
INTEGRANTES: Apolinar Crisóstomo Jessica
Camacho Flores Sarahí Montserrat
Hernández González Ivonne Valeria
Lozada Pérez Yareli Guadalupe
TEMAS: EXPOIT
Coordinador de equipo
FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013
estos conceptos.
Los exploits remotos son aquellos que pueden ser lanzados desde otra ubicación diferente
de la del equipo de la víctima. Esta puede ser otro equipo dentro de la red interna o bien un
equipo desde internet.
Típicamente, los exploits remotos permiten acceder en forma remota al equipo comprometido
o bien dejarlo fuera de servicio.
Por otra parte, los exploits locales: en ocasiones, al tomar control de un equipo en forma
remota, el acceso obtenido presenta privilegios limitados. En estas situaciones es donde los
locales entran en juego. Estos son ejecutados localmente en el equipo, en general, permiten
elevar privilegios hasta administrador en el caso de plataformas Microsoft, o root en
plataformas de UNIX.
El tercer tipo son los exploits ClientSide: desde hace unos años hasta hoy, las aplicaciones y
dispositivos vienen de fábrica con un mayor número de características de seguridad
habilitadas. Debido a esto, los atacantes debieron desarrollar nuevos vectores de ataque que
exploten otras debilidades de las organizaciones.
Debemos saber que los exploits ClientSide buscan aprovecharse de vulnerabilidades que
típicamente se encuentran en aplicaciones cliente, las cuales están instaladas en gran parte
de las estaciones de trabajo de las organizaciones, pero que no están expuestas a internet.
Ejemplos de ellas son las aplicaciones de ofimática, como Microsoft Office u Open Office,
lectores de PDF como Adobe Acrobat Reader, navegadores de Internet como Firefox, Internet
Explorer, Chrome o Safari e incluso reproductores multimedia como Windows Media Player,
Wninamp o ITunes.
CLASES DE EXPLOIT:
★ Modo Kernel:
Es el modo superior de ejecución en el se puede acceder al 100% de la memoria, se
tiene acceso al hardware, acceso de escritura a la flash y acceso al segundo
procesador, incluso se puede cambiar el código del firmware que esta en la RAM, y se
puede saltar cualquier protección.
★ Modo VHS
Es un modo intermedio de ejecución, que es el que usa el xmb del firmware y el
ejecutable principal de los updaters de sony. En el se puede acceder a 28 de 32 MB (4
5. INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS
INTEGRANTES: Apolinar Crisóstomo Jessica
Camacho Flores Sarahí Montserrat
Hernández González Ivonne Valeria
Lozada Pérez Yareli Guadalupe
TEMAS: EXPOIT
Coordinador de equipo
FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013
MB Más que en el modo usuario), hay acceso de escritura a la flash.
No hay acceso directo al hardware, ni al segundo procesador, ni al resto de 4 MB de memoria,
donde están los módulos kernel del firmware.
★ MODO USUARIO
Es el modo inferior de ejecución. En el solo se puede acceder a 24 de los 32 MB de
memoria, y a la memoria gráfica. No se puede acceder directamente al hardware, ni hay
posibilidad de escribir a la flash, ni acceder al segundo procesador.
CICLO DE VIDA DE LA VULNERABILIDAD
A continuación se da una breve descripción del ciclo de vida de la vulnerabilidad de una
aplicación y del exploit que depende de ella.
1. La aplicación es lanzada al público.
2. Un investigador corrupto, o un delincuente informático descubre una vulnerabilidad en el
programa, pero no da aviso al desarrollador. En lugar de esto, entrega esta información a los
escritores de códigos malicioso a cambio de dinero u otro tipo de recompensa. Se crea
entonces una aplicación que se aprovecha de dicha vulnerabilidad. Los desarrolladores de
soluciones de seguridad aún no conocen estos programas dañinos, de modo que no pueden
detectarlos. Generalmente, este tipo de amenazas se conoce como código malicioso de día
cero.
3. El desarrollador de la aplicación vulnerable se entera del error a través de canales públicos.
Esto puede ocurrir de varias formas. La más común es que la información sobre el hallazgo se
filtre en foros clandestinos que los piratas comparten
También puede tomar conocimiento por medio de los propios usuarios, por comunicaciones de
otros desarrolladores, o por trabajos de investigación paralelos realizados por investigaciones
honestos.
4. El código de prueba de concepto no lleva una carga maliciosa,. Su función es, simplemente,
probar la viabilidad de los hallazgos y demostrar que, sin el parche adecuado, la vulnerabilidad
realmente podría ser explotada.
Un POC (Proofpfconcept, código de prueba de concepto) se usa principalmente para
convencer de esto al desarrollador del programa en riesgo
5. Una vez que el desarrollador evalúa el informe de vulnerabilidad y concluye que es necesario
crear un parche, comienza a trabajar en ello.
6. INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS
INTEGRANTES: Apolinar Crisóstomo Jessica
Camacho Flores Sarahí Montserrat
Hernández González Ivonne Valeria
Lozada Pérez Yareli Guadalupe
TEMAS: EXPOIT
Coordinador de equipo
FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013
6. El desarrollador crea un parche para corregir la vulnerabilidad detectada. Posteriormente se
distribuye la actualización de seguridad, usando el procedimiento estándar de la aplicación en
cuestión
7. El usuario instala el parche del fabricante, para proteger la aplicación contra posibles
explotaciones de la vulnerabilidad.
En algún punto entre las etapas dos y siete, el exploit sale a la luz y comienza a infectar usuarios
vulnerables.
Este periodo se denomina ventana de oportunidad, ya que los piratas informáticos pueden
adueñarse de los sistemas de los usuarios sin que estos lo sepan, aprovechándose de las
vulnerabilidades que no fueron detectados o solucionados.
Cuando un investigador de seguridad informa la existencia de una vulnerabilidad a un
desarrollador de aplicaciones, sin difundir este dato a otras personas, se reduce enormemente
la probabilidad de que la falla del programa sea aprovechada con fines maliciosos.
Después que la vulnerabilidad ha sido corregida con el parche correspondiente, se pueden
divulgar los detalles del error sin poner un riesgo a los usuarios, siempre que estos hayan
actualizado sistemas.
Las investigaciones muestran que aquellos usuarios que no instalan prontamente los últimos
parches disponibles, corren un alto riesgo de que sus ordenadores se infectan con algún exploit
que circula por la red.
COMO FUNCIONAN LOS EXPLOITS
Tan pronto como los delincuentes informáticos se enteran de la existencia de una
vulnerabilidad, comienzan a escribir códigos malicioso para aprovecharse de ella. Esto podría
implicar el esfuerzo colectivo de varios grupos de piratas o el trabajo de un solo individuo
altamente cualificado, que algunas ocasiones es también el descubridor del error.
En ocasiones, se lanzan a la venta en el mercado clandestino paquetes de herramientas para
crear exploits.
Estas aplicaciones cuestan entre 350 y 700 euros y cuentan con un servicio de actualizaciones
de muy bajo coste, que son distribuidas a los usuarios cada vez que aparecen exploits nuevos y
se agregan automáticamente al paquete, siguiendo el mismo método que las aplicaciones
legítimas.
Los ejemplos más destacados de tales paquetes incluyen los programas WebAttacker, de
origen ruso y MPack.
Estos conjuntos de herramientas contienen un grupo de exploits que se aprovechan de las
9. INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS
INTEGRANTES: Apolinar Crisóstomo Jessica
Camacho Flores Sarahí Montserrat
Hernández González Ivonne Valeria
Lozada Pérez Yareli Guadalupe
TEMAS: EXPOIT
Coordinador de equipo
FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013
decir, aquellos exploits como zerodays.
La tecnología Automatic Exploit Prevention de Kaspersky supervisa específicamente las
vulnerabilidades objetivo que más se explotan para aplicar la inteligencia líder en el sector que
brinda una capa adicional de supervisión de seguridad mejorada.
PROTECCIÓN ANTIEXPLOITS PARA JAVA
A pesar de los esfuerzos de los ciberdelincuentes, las soluciones de seguridad actuales pueden
neutralizar eficazmente los ataques drivein lanzados por paquetes de exploits. Por lo general, la
protección contra los exploits incluye un paquete integrado de tecnologías capaces de
neutralizar estos ataques en diferentes etapas.
Protección por etapas contra un ataque drivein
●
●
●
●
●
Primera etapa: se bloquean los desvíos hacia la página de aterrizaje
Segunda etapa: detección por el módulo file antivirus
Tercera etapa: detección de exploits por firmas
Cuarta etapa: detección proactiva de exploits
Quinta etapa: detección del programa malicioso descargado
EXPLOIT KITS
Los exploit kits son paquetes que contienen programas maliciosos utilizados principalmente
para ejecutar ataques automatizados del tipo ‘driveby’ con el fin de propagar malware. Estos
paquetes están a la venta en el mercado negro, donde los precios varían desde unos cientos
hasta miles de dólares. Hoy en día, también es muy común alquilar exploit kits tipo hosted.
Esto hace que el mercado sea competitivo, con muchos actores y autores.
Ejemplo de herramientas:
●
●
●
●
●
MPAck
CEPack
FirePack
Eleonore
YES
10. INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS
INTEGRANTES: Apolinar Crisóstomo Jessica
Camacho Flores Sarahí Montserrat
Hernández González Ivonne Valeria
Lozada Pérez Yareli Guadalupe
TEMAS: EXPOIT
Coordinador de equipo
FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013
● Crimepack
Los modernos exploits kits más conocidos son Eleonore, YES y Crimepack. Se han realizado
muchas investigaciones y se ha publicado mucha información sobre estos paquetes de
exploits en distintos blogs y sitios web.
Analizado diferentes aspectos de estos paquetes, tenemos que:
Distribución:
Lo primero que llama la atención son los distintos patrones de distribución de los diferentes
exploit kits. Los principales actores aquí son Phoenix y Eleonore, seguidos de Neosploit.
Vulnerabilidades:
Las vulnerabilidades a las que apuntan estos exploit kits, son vulnerabilidades en Internet
Explorer, PDF y Java representan el 66% de los vectores de ataques usados por los exploit
kits más populares.
La mayoría de las vulnerabilidades explotadas son antiguas y existen parches para todas ellas.
Sin embargo, se siguen usando con éxito.
Resulta interesante notar que el índice de reutilización de las vulnerabilidades es del 41% (las
mismas vulnerabilidades explotadas por distintos exploit kits).
Nuevos exploits
Las herramientas Crimepack y SEO Sploit Pack se dirigen a nuevos exploits, se han vuelto
populares por su gran capacidad de explotar vulnerabilidades.
Objetivos de los Exploits
PDF, Internet Explorer y Java son los 3 principales objetivos, pero en este caso, siguiendo con
AOL, MS Office, Firefox, Opera, Flash, Windows. Esto significa que están explotando los
programas más populares instalados en los equipos de los usuarios víctimas.
11. INSTITUTO POLITÉCNICO NACIONAL
UNIDAD PROFESIONAL INTERDISCIPLINARIA DE INGENIERÍA Y CIENCIAS SOCIALES Y ADMINISTRATIVAS
INTEGRANTES: Apolinar Crisóstomo Jessica
Camacho Flores Sarahí Montserrat
Hernández González Ivonne Valeria
Lozada Pérez Yareli Guadalupe
TEMAS: EXPOIT
Coordinador de equipo
FECHA DE EXPOSICIÓN: 11 DE OCTUBRE DE 2013
CONCLUSIÓN
En conclusión el problema de fondo es simple cada día nosotros como usuarios dependemos
más de la informática, así como de los equipos de cómputo, por lo tanto con cualquier
atentado contra ellos nos puede trastornar la vida. Los exploits representan un riesgo real y
concreto para los ordenadores, pero mientras los usuarios cuenten con el conocimiento, el
sentido común y las aplicaciones de seguridad apropiadas, pueden estar seguros de que
estos programas no interferirán en sus vidas digitales.
Es importante siempre estar alerta de los correos que se abren porque es una forma donde
atacan los exploit, al igual que todo lo que ejecutamos en los navegadores, es decir tener un
poco de sentido común y mantenernos informados sobre las nuevas amenazas que nos
acechan, debido a que cada día la tecnología va creciendo y con ello las formas de infección,
para ello tenemos que protegernos contra este tipo de malware y tener conciencia de lo que
hacemos y a qué páginas accedemos.
BIBLIOGRAFÍA
http://books.google.com.mx/books?id=unlw22E8dFwC&pg=PA148&dq=que+es+exploit+en+informatic
a&hl=es&sa=X&ei=3V4Uq7TEKea2AXpioDoAQ&ved=0CDoQ6AEwAw#v=onepage&q=que%20es%2
0exploit%20en%20informatica&f=false
●
Cristian Borghello 2000 2009. Seguridad de la Información.
http://www.seguinfo.com.ar/malware/exploit.htm
● Federico G. Pacheco 2000. Ethical Hacking
http://books.google.com.mx/books?id=joMlAU4seLYC&pg=PA137&dq=vulnerabilidades+de+exploit&hl
=es&sa=X&ei=qnMUoPMNOPw2QXCwoGABw&ved=0CC0Q6AEwAA#v=onepage&q=vulnerabilidade
s%20de%20exploit&f=false
http://www.ecured.cu/index.php/Exploit#Vulnerabilidades
http://eugene.kaspersky.es/lospeligrosdelosexploitsylosdiasceroysuprevencion/