14. Mecanismos para evitar Mecanismos de propagación
detección (FW, IPS, IDS, AV) • Exploits de vulnerabilidades
• Se comunican simulando tráfico • Infección a través de memoria USB
normal • Drive-by-download
• Actualización mediante C&C
Tecnologías de Comando y
Control
• IRC
• HTTP
• P2P
• DNS
• Fast-Flux
15. GT (Global Threat) DSNX (Dataspy
Agobot SDbot
bot Network X)
•Lenguaje: C++ •Familia de •mIRC •Lenguaje: C++
(Multiplataforma) malware más •Mecanismo (Multiplataforma)
bajo licencia GPL activa hace 1 año HideWindow bajo licencia GPL
•Más de 500 •Lenguaje: C bajo (inicia instancia de •Interfaz de plug-ins
versiones licencia GPL mIRC de modo para diseñar
•Lenguaje: C++ •Código fuente no invisible para el fácilmente
(Multiplataforma) estructurado usuario) escáneres y
•Detecta debuggers •Uso de scripts .mrc difusores
•No trae los plug-
ins por defecto
16. Robo de información
(Keylogging,
Ataques de DoS Envío de SPAM
Screenshots,
Sniffing)
Escaneo y
Establecer servicios Descarga e
aprovechamiento de
(HTTP, FTP, DNS) instalación de bots
vulnerabilidades
Fraude de juegos en
Clickfraud Gateway – Proxys
línea
27. Symbian OS, YXES – SEXY VIEW, Procedimiento de análisis,
Instalación de YXES, Análisis forense del dispositivo
28. Variantes
•S60: Soporta aplicaciones desarrolladas en Java MIDP, C++ y Python
•UIQ: Interfaz gráfica que provee componentes adicionales. Soporta Java y C++
Unidades lógicas de almacenamiento
•C: Flash RAM (Aplicaciones instaladas y datos del usuario)
•D: Temp RAM (Almacenamiento temporal de archivos de aplicaciones)
•E: MMC Card (Tarjeta de almacenamiento masivo)
•Z: OS ROM (Archivos de sistema operativo)
Arquitectura de Archivos
•System/Apps: Aplicaciones que son visibles para el usuario
•System/Recogs: Reconocimiento de componentes
•System/Install: Datos necesarios para desinstalar aplicaciones del usuario
•System/libs: Librerías del sistema y aplicaciones de terceros
Aplicaciones Clave
•System/Apps/Menu/Menu.app: Menú principal del teléfono celular
•System/Apps/AppInst/Appinst.app: Servicio de instalación
•System/Apps/AppMngr/AppMngr.app: Servicio de desintalación
•System/Apps/MMM/Mmm.app: Provee el servicio de envío y recepción de mensajes SMS, MMS, BT etc..
•System/Apps/Phonebook/Phonebook.app: Servicio que provee la lista de contactos
29.
30. FASE DE
FASE RECOLECCIÓN FASE DE FASE DE
PREPARATORIA DE ANÁLISIS REPORTE
INFORMACIÓN
31. Efectuar un Hard
Obtener muestra Remover tarjeta
Reset (* 3 SEND
del malware extraíble
POWER)
Realizar
procedimiento de Probar conexión a Eliminación de la
desbloqueo de Internet lista de contactos
directorios
Verificación de la
instalación del
malware
32.
33.
34.
35.
36.
37. EconServerSemaphore_0x2001EB45
“olpx” seguido de una D o una K
“mr.log” – “Set Connection Failed” – “Set
Connection Succeded” – “TimeUptoRoot”
“root.six”
48. No se evidenció comunicación entre el malware y
el atacante remoto
El malware no presentó el comportamiento
especificado por la fuente que lo descubrió
No existen herramientas para obtener evidencia
digital de incidentes de seguridad en dispositivos
móviles
Existen otras técnicas como ingeniería reversa para
determinar el comportamiento del malware
Las herramientas para ingeniería reversa son
costosas para fines académicos (USD 257)
49. Los sistemas operativos móviles son inmunes
a vulnerabilidades clásicas de los PC
Actualmente existe muy poca conciencia
respecto al riesgo que representan los
dispositivos móviles
El aumento de aplicaciones en los teléfonos
celulares constituirá un factor importante en el
aumento del interés de los delincuentes
informáticos en los dispositivos móviles.
50. Luego de aproximadamente un año de escrito
el paper, se evidencia que la inseguridad
informática en dispositivos móviles está
evolucionando, sin embargo, todavía la mayor
parte de la atención de la industria en
seguridad se centra en los PC debido en gran
parte a la heterogeneidad de sistemas
operativos en los dispositivos móviles.