Este documento describe las técnicas de defensa en profundidad contra el software malintencionado. Explica los tipos de malware como virus, gusanos y troyanos, la nomenclatura utilizada para identificarlos, las técnicas de detección de soluciones antivirus como detección por firma, heurística y emulación, y las limitaciones de los antivirus. También cubre la elección de soluciones antivirus y métodos de defensa contra malware en clientes y entornos corporativos.
1. Defensa en profundidad
contra software
malintencionado (Virus)
Jose Parada (Evangelista Técnico Microsoft)
Antonio Ropero (Hispasec)
Bernardo Quintero (Hispasec)
2. Requisitos previos para la sesión
Conocimientos básicos de los fundamentos de la
seguridad de las redes
Conocimientos básicos de los conceptos relativos a
software malintencionado
Conocimientos básicos sobre soluciones antivirus
Nivel 300
3. Información general de la sesión
Tipos y características del software malintencionado
Nomenclatura en la identificación del software
malintencionado
Técnicas comunes empleadas por las soluciones
antivirus
Limitaciones de las soluciones antivirus
Elección de la solución antivirus
Defensa en clientes contra el software malintencionado
Defensa en entornos corporativos contra el software
malintencionado
4. Tipos y características del software
malintencionado
Tipos y características del software malintencionado
Nomenclatura en la identificación del software
malintencionado
Técnicas comunes empleadas por las soluciones
antivirus
Limitaciones de las soluciones antivirus
Elección de la solución antivirus
Defensa en clientes contra el software malintencionado
Defensa en entornos corporativos contra el software
malintencionado
5. Software malintencionado: la familia del malware
Software malintencionado o “malware” (malicious software):
término para designar un programa informático que provoca de
forma intencionada una acción dañina para el sistema y/o usuario.
Tipos de malware
ampliación
Spyware
definición clásica
Backdoors
Virus
Keyloggers
Gusanos
evolución Dialers
Troyanos
RootKits
Bombas lógicas
Exploits
…
6. Tipos de malware: Virus
Virus: programa informático que puede infectar a otros programas
modificándolos para incluir una copia de sí mismo.
Ejemplo
Virus CIH (alias Chernobil)
desarrollado en 1998, en ensamblador, tamaño 1Kb
afecta a plataforma Windows 9x
infecta archivos Windows PE (Portable Executable)
residente en memoria
día 26 sobreescribe disco duro y flash-BIOS
más de 30 variantes
7. Tipos de malware: Gusano
Gusano: programa informático que tiene como fin replicarse, a
diferencia de los virus no modifica otros programas.
Ejemplos
Gusano Netsky
distribuye por e-mail, redes P2P, y redes locales
falsea dirección remitente
doble extensión, terminando en .com, .exe, .pif o .scr
Gusano Sasser
no necesita la acción del usuario para infectar
desbordamiento de buffer en LSSAS (Win 2000/XP)
explotación automática a través del puerto TCP/445
8. Tipos de malware: Troyano
Troyano: aplicación aparentemente legítima y útil que en realidad
realiza acciones dañinas. A diferencia de los virus y los gusanos,
no puede autorreplicarse ni infectar archivos.
Troyano AIDS (1989)
Ejemplo
distribución por correo postal en un disquete
programa con información sobre SIDA
tras varios inicios de sistema, aparecía el troyano
cifraba el disco duro e impedía al usuario acceder
solicitaba pago al usuario para llave de descifrado
Con el tiempo el término troyano se convirtió en un comodín utilizado para
todo tipo de malware que no podía ser catalogado como virus o gusano.
9. Tipos de malware: Backdoor
Backdoor: o puerta trasera, permite acceso y control remoto del
sistema sin una autentificación legítima.
Ejemplo
Backdoor BackOrifice
módulo cliente (atacante) y módulo servidor (víctima)
servidor .exe por defecto abre puerto TCP/31337
atacante obtiene control total sobre la víctima
lectura y escritura de archivos, ejecutar
aplicaciones, reiniciar el sistema, visualizar la
pantalla, manejar el ratón y teclado de la víctima,
robar contraseñas, etc.
10. Tipos de malware: Spyware, Dialer, Keylogger,...
Spyware: recolecta y envía información privada sin el
consentimiento y/o conocimiento del usuario.
Dialer: realiza una llamada a través de módem o RDSI para
conectar a Internet utilizando números de tarificación adicional sin
conocimiento del usuario, provocando el aumento en la factura
telefónica.
Keylogger: captura las teclas pulsadas por el usuario,
permitiendo obtener datos sensibles como contraseñas..
Adware: muestra anuncios o abre páginas webs no solicitadas.
Exploit: programas que aprovecha una vulnerabilidad.
11. Tipos de malware: combinados
Muchos especímenes de malware actual pueden combinar varias
de las características atribuibles a las distintas categorías.
Ejemplo
Lamin.B
virus polimórfico infecta ejecutables Windows PE
gusano que se distribuye por redes locales
incluye función keylogger
backdoor permite control remoto
Aunque las líneas están difusas, se suele utilizar como
denominación principal la característica más importante. Así, por
ejemplo, se habla de un virus con capacidades de backdoor.
12. Nomenclatura en la identificación del software
malintencionado
Tipos y características del software malintencionado
Nomenclatura en la identificación del software
malintencionado
Técnicas comunes empleadas por las soluciones
antivirus
Limitaciones de las soluciones antivirus
Elección de la solución antivirus
Defensa en clientes contra el software malintencionado
Defensa en entornos corporativos contra el software
malintencionado
13. Nomenclatura en la identificación del software
malintencionado
Prefijo + Nombre + Variante + sufijo
Ejemplo
W32/Klez.H@MM
Prefijo W32 afecta a plataformas Windows 32bits
Nombre Klez nombre dado al espécimen
Variante h existen al menos 7 versiones anteriores (a,
b,c d,…)
Sufijo @MM gusano de propagación masiva por
correo electrónico
14. Nomenclatura en la identificación del software
malintencionado
Prefijos y sufijos más comunes
W32 afecta a plataformas Windows 32bits
W95 afecta a plataformas Windows 9X/Me
WM virus de macro para Word
XM virus de macro para Excel
Worm gusano
Troj troyano
Bck backdoor
VBS escrito en Visual Basic Script
JS escrito en Java Script
Joke broma
@mm se propaga por e-mail de forma masiva
18. Técnicas comunes empleadas por las soluciones
antivirus
Tipos y características del software malintencionado
Nomenclatura en la identificación del software
malintencionado
Técnicas comunes empleadas por las soluciones
antivirus
Limitaciones de las soluciones antivirus
Elección de la solución antivirus
Defensa en clientes contra el software malintencionado
Defensa en entornos corporativos contra el software
malintencionado
19. Técnicas comunes empleadas por las soluciones
antivirus
Detección por cadena o firma: tras analizar el código del
malware, se selecciona una porción del mismo o cadena
representativa que lo permita diferenciar de cualquier otro
programa. Si el antivirus detecta esa cadena en algún archivo,
determinará que está infectado por ese malware.
20 E0 06 84 20 F4 06 D4 20 08 07 4B 34 00 AD 0C
21 1C 07 F7 21 1D 07 4D 22 30 07 CB 22 44 07 1A
23 45 07 74 23 46 07 B6 23 47 07 32 24 48 07 CE
24 49 07 31 25 4A 07 98 25 58 07 F0 25 59 07 81
Es la técnica más extendida entre los antivirus
Permite identificar el malware de forma concreta
No detecta nuevos virus ni modificaciones
Filosofía reactiva, requiere actualización continua
22. Técnicas comunes empleadas por las soluciones
antivirus
Detección por heurística: análisis de código para identificar
conjunto de instrucciones y estrategias genéricas utilizadas por el
malware.
No necesita de actualizaciones tan constantes
Capacidad para detectar malware nuevo
Más propenso a falsos positivos
Penalización en el rendimiento en los análisis
No detecta malware con características nuevas
24. Técnicas comunes empleadas por las soluciones
antivirus
Detección por emulación: las aplicaciones se ejecutan en un
entorno informático simulado (sandbox), para evaluar el grado de
peligrosidad.
No necesita de actualizaciones tan constantes
Capacidad para detectar malware nuevo
Más propenso a falsos positivos
Especial penalización en el rendimiento en los análisis
(mayor que en el caso del análisis heurístico de
código).
No detecta malware con características nuevas
26. Técnicas comunes empleadas por las soluciones
antivirus
Detección por monitorización comportamiento: en vez de
analizar el código, comprueba las acciones que intentan llevar a
acbo las aplicaciones, e identifican las que puedan ser
potencialmente peligrosas.
No necesita de actualizaciones tan constantes
Capacidad para detectar malware nuevo
Más propenso a falsos positivos
Penalización en el rendimiento del sistema
No detecta malware con características nuevas
29. Técnicas comunes empleadas por las soluciones
antivirus
Otros enfoques
Chequeo integridad
Comprobar la integridad de los archivos contra una
base de datos (checksums, hash, …)
Debe de partir de un archivo limpio
Fáciles de burlar (spoofing)
Control de acceso
Sólo se pueden ejecutar las aplicaciones permitidas
por el administrador, con determinados privilegios y
según perfil.
Difíciles de administrar, sobre todo en ambientes
heterogéneos, y poco práctico para usuarios
particulares.
30. Limitaciones de las soluciones antivirus
Tipos y características del software malintencionado
Nomenclatura en la identificación del software
malintencionado
Técnicas comunes empleadas por las soluciones
antivirus
Limitaciones de las soluciones antivirus
Elección de la solución antivirus
Defensa en clientes contra el software malintencionado
Defensa en entornos corporativos contra el software
malintencionado
31. Limitaciones de las soluciones antivirus
Facilidad de burlar los métodos de detección
Esquema reactivo, solución a posteriori
Ventana vulnerable, no protegen a tiempo
Creación del malware Actualización del AV del usuario
Distribución Publicación actualización
Infección de las primeras víctimas Desarrollo firma y pruebas
Reporte a los laboratorios AV Análisis del malware
32. Limitaciones de las soluciones antivirus
Falsa sensación de seguridad AV (perimetrales, locales)
Protocolos que no pueden ser analizados (https, …)
Limitaciones de análisis en el perímetro
Formatos de empaquetado y compresión
Evolución y diversificación del malware
34. Elección de la solución antivirus
Tipos y características del software malintencionado
Nomenclatura en la identificación del software
malintencionado
Técnicas comunes empleadas por las soluciones
antivirus
Limitaciones de las soluciones antivirus
Elección de la solución antivirus
Defensa en clientes contra el software malintencionado
Defensa en entornos corporativos contra el software
malintencionado
35. Elección de las soluciones antivirus
Elementos que distorsionan (a ignorar)
Marketing AV en general (protección 100%, detecta
todos los virus conocidos y desconocidos, número 1,
tecnología “supermegapotente”,…)
Número de malware que dicen detectar (guerra de
números, no es un dato cualitativo y no corresponde con
la realidad)
“Consultores” (¿consultores o distribuidores?)
Premios y certificaciones (adulterados, requisitos
mínimos)
Comparativas (evaluación crítica, lectura de resultados)
37. Elección de las soluciones antivirus
Elementos a tener en cuenta
Recursos que consume, rendimiento y estabilidad
Facilidad de uso y posibilidades de configuración
Malware que cubre (spyware, riskware, dialers,…)
Funciones proactivas
Actualizaciones y tiempos de respuesta
Soporte
Puesto destacado en comparativas (no de los últimos)
Casuística de nuestros sistemas (probar y evaluar)
Gestión centralizada, funciones corporativas
39. Defensa contra software malintencionado
Tipos y características del software malintencionado
Nomenclatura en la identificación del software
malintencionado
Técnicas comunes empleadas por las soluciones
antivirus
Limitaciones de las soluciones antivirus
Elección de la solución antivirus
Defensa en clientes contra el software malintencionado
Defensa en entornos corporativos contra el software
malintencionado
40. Defensa contra el software malintencionado
Origen de infecciones
Abrir archivos legítimos (virus)
Abrir archivos no solicitados, adjuntos de correo,
P2P, descargas (gusanos, troyanos)
Abrir archivos enviados por terceros
intencionadamente (Ingeniería social) (troyanos,
backdoors)
Configuración débil de nuestro sistema operativo
(gusanos, virus, backdoors,…)
Configuración débil de aplicaciones Internet
(navegador, cliente de correo) (spyware, gusanos)
Vulnerabilidades del sistema operativo y
aplicaciones Internet (gusanos, spyware, backdoors)
41. Defensa contra el software malintencionado
Visión actual en la prevención
42. Defensa contra el software malintencionado
Agente fundamental en la prevención real
Abrir archivos legítimos
Abrir archivos no solicitados
Ingenieria social
Configuración débil del sistema operativo
Configuración débil de aplicaciones Internet
Vulnerabilidades del S.O. y aplicaciones
43. Defensa en clientes contra el software
malintencionado
Se debe tender a un equilibrio
44. Defensa contra el software malintencionado
Factor humano
Educar / formar al usuario. Cultura de seguridad.
Formatos potencialmente peligrosos
No abrir archivos no solicitados
No utilizar fuentes no confiables
Navegación segura
Política de passwords
Copias de seguridad
45. Defensa contra el software malintencionado
Factor S.O. y aplicaciones
Desactivar todos los servicios no necesarios
Aplicar actualizaciones automáticas (SUS, SMS)
Configuración segura navegador y correo
Políticas de uso de portátiles, PDAs, memorias USB,
acceso externo
Segmentación lógica redes
Políticas de privilegios según usuario y aplicaciones
Políticas de seguridad recursos compartidos
Políticas de backup
46. Defensa contra el software malintencionado
Soluciones de seguridad y antimalware
Uso de soluciones antivirus distintas y
complementarias por capas (perímetro, servidor de
archivos, host).
Firewall perimetrales y basados en hosts (XP SP2)
Política de filtrado por contenidos
Política de acceso a la red (interna, externa)
Gestión centralizada seguridad
Auditorías y planes de contingencia/continuidad
49. Elección de una solución de administración de actualizaciones
para la defensa contra software malintencionado
Tipo de Escenario Solución
usuario
Usuario Todos los escenarios Windows
independiente Update
Sin servidores de Windows Windows
Update
Organización
pequeña Al menos un servidor Windows 2000
o una versión más reciente y un MBSA y SUS
administrador de IT
Desea una solución de administración de
actualizaciones con un control básico que MBSA y SUS
Empresa actualice Windows 2000 y las versiones más
de tamaño recientes de Windows
mediano
a grande Desea una solución de administración de
actualizaciones flexible con un mayor control SMS
para actualizar y distribuir todo el software
50. Descripción de las ventajas de Software Update
Services (SUS)
Permite que los administradores
tengan un control básico de la
administración de las actualizaciones
Los administradores pueden revisar,
probar y aprobar las actualizaciones
antes de implementarlas
Simplifica y automatiza aspectos
clave del proceso de administración
de actualizaciones
Se puede usar con directivas de grupo,
aunque no son imprescindibles para
utilizar SUS
Fácil de implementar
Herramienta gratuita de Microsoft
51. Funcionamiento de SUS
Internet
Windows Update
Servidor SUS secundario
Equipos cliente
Servidor
SUS
primario
Equipos cliente
52. Demostración 1: Configuración de Software Update
Services para implementar actualizaciones de seguridad
Configurar Software Update Services para
implementar actualizaciones de seguridad
53. Configuración de aplicaciones para proteger los
equipos cliente
Algunas aplicaciones que pueden ser objetivos de
ataques de software malintencionado son:
Aplicaciones de clientes de correo electrónico
Aplicaciones de escritorio
Aplicaciones de mensajería instantánea
Exploradores Web
Aplicaciones de igual a igual
54. Administración de la seguridad de Internet Explorer
Característica Descripción
de seguridad
Mejoras de la Comprobaciones de coherencia
seguridad de MIME Reglas más estrictas
Características de control y administración
de complementos
Mejor administración Mensajes más descriptivos
de la seguridad Nuevas restricciones de Windows iniciadas
mediante secuencias de comandos
Zona Equipo local Capacidad para controlar la seguridad en la zona
Equipo local
Configuración de la zona Rastreo de MIME
de seguridad Control de Elevación de la seguridad
características Restricciones de Windows
Configuración de Control administrativo de las zonas de seguridad
directivas de grupo Control de características
55. Demostración 2: Configuración de aplicaciones
basadas en el cliente
Configurar las aplicaciones cliente para la
defensa contra software malintencionado
56. Bloqueo de aplicaciones no autorizadas con directivas
de restricción de software
Las directivas de restricción de software:
Se pueden utilizar para:
• Combatir virus Se pueden aplicar a
las siguientes reglas:
• Controlar las descargas de
ActiveX Hash
• Ejecutar sólo secuencias de • Certificado
comandos firmadas • Ruta de acceso
• Asegurarse de que se • Zona
instalan las aplicaciones
autorizadas
• Bloquear equipos
Se pueden establecer como:
Ilimitado
No permitido
57. Demostración 3: Uso de directivas de restricción de
software
Crear y probar una directiva de restricción
de software
58. Nuevas características de seguridad de Firewall
de Windows
Activado de forma Activado sin excepciones
predeterminada
Seguridad en tiempo Lista de excepciones
de Firewall de Windows
de inicio del sistema
Configuración global
Perfiles múltiples
y restauración de la
configuración Compatibilidad con RPC
predeterminada
Se puede realizar una
instalación desatendida
Restricciones de
subred local
Posibilidad comandos
la línea de
de usar