La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Defensa en profundidad contra software malintencionado (Virus) Jose Parada (Evangelista T é cnico Microsoft) Antonio Ropero (Hispasec) Bernardo Quintero.

Presentaciones similares


Presentación del tema: "Defensa en profundidad contra software malintencionado (Virus) Jose Parada (Evangelista T é cnico Microsoft) Antonio Ropero (Hispasec) Bernardo Quintero."— Transcripción de la presentación:

1 Defensa en profundidad contra software malintencionado (Virus) Jose Parada (Evangelista T é cnico Microsoft) Antonio Ropero (Hispasec) Bernardo Quintero (Hispasec)

2 Requisitos previos para la sesión Conocimientos básicos de los fundamentos de la seguridad de las redes Conocimientos básicos de los conceptos relativos a software malintencionado Conocimientos básicos sobre soluciones antivirus Nivel 300

3 Información general de la sesión Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado

4 Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado

5 Software malintencionado: la familia del malware Software malintencionado o malware (mal icious soft ware): término para designar un programa informático que provoca de forma intencionada una acción dañina para el sistema y/o usuario. Tipos de malware definición clásica Virus Gusanos Troyanos Bombas lógicas definición clásica Virus Gusanos Troyanos Bombas lógicas ampliación Spyware Backdoors Keyloggers Dialers RootKits Exploits … ampliación Spyware Backdoors Keyloggers Dialers RootKits Exploits … evolución

6 Tipos de malware: Virus Virus: programa informático que puede infectar a otros programas modificándolos para incluir una copia de sí mismo. Virus CIH (alias Chernobil) desarrollado en 1998, en ensamblador, tamaño 1Kb afecta a plataforma Windows 9x infecta archivos Windows PE (Portable Executable) residente en memoria día 26 sobreescribe disco duro y flash-BIOS más de 30 variantes Virus CIH (alias Chernobil) desarrollado en 1998, en ensamblador, tamaño 1Kb afecta a plataforma Windows 9x infecta archivos Windows PE (Portable Executable) residente en memoria día 26 sobreescribe disco duro y flash-BIOS más de 30 variantes Ejemplo

7 Tipos de malware: Gusano Gusano: programa informático que tiene como fin replicarse, a diferencia de los virus no modifica otros programas. Ejemplos Gusano Netsky distribuye por , redes P2P, y redes locales falsea dirección remitente doble extensión, terminando en.com,.exe,.pif o.scr Gusano Netsky distribuye por , redes P2P, y redes locales falsea dirección remitente doble extensión, terminando en.com,.exe,.pif o.scr Gusano Sasser no necesita la acción del usuario para infectar desbordamiento de buffer en LSSAS (Win 2000/XP) explotación automática a través del puerto TCP/445 Gusano Sasser no necesita la acción del usuario para infectar desbordamiento de buffer en LSSAS (Win 2000/XP) explotación automática a través del puerto TCP/445

8 Tipos de malware: Troyano Troyano: aplicación aparentemente legítima y útil que en realidad realiza acciones dañinas. A diferencia de los virus y los gusanos, no puede autorreplicarse ni infectar archivos. Ejemplo Troyano AIDS (1989) distribución por correo postal en un disquete programa con información sobre SIDA tras varios inicios de sistema, aparecía el troyano cifraba el disco duro e impedía al usuario acceder solicitaba pago al usuario para llave de descifrado Troyano AIDS (1989) distribución por correo postal en un disquete programa con información sobre SIDA tras varios inicios de sistema, aparecía el troyano cifraba el disco duro e impedía al usuario acceder solicitaba pago al usuario para llave de descifrado Con el tiempo el término troyano se convirtió en un comodín utilizado para todo tipo de malware que no podía ser catalogado como virus o gusano.

9 Tipos de malware: Backdoor Backdoor: o puerta trasera, permite acceso y control remoto del sistema sin una autentificación legítima. Ejemplo Backdoor BackOrifice módulo cliente (atacante) y módulo servidor (víctima) servidor.exe por defecto abre puerto TCP/31337 atacante obtiene control total sobre la víctima lectura y escritura de archivos, ejecutar aplicaciones, reiniciar el sistema, visualizar la pantalla, manejar el ratón y teclado de la víctima, robar contraseñas, etc. Backdoor BackOrifice módulo cliente (atacante) y módulo servidor (víctima) servidor.exe por defecto abre puerto TCP/31337 atacante obtiene control total sobre la víctima lectura y escritura de archivos, ejecutar aplicaciones, reiniciar el sistema, visualizar la pantalla, manejar el ratón y teclado de la víctima, robar contraseñas, etc.

10 Tipos de malware: Spyware, Dialer, Keylogger,... Spyware: recolecta y envía información privada sin el consentimiento y/o conocimiento del usuario. Dialer: realiza una llamada a través de módem o RDSI para conectar a Internet utilizando números de tarificación adicional sin conocimiento del usuario, provocando el aumento en la factura telefónica. Keylogger: captura las teclas pulsadas por el usuario, permitiendo obtener datos sensibles como contraseñas.. Adware: muestra anuncios o abre páginas webs no solicitadas. Exploit: programas que aprovecha una vulnerabilidad.

11 Tipos de malware: combinados Muchos especímenes de malware actual pueden combinar varias de las características atribuibles a las distintas categorías. Ejemplo Lamin.B virus polimórfico infecta ejecutables Windows PE gusano que se distribuye por redes locales incluye función keylogger backdoor permite control remoto Lamin.B virus polimórfico infecta ejecutables Windows PE gusano que se distribuye por redes locales incluye función keylogger backdoor permite control remoto Aunque las líneas están difusas, se suele utilizar como denominación principal la característica más importante. Así, por ejemplo, se habla de un virus con capacidades de backdoor.

12 Nomenclatura en la identificación del software malintencionado Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado

13 Prefijo + Nombre + Variante + sufijo Prefijo W32 afecta a plataformas Windows 32bits Nombre Klez nombre dado al espécimen Variante h existen al menos 7 versiones anteriores (a, b,c d,…) gusano de propagación masiva por correo electrónico Prefijo W32 afecta a plataformas Windows 32bits Nombre Klez nombre dado al espécimen Variante h existen al menos 7 versiones anteriores (a, b,c d,…) gusano de propagación masiva por correo electrónico Ejemplo Nomenclatura en la identificación del software malintencionado

14 W32 afecta a plataformas Windows 32bits W95 afecta a plataformas Windows 9X/Me WM virus de macro para Word XM virus de macro para Excel Worm gusano Troj troyano Bck backdoor VBS escrito en Visual Basic Script JS escrito en Java Script Joke se propaga por de forma masiva W32 afecta a plataformas Windows 32bits W95 afecta a plataformas Windows 9X/Me WM virus de macro para Word XM virus de macro para Excel Worm gusano Troj troyano Bck backdoor VBS escrito en Visual Basic Script JS escrito en Java Script Joke se propaga por de forma masiva Prefijos y sufijos más comunes Nomenclatura en la identificación del software malintencionado

15

16

17

18 Técnicas comunes empleadas por las soluciones antivirus Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado

19 Técnicas comunes empleadas por las soluciones antivirus Detección por cadena o firma: tras analizar el código del malware, se selecciona una porción del mismo o cadena representativa que lo permita diferenciar de cualquier otro programa. Si el antivirus detecta esa cadena en algún archivo, determinará que está infectado por ese malware. Es la técnica más extendida entre los antivirus Permite identificar el malware de forma concreta No detecta nuevos virus ni modificaciones Filosofía reactiva, requiere actualización continua Es la técnica más extendida entre los antivirus Permite identificar el malware de forma concreta No detecta nuevos virus ni modificaciones Filosofía reactiva, requiere actualización continua 20 E F4 06 D B AD 0C 21 1C 07 F7 21 1D 07 4D CB A B CE A F E F4 06 D B AD 0C 21 1C 07 F7 21 1D 07 4D CB A B CE A F

20 Técnicas comunes empleadas por las soluciones antivirus Detección por localización y nombre de archivo

21 DEMO

22 Técnicas comunes empleadas por las soluciones antivirus Detección por heurística: análisis de código para identificar conjunto de instrucciones y estrategias genéricas utilizadas por el malware. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Penalización en el rendimiento en los análisis No detecta malware con características nuevas No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Penalización en el rendimiento en los análisis No detecta malware con características nuevas

23 Técnicas comunes empleadas por las soluciones antivirus Detección por heurística

24 Técnicas comunes empleadas por las soluciones antivirus Detección por emulación: las aplicaciones se ejecutan en un entorno informático simulado (sandbox), para evaluar el grado de peligrosidad. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Especial penalización en el rendimiento en los análisis (mayor que en el caso del análisis heurístico de código). No detecta malware con características nuevas No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Especial penalización en el rendimiento en los análisis (mayor que en el caso del análisis heurístico de código). No detecta malware con características nuevas

25 Técnicas comunes empleadas por las soluciones antivirus Detección por emulación

26 Técnicas comunes empleadas por las soluciones antivirus Detección por monitorización comportamiento: en vez de analizar el código, comprueba las acciones que intentan llevar a acbo las aplicaciones, e identifican las que puedan ser potencialmente peligrosas. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Penalización en el rendimiento del sistema No detecta malware con características nuevas No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Penalización en el rendimiento del sistema No detecta malware con características nuevas

27 Técnicas comunes empleadas por las soluciones antivirus Detección por monitorización comportamiento

28 DEMO

29 Técnicas comunes empleadas por las soluciones antivirus Otros enfoques Chequeo integridad Comprobar la integridad de los archivos contra una base de datos (checksums, hash, …) Debe de partir de un archivo limpio Fáciles de burlar (spoofing) Chequeo integridad Comprobar la integridad de los archivos contra una base de datos (checksums, hash, …) Debe de partir de un archivo limpio Fáciles de burlar (spoofing) Control de acceso Sólo se pueden ejecutar las aplicaciones permitidas por el administrador, con determinados privilegios y según perfil. Difíciles de administrar, sobre todo en ambientes heterogéneos, y poco práctico para usuarios particulares. Control de acceso Sólo se pueden ejecutar las aplicaciones permitidas por el administrador, con determinados privilegios y según perfil. Difíciles de administrar, sobre todo en ambientes heterogéneos, y poco práctico para usuarios particulares.

30 Limitaciones de las soluciones antivirus Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado

31 Facilidad de burlar los métodos de detección Esquema reactivo, solución a posteriori Ventana vulnerable, no protegen a tiempo Facilidad de burlar los métodos de detección Esquema reactivo, solución a posteriori Ventana vulnerable, no protegen a tiempo Limitaciones de las soluciones antivirus Creación del malware Distribución Infección de las primeras víctimas Reporte a los laboratorios AV Creación del malware Distribución Infección de las primeras víctimas Reporte a los laboratorios AV Actualización del AV del usuario Publicación actualización Desarrollo firma y pruebas Análisis del malware Actualización del AV del usuario Publicación actualización Desarrollo firma y pruebas Análisis del malware

32 Falsa sensación de seguridad AV (perimetrales, locales) Protocolos que no pueden ser analizados (https, …) Limitaciones de análisis en el perímetro Formatos de empaquetado y compresión Evolución y diversificación del malware Falsa sensación de seguridad AV (perimetrales, locales) Protocolos que no pueden ser analizados (https, …) Limitaciones de análisis en el perímetro Formatos de empaquetado y compresión Evolución y diversificación del malware Limitaciones de las soluciones antivirus

33 DEMO

34 Elección de la solución antivirus Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado

35 Marketing AV en general (protección 100%, detecta todos los virus conocidos y desconocidos, número 1, tecnología supermegapotente,…) Número de malware que dicen detectar (guerra de números, no es un dato cualitativo y no corresponde con la realidad) Consultores (¿consultores o distribuidores?) Premios y certificaciones (adulterados, requisitos mínimos) Comparativas (evaluación crítica, lectura de resultados) Marketing AV en general (protección 100%, detecta todos los virus conocidos y desconocidos, número 1, tecnología supermegapotente,…) Número de malware que dicen detectar (guerra de números, no es un dato cualitativo y no corresponde con la realidad) Consultores (¿consultores o distribuidores?) Premios y certificaciones (adulterados, requisitos mínimos) Comparativas (evaluación crítica, lectura de resultados) Elección de las soluciones antivirus Elementos que distorsionan (a ignorar)

36 DEMO

37 Recursos que consume, rendimiento y estabilidad Facilidad de uso y posibilidades de configuración Malware que cubre (spyware, riskware, dialers,…) Funciones proactivas Actualizaciones y tiempos de respuesta Soporte Puesto destacado en comparativas (no de los últimos) Casuística de nuestros sistemas (probar y evaluar) Gestión centralizada, funciones corporativas Recursos que consume, rendimiento y estabilidad Facilidad de uso y posibilidades de configuración Malware que cubre (spyware, riskware, dialers,…) Funciones proactivas Actualizaciones y tiempos de respuesta Soporte Puesto destacado en comparativas (no de los últimos) Casuística de nuestros sistemas (probar y evaluar) Gestión centralizada, funciones corporativas Elección de las soluciones antivirus Elementos a tener en cuenta

38 Elección de las soluciones antivirus

39 Defensa contra software malintencionado Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado

40 Abrir archivos legítimos (virus) Abrir archivos no solicitados, adjuntos de correo, P2P, descargas (gusanos, troyanos) Abrir archivos enviados por terceros intencionadamente (Ingeniería social) (troyanos, backdoors) Configuración débil de nuestro sistema operativo (gusanos, virus, backdoors,…) Configuración débil de aplicaciones Internet (navegador, cliente de correo) (spyware, gusanos) Vulnerabilidades del sistema operativo y aplicaciones Internet (gusanos, spyware, backdoors) Abrir archivos legítimos (virus) Abrir archivos no solicitados, adjuntos de correo, P2P, descargas (gusanos, troyanos) Abrir archivos enviados por terceros intencionadamente (Ingeniería social) (troyanos, backdoors) Configuración débil de nuestro sistema operativo (gusanos, virus, backdoors,…) Configuración débil de aplicaciones Internet (navegador, cliente de correo) (spyware, gusanos) Vulnerabilidades del sistema operativo y aplicaciones Internet (gusanos, spyware, backdoors) Defensa contra el software malintencionado Origen de infecciones

41 Defensa contra el software malintencionado Visión actual en la prevención

42 Abrir archivos legítimos Abrir archivos no solicitados Ingenieria social Configuración débil del sistema operativo Configuración débil de aplicaciones Internet Vulnerabilidades del S.O. y aplicaciones Abrir archivos legítimos Abrir archivos no solicitados Ingenieria social Configuración débil del sistema operativo Configuración débil de aplicaciones Internet Vulnerabilidades del S.O. y aplicaciones Defensa contra el software malintencionado Agente fundamental en la prevención real

43 Defensa en clientes contra el software malintencionado Se debe tender a un equilibrio

44 Educar / formar al usuario. Cultura de seguridad. Formatos potencialmente peligrosos No abrir archivos no solicitados No utilizar fuentes no confiables Navegación segura Política de passwords Copias de seguridad Educar / formar al usuario. Cultura de seguridad. Formatos potencialmente peligrosos No abrir archivos no solicitados No utilizar fuentes no confiables Navegación segura Política de passwords Copias de seguridad Defensa contra el software malintencionado Factor humano

45 Desactivar todos los servicios no necesarios Aplicar actualizaciones automáticas (SUS, SMS) Configuración segura navegador y correo Políticas de uso de portátiles, PDAs, memorias USB, acceso externo Segmentación lógica redes Políticas de privilegios según usuario y aplicaciones Políticas de seguridad recursos compartidos Políticas de backup Desactivar todos los servicios no necesarios Aplicar actualizaciones automáticas (SUS, SMS) Configuración segura navegador y correo Políticas de uso de portátiles, PDAs, memorias USB, acceso externo Segmentación lógica redes Políticas de privilegios según usuario y aplicaciones Políticas de seguridad recursos compartidos Políticas de backup Defensa contra el software malintencionado Factor S.O. y aplicaciones

46 Uso de soluciones antivirus distintas y complementarias por capas (perímetro, servidor de archivos, host). Firewall perimetrales y basados en hosts (XP SP2) Política de filtrado por contenidos Política de acceso a la red (interna, externa) Gestión centralizada seguridad Auditorías y planes de contingencia/continuidad Uso de soluciones antivirus distintas y complementarias por capas (perímetro, servidor de archivos, host). Firewall perimetrales y basados en hosts (XP SP2) Política de filtrado por contenidos Política de acceso a la red (interna, externa) Gestión centralizada seguridad Auditorías y planes de contingencia/continuidad Defensa contra el software malintencionado Soluciones de seguridad y antimalware

47 DEMO

48 Preguntas y respuestas

49 Elección de una solución de administración de actualizaciones para la defensa contra software malintencionado Tipo de usuario EscenarioSolución Usuario independiente Todos los escenarios Windows Update Organización pequeña Sin servidores de Windows Windows Update Al menos un servidor Windows 2000 o una versión más reciente y un administrador de IT MBSA y SUS Empresa de tamaño mediano a grande Desea una solución de administración de actualizaciones con un control básico que actualice Windows 2000 y las versiones más recientes de Windows MBSA y SUS Desea una solución de administración de actualizaciones flexible con un mayor control para actualizar y distribuir todo el software SMS

50 Descripción de las ventajas de Software Update Services (SUS) Permite que los administradores tengan un control básico de la administración de las actualizaciones Los administradores pueden revisar, probar y aprobar las actualizaciones antes de implementarlas Simplifica y automatiza aspectos clave del proceso de administración de actualizaciones Se puede usar con directivas de grupo, aunque no son imprescindibles para utilizar SUS Fácil de implementar Herramienta gratuita de Microsoft Permite que los administradores tengan un control básico de la administración de las actualizaciones Los administradores pueden revisar, probar y aprobar las actualizaciones antes de implementarlas Simplifica y automatiza aspectos clave del proceso de administración de actualizaciones Se puede usar con directivas de grupo, aunque no son imprescindibles para utilizar SUS Fácil de implementar Herramienta gratuita de Microsoft

51 Funcionamiento de SUS Servidor SUS primario Windows Update Servidor SUS secundario Internet Equipos cliente

52 Demostración 1: Configuración de Software Update Services para implementar actualizaciones de seguridad Configurar Software Update Services para implementar actualizaciones de seguridad

53 Configuración de aplicaciones para proteger los equipos cliente Algunas aplicaciones que pueden ser objetivos de ataques de software malintencionado son: Aplicaciones de clientes de correo electrónico Aplicaciones de escritorio Aplicaciones de mensajería instantánea Exploradores Web Aplicaciones de igual a igual

54 Administración de la seguridad de Internet Explorer Característica de seguridad Descripción Mejoras de la seguridad de MIME Comprobaciones de coherencia Reglas más estrictas Mejor administración de la seguridad Características de control y administración de complementos Mensajes más descriptivos Nuevas restricciones de Windows iniciadas mediante secuencias de comandos Zona Equipo local Capacidad para controlar la seguridad en la zona Equipo local Configuración de la zona de seguridad Control de características Rastreo de MIME Elevación de la seguridad Restricciones de Windows Configuración de directivas de grupo Control administrativo de las zonas de seguridad Control de características

55 Demostración 2: Configuración de aplicaciones basadas en el cliente Configurar las aplicaciones cliente para la defensa contra software malintencionado

56 Bloqueo de aplicaciones no autorizadas con directivas de restricción de software Las directivas de restricción de software: Se pueden establecer como: Ilimitado No permitido Se pueden establecer como: Ilimitado No permitido Se pueden aplicar a las siguientes reglas: Hash Certificado Ruta de acceso Zona Se pueden aplicar a las siguientes reglas: Hash Certificado Ruta de acceso Zona Se pueden utilizar para: Combatir virus Controlar las descargas de ActiveX Ejecutar sólo secuencias de comandos firmadas Asegurarse de que se instalan las aplicaciones autorizadas Bloquear equipos Se pueden utilizar para: Combatir virus Controlar las descargas de ActiveX Ejecutar sólo secuencias de comandos firmadas Asegurarse de que se instalan las aplicaciones autorizadas Bloquear equipos

57 Demostración 3: Uso de directivas de restricción de software Crear y probar una directiva de restricción de software

58 Nuevas características de seguridad de Firewall de Windows Activado de forma predeterminada Seguridad en tiempo de inicio del sistema Configuración global y restauración de la configuración predeterminada Restricciones de subred local Posibilidad de usar la línea de comandos Activado sin excepciones Lista de excepciones de Firewall de Windows Perfiles múltiples Compatibilidad con RPC Se puede realizar una instalación desatendida

59 Configuración de Firewall de Windows para la defensa de los programas antivirus


Descargar ppt "Defensa en profundidad contra software malintencionado (Virus) Jose Parada (Evangelista T é cnico Microsoft) Antonio Ropero (Hispasec) Bernardo Quintero."

Presentaciones similares


Anuncios Google