Defensa en profundidad contra software malintencionado (Virus)

Defensa en profundidad contra software malintencionado (Virus)
Jose Parada (Evangelista Técnico Microsoft) Antonio Ropero (Hispasec) Bernardo Quintero (Hispasec)

Requisitos previos para la sesión
Conocimientos básicos de los fundamentos de la seguridad de las redes Conocimientos básicos de los conceptos relativos a software malintencionado Conocimientos básicos sobre soluciones antivirus Nivel 300

Información general de la sesión
Tipos y características del software malintencionado Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado

Tipos y características del software malintencionado
Nomenclatura en la identificación del software malintencionado Técnicas comunes empleadas por las soluciones antivirus Limitaciones de las soluciones antivirus Elección de la solución antivirus Defensa en clientes contra el software malintencionado Defensa en entornos corporativos contra el software malintencionado

Software malintencionado: la familia del malware
Software malintencionado o “malware” (malicious software): término para designar un programa informático que provoca de forma intencionada una acción dañina para el sistema y/o usuario. Tipos de malware ampliación Spyware Backdoors Keyloggers Dialers RootKits Exploits … definición clásica Virus Gusanos Troyanos Bombas lógicas evolución

Tipos de malware: Virus
Virus: programa informático que puede infectar a otros programas modificándolos para incluir una copia de sí mismo. Ejemplo Virus CIH (alias Chernobil) desarrollado en 1998, en ensamblador, tamaño 1Kb afecta a plataforma Windows 9x infecta archivos Windows PE (Portable Executable) residente en memoria día 26 sobreescribe disco duro y flash-BIOS más de 30 variantes

Tipos de malware: Gusano
Gusano: programa informático que tiene como fin replicarse, a diferencia de los virus no modifica otros programas. Ejemplos Gusano Netsky distribuye por , redes P2P, y redes locales falsea dirección remitente doble extensión, terminando en .com, .exe, .pif o .scr Gusano Sasser no necesita la acción del usuario para infectar desbordamiento de buffer en LSSAS (Win 2000/XP) explotación automática a través del puerto TCP/445

Tipos de malware: Troyano
Troyano: aplicación aparentemente legítima y útil que en realidad realiza acciones dañinas. A diferencia de los virus y los gusanos, no puede autorreplicarse ni infectar archivos. Troyano AIDS (1989) distribución por correo postal en un disquete programa con información sobre SIDA tras varios inicios de sistema, aparecía el troyano cifraba el disco duro e impedía al usuario acceder solicitaba pago al usuario para llave de descifrado Ejemplo Con el tiempo el término troyano se convirtió en un comodín utilizado para todo tipo de malware que no podía ser catalogado como virus o gusano.

Tipos de malware: Backdoor
Backdoor: o puerta trasera, permite acceso y control remoto del sistema sin una autentificación legítima. Ejemplo Backdoor BackOrifice módulo cliente (atacante) y módulo servidor (víctima) servidor .exe por defecto abre puerto TCP/31337 atacante obtiene control total sobre la víctima lectura y escritura de archivos, ejecutar aplicaciones, reiniciar el sistema, visualizar la pantalla, manejar el ratón y teclado de la víctima, robar contraseñas, etc.

Tipos de malware: Spyware, Dialer, Keylogger,...
Spyware: recolecta y envía información privada sin el consentimiento y/o conocimiento del usuario. Dialer: realiza una llamada a través de módem o RDSI para conectar a Internet utilizando números de tarificación adicional sin conocimiento del usuario, provocando el aumento en la factura telefónica. Keylogger: captura las teclas pulsadas por el usuario, permitiendo obtener datos sensibles como contraseñas.. Adware: muestra anuncios o abre páginas webs no solicitadas. Exploit: programas que aprovecha una vulnerabilidad.

Tipos de malware: combinados
Muchos especímenes de malware actual pueden combinar varias de las características atribuibles a las distintas categorías. Ejemplo Lamin.B virus polimórfico infecta ejecutables Windows PE gusano que se distribuye por redes locales incluye función keylogger backdoor permite control remoto Aunque las líneas están difusas, se suele utilizar como denominación principal la característica más importante. Así, por ejemplo, se habla de un virus con capacidades de backdoor.

Nomenclatura en la identificación del software malintencionado

Prefijo + Nombre + Variante + sufijo Ejemplo Prefijo W32 afecta a plataformas Windows 32bits Nombre Klez nombre dado al espécimen Variante h existen al menos 7 versiones anteriores (a, b,c d,…) gusano de propagación masiva por correo electrónico

Prefijos y sufijos más comunes W32 afecta a plataformas Windows 32bits W95 afecta a plataformas Windows 9X/Me WM virus de macro para Word XM virus de macro para Excel Worm gusano Troj troyano Bck backdoor VBS escrito en Visual Basic Script JS escrito en Java Script Joke broma @mm se propaga por de forma masiva

Técnicas comunes empleadas por las soluciones antivirus

Detección por cadena o firma: tras analizar el código del malware, se selecciona una porción del mismo o cadena representativa que lo permita diferenciar de cualquier otro programa. Si el antivirus detecta esa cadena en algún archivo, determinará que está infectado por ese malware. 20 E F4 06 D B AD 0C 21 1C 07 F7 21 1D 07 4D CB A B CE A F Es la técnica más extendida entre los antivirus Permite identificar el malware de forma concreta No detecta nuevos virus ni modificaciones Filosofía reactiva, requiere actualización continua

Detección por localización y nombre de archivo

Detección por heurística: análisis de código para identificar conjunto de instrucciones y estrategias genéricas utilizadas por el malware. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Penalización en el rendimiento en los análisis No detecta malware con características nuevas

Detección por heurística

Detección por emulación: las aplicaciones se ejecutan en un entorno informático simulado (sandbox), para evaluar el grado de peligrosidad. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Especial penalización en el rendimiento en los análisis (mayor que en el caso del análisis heurístico de código). No detecta malware con características nuevas

Detección por emulación

Detección por monitorización comportamiento: en vez de analizar el código, comprueba las acciones que intentan llevar a acbo las aplicaciones, e identifican las que puedan ser potencialmente peligrosas. No necesita de actualizaciones tan constantes Capacidad para detectar malware nuevo Más propenso a falsos positivos Penalización en el rendimiento del sistema No detecta malware con características nuevas

Detección por monitorización comportamiento

Otros enfoques Chequeo integridad Comprobar la integridad de los archivos contra una base de datos (checksums, hash, …) Debe de partir de un archivo limpio Fáciles de burlar (spoofing) Control de acceso Sólo se pueden ejecutar las aplicaciones permitidas por el administrador, con determinados privilegios y según perfil. Difíciles de administrar, sobre todo en ambientes heterogéneos, y poco práctico para usuarios particulares.

Limitaciones de las soluciones antivirus

Facilidad de burlar los métodos de detección Esquema reactivo, solución a posteriori Ventana vulnerable, no protegen a tiempo Creación del malware Distribución Infección de las primeras víctimas Reporte a los laboratorios AV Actualización del AV del usuario Publicación actualización Desarrollo firma y pruebas Análisis del malware

Falsa sensación de seguridad AV (perimetrales, locales) Protocolos que no pueden ser analizados (https, …) Limitaciones de análisis en el perímetro Formatos de empaquetado y compresión Evolución y diversificación del malware

Elección de la solución antivirus

Elección de las soluciones antivirus
Elementos que distorsionan (a ignorar) Marketing AV en general (protección 100%, detecta todos los virus conocidos y desconocidos, número 1, tecnología “supermegapotente”,…) Número de malware que dicen detectar (guerra de números, no es un dato cualitativo y no corresponde con la realidad) “Consultores” (¿consultores o distribuidores?) Premios y certificaciones (adulterados, requisitos mínimos) Comparativas (evaluación crítica, lectura de resultados)

Elementos a tener en cuenta Recursos que consume, rendimiento y estabilidad Facilidad de uso y posibilidades de configuración Malware que cubre (spyware, riskware, dialers,…) Funciones proactivas Actualizaciones y tiempos de respuesta Soporte Puesto destacado en comparativas (no de los últimos) Casuística de nuestros sistemas (probar y evaluar) Gestión centralizada, funciones corporativas

Defensa contra software malintencionado

Defensa contra el software malintencionado
Origen de infecciones Abrir archivos legítimos (virus) Abrir archivos no solicitados, adjuntos de correo, P2P, descargas (gusanos, troyanos) Abrir archivos enviados por terceros intencionadamente (Ingeniería social) (troyanos, backdoors) Configuración débil de nuestro sistema operativo (gusanos, virus, backdoors,…) Configuración débil de aplicaciones Internet (navegador, cliente de correo) (spyware, gusanos) Vulnerabilidades del sistema operativo y aplicaciones Internet (gusanos, spyware, backdoors)

Visión actual en la prevención

Agente fundamental en la prevención real Abrir archivos legítimos Abrir archivos no solicitados Ingenieria social Configuración débil del sistema operativo Configuración débil de aplicaciones Internet Vulnerabilidades del S.O. y aplicaciones

Defensa en clientes contra el software malintencionado
Se debe tender a un equilibrio

Factor humano Educar / formar al usuario. Cultura de seguridad. Formatos potencialmente peligrosos No abrir archivos no solicitados No utilizar fuentes no confiables Navegación segura Política de passwords Copias de seguridad

Factor S.O. y aplicaciones Desactivar todos los servicios no necesarios Aplicar actualizaciones automáticas (SUS, SMS) Configuración segura navegador y correo Políticas de uso de portátiles, PDAs, memorias USB, acceso externo Segmentación lógica redes Políticas de privilegios según usuario y aplicaciones Políticas de seguridad recursos compartidos Políticas de backup

Soluciones de seguridad y antimalware Uso de soluciones antivirus distintas y complementarias por capas (perímetro, servidor de archivos, host). Firewall perimetrales y basados en hosts (XP SP2) Política de filtrado por contenidos Política de acceso a la red (interna, externa) Gestión centralizada seguridad Auditorías y planes de contingencia/continuidad

Preguntas y respuestas

Elección de una solución de administración de actualizaciones para la defensa contra software malintencionado Tipo de usuario Escenario Solución Usuario independiente Todos los escenarios Windows Update Organización pequeña Sin servidores de Windows Al menos un servidor Windows 2000 o una versión más reciente y un administrador de IT MBSA y SUS Empresa de tamaño mediano a grande Desea una solución de administración de actualizaciones con un control básico que actualice Windows 2000 y las versiones más recientes de Windows Desea una solución de administración de actualizaciones flexible con un mayor control para actualizar y distribuir todo el software SMS

Descripción de las ventajas de Software Update Services (SUS)
Permite que los administradores tengan un control básico de la administración de las actualizaciones Los administradores pueden revisar, probar y aprobar las actualizaciones antes de implementarlas Simplifica y automatiza aspectos clave del proceso de administración de actualizaciones Se puede usar con directivas de grupo, aunque no son imprescindibles para utilizar SUS Fácil de implementar Herramienta gratuita de Microsoft

Servidor SUS secundario
Funcionamiento de SUS Internet Windows Update Servidor SUS secundario Equipos cliente Servidor SUS primario Equipos cliente

Demostración 1: Configuración de Software Update Services para implementar actualizaciones de seguridad Configurar Software Update Services para implementar actualizaciones de seguridad

Configuración de aplicaciones para proteger los equipos cliente
Algunas aplicaciones que pueden ser objetivos de ataques de software malintencionado son: Aplicaciones de clientes de correo electrónico Aplicaciones de escritorio Aplicaciones de mensajería instantánea Exploradores Web Aplicaciones de igual a igual

Administración de la seguridad de Internet Explorer
Característica de seguridad Descripción Mejoras de la seguridad de MIME Comprobaciones de coherencia Reglas más estrictas Mejor administración de la seguridad Características de control y administración de complementos Mensajes más descriptivos Nuevas restricciones de Windows iniciadas mediante secuencias de comandos Zona Equipo local Capacidad para controlar la seguridad en la zona Equipo local Configuración de la zona de seguridad Control de características Rastreo de MIME Elevación de la seguridad Restricciones de Windows Configuración de directivas de grupo Control administrativo de las zonas de seguridad Control de características

Demostración 2: Configuración de aplicaciones basadas en el cliente
Configurar las aplicaciones cliente para la defensa contra software malintencionado

Bloqueo de aplicaciones no autorizadas con directivas de restricción de software
Las directivas de restricción de software: Se pueden utilizar para: Combatir virus Controlar las descargas de ActiveX Ejecutar sólo secuencias de comandos firmadas Asegurarse de que se instalan las aplicaciones autorizadas Bloquear equipos Se pueden aplicar a las siguientes reglas: Hash Certificado Ruta de acceso Zona Se pueden establecer como: Ilimitado No permitido

Demostración 3: Uso de directivas de restricción de software
Crear y probar una directiva de restricción de software

Nuevas características de seguridad de Firewall de Windows
ü Activado de forma predeterminada Activado sin excepciones ü Lista de excepciones de Firewall de Windows Seguridad en tiempo de inicio del sistema ü ü ü Perfiles múltiples Configuración global y restauración de la configuración predeterminada ü ü Compatibilidad con RPC Se puede realizar una instalación desatendida ü Restricciones de subred local ü Posibilidad de usar la línea de comandos ü

Configuración de Firewall de Windows para la defensa de los programas antivirus

Defensa en profundidad contra software malintencionado (Virus)

Presentaciones similares

Presentación del tema: "Defensa en profundidad contra software malintencionado (Virus)"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

Defensa en profundidad contra software malintencionado (Virus)

Presentaciones similares

Presentación del tema: "Defensa en profundidad contra software malintencionado (Virus)"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback